PT Network Attack Discovery

Помогает восстановить хронологию атаки, определить источник и масштаб угрозы

T1027: Обфусцированные файлы или данные

Злоумышленники могут попытаться осложнить обнаружение или анализ исполняемого или обычного файла путем шифрования, кодирования или обфускации его содержимого в системе или при передаче. Это типичная техника, которая может использоваться на разных платформах и в сети для обхода защитных систем.

Полезная нагрузка может быть сжата, заархивирована или зашифрована, чтобы предотвратить ее обнаружение. Такие полезные нагрузки могут быть использованы при первоначальном доступе или позже, чтобы воспрепятствовать обнаружению. Иногда для открытия и деобфускации или декодирования файлов или данных могут потребоваться действия пользователя (техника Выполнение с участием пользователя). В частности, пользователю может быть предложено ввести пароль, чтобы открыть защищенный паролем сжатый или зашифрованный файл, доставленный злоумышленником . Злоумышленники также могут использовать сжатые или заархивированные сценарии, например JavaScript.

Также могут кодироваться части файлов, чтобы скрыть строки в открытом текстовом виде, которые в противном случае помогли бы специалистам по безопасности обнаружить угрозу . Полезная нагрузка также может быть разделена на отдельные мнимо безопасные файлы и приобретать вредоносную функциональность только при объединении этих файлов .

Злоумышленники также могут использовать обфускацию команд для скрытия команд, выполняемых из полезной нагрузки или непосредственно через интерпретатор командной строки и сценариев. Переменные окружения, псевдонимы, символы и другие семантические особенности платформы или языка могут использоваться для обхода обнаружения по сигнатурам и механизмов контроля приложений .

Какие продукты Positive Technologies покрывают технику

Как обнаружить

PT NAD способен при помощи правил обнаруживать популярные упаковщики исполняемых файлов (например, UPX). Однако упаковщики могут использоваться и в легитимных целях, например для уменьшения размера исполняемого файла. По этой причине правила для обнаружения упаковщиков, как правило, выключены по умолчанию. Кроме того, в наборе PTsecurity существует множество правил на зашифрованные или обфусцированные поля запросов хакерских инструментов или вредоносного ПО.

Пример правил обнаружения PT NAD

  • ET MALWARE UPX compressed file download possible malware (sid 2001046)
  • SPYWARE [PTsecurity] Buhtrap (sid 10003304)
  • SHELL [PTsecurity] Meterpreter (sid 11003135)

Способы обнаружения

IDDS0011Источник и компонент данныхМодуль: Загрузка модуляОписание

Отслеживайте загрузку модулей, особенно тех, которые явно не указаны в таблицах импорта, — это может быть признаком обфускации вызовов функций API. В ходе динамического анализа вредоносного ПО можно выявить признаки обфускации функций, например чтение памяти, соответствующей адресам функций API внутри модулей.

IDDS0012Источник и компонент данныхСценарий: Выполнение сценарияОписание

Отслеживайте индикаторы обфускации и подозрительный синтаксис команд в выполняемых сценариях, например необработанные управляющие символы (такие как ^).

Также отслеживайте индикаторы обфускации, специфичные для синтаксиса команд сценариев, например нечитаемые или закодированные последовательности символов.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте недавно созданные процессы и (или) командные строки, которые ищут ненативные бинарные файлы, кроссплатформенные компиляторы и среды выполнения, такие как Mono, и проверяйте их легитимность. Легитимные сценарии их использования ограничены, например они могут использоваться в процессе разработки ПО.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте и анализируйте вызовы таких функций, как GetProcAddress() и LoadLibrary(), которые связаны с динамической загрузкой функций API.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения данных о работе распространенных компиляторов, таких как csc.exe и GCC/MinGW, и сопоставляйте их с другими подозрительными действиями, чтобы снизить количество ложных срабатываний, связанных с обычным поведением пользователей и администраторов.

IDDS0005Источник и компонент данныхИнструментарий управления Windows (WMI): Создание WMIОписание

Отслеживайте создание объектов WMI и значений, которые могут указывать на хранение вредоносных данных, таких как команды или полезные нагрузки.

IDDS0024Источник и компонент данныхРеестр Windows: Создание ключа реестра WindowsОписание

Отслеживайте создание в реестре значений, которые могут указывать на хранение вредоносных данных, таких как команды или полезные нагрузки.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте недавно созданные файлы JavaScript. Подобрать правила для разных типов файлов с различными схемами кодирования и (или) шифрования может быть очень сложно. По возможности отслеживайте файлы, загруженные из интернета (возможно, посредством внедрения данных в HTML), и анализируйте их на предмет подозрительной активности. Рекомендуется рассматривать события и данные не обособленно, а как связанные элементы цепочки, которые могут привести к другой вредоносной активности.

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

Обнаружить полезную нагрузку с удаленной значащей информацией может быть непросто, и этим не стоит заниматься в режиме реального времени, но попытки обфускации можно выявить с помощью анализа контекстных данных, связанных с файлами (например, их содержимого и энтропии символов).

Меры противодействия

IDM1047НазваниеАудитОписание

По возможности периодически проверяйте типичные места бесфайлового хранения (такие как реестр или репозиторий WMI) для потенциального выявления ненормальных и вредоносных данных.

IDM1040НазваниеПредотвращение некорректного поведенияОписание

В Windows 10+ включите правила Attack Surface Reduction (ASR), чтобы предотвратить выполнение потенциально обфусцированных полезных нагрузок .

IDM1017НазваниеОбучение пользователейОписание

Проследите, чтобы количество точек входа в систему развертывания программного обеспечения было ограничено: доступ должен быть только у тех, кто активирует новое программное обеспечение и дает права на его использование.

IDM1049НазваниеАнтивирус или ПО для защиты от вредоносных программОписание

Используйте эвристические методы обнаружения вредоносных программ. Обеспечьте обновление определений вирусов и создайте собственные сигнатуры для обнаруженных вредоносных программ.