Техника на mitre.org

T1027: Обфусцированные файлы или данные

Злоумышленники могут попытаться осложнить обнаружение или анализ исполняемого или обычного файла путем шифрования, кодирования или обфускации его содержимого в системе или при передаче. Это типичная техника, которая может использоваться на разных платформах и в сети для обхода защитных систем.

Полезная нагрузка может быть сжата, заархивирована или зашифрована, чтобы предотвратить ее обнаружение. Такие полезные нагрузки могут быть использованы при первоначальном доступе или позже, чтобы воспрепятствовать обнаружению. Иногда для открытия и деобфускации или декодирования файлов или данных могут потребоваться действия пользователя (техника Выполнение с участием пользователя). В частности, пользователю может быть предложено ввести пароль, чтобы открыть защищенный паролем сжатый или зашифрованный файл, доставленный злоумышленником . Злоумышленники также могут использовать сжатые или заархивированные сценарии, например JavaScript.

Также могут кодироваться части файлов, чтобы скрыть строки в открытом текстовом виде, которые в противном случае помогли бы специалистам по безопасности обнаружить угрозу . Полезная нагрузка также может быть разделена на отдельные мнимо безопасные файлы и приобретать вредоносную функциональность только при объединении этих файлов .

Злоумышленники также могут использовать обфускацию команд для скрытия команд, выполняемых из полезной нагрузки или непосредственно через интерпретатор командной строки и сценариев. Переменные окружения, псевдонимы, символы и другие семантические особенности платформы или языка могут использоваться для обхода обнаружения по сигнатурам и механизмов контроля приложений .

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-942: Subrule_CSC_Start_And_File_Create: Запуск процесса csc.exe, родителем которого является процесс powershell.exe, и создание процессом библиотеки mitre_attck_defense_evasion: PT-CR-930: AMSI_Bypass_Via_Powershell: Использование методов обхода AMSI mitre_attck_defense_evasion: PT-CR-194: Csc_AWL_Bypass: Попытка обойти запрет на запуск приложений с помощью встроенной утилиты Microsoft Windows csc.exe (используется .NET для компиляции кода C#)

Подтехники

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0005	Источник и компонент данных	Инструментарий управления Windows (WMI): Создание WMI	Описание	Отслеживайте создание объектов WMI и значений, которые могут указывать на хранение вредоносных данных, таких как команды или полезные нагрузки.

ID	DS0012	Источник и компонент данных	Сценарий: Выполнение сценария	Описание	Отслеживайте индикаторы обфускации и подозрительный синтаксис команд в выполняемых сценариях, например необработанные управляющие символы (такие как `^`). Также отслеживайте индикаторы обфускации, специфичные для синтаксиса команд сценариев, например нечитаемые или закодированные последовательности символов.

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте недавно созданные файлы JavaScript. Подобрать правила для разных типов файлов с различными схемами кодирования и (или) шифрования может быть очень сложно. По возможности отслеживайте файлы, загруженные из интернета (возможно, посредством внедрения данных в HTML), и анализируйте их на предмет подозрительной активности. Рекомендуется рассматривать события и данные не обособленно, а как связанные элементы цепочки, которые могут привести к другой вредоносной активности.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения данных о работе распространенных компиляторов, таких как csc.exe и GCC/MinGW, и сопоставляйте их с другими подозрительными действиями, чтобы снизить количество ложных срабатываний, связанных с обычным поведением пользователей и администраторов.

ID	DS0011	Источник и компонент данных	Модуль: Загрузка модуля	Описание	Отслеживайте загрузку модулей, особенно тех, которые явно не указаны в таблицах импорта, — это может быть признаком обфускации вызовов функций API. В ходе динамического анализа вредоносного ПО можно выявить признаки обфускации функций, например чтение памяти, соответствующей адресам функций API внутри модулей.

ID	DS0022	Источник и компонент данных	Файл: Метаданные файла	Описание	Обнаружить полезную нагрузку с удаленной значащей информацией может быть непросто, и этим не стоит заниматься в режиме реального времени, но попытки обфускации можно выявить с помощью анализа контекстных данных, связанных с файлами (например, их содержимого и энтропии символов).

ID	DS0009	Источник и компонент данных	Процесс: Вызовы API ОС	Описание	Отслеживайте и анализируйте вызовы таких функций, как `GetProcAddress()` и `LoadLibrary()`, которые связаны с динамической загрузкой функций API.

ID	DS0024	Источник и компонент данных	Реестр Windows: Создание ключа реестра Windows	Описание	Отслеживайте создание в реестре значений, которые могут указывать на хранение вредоносных данных, таких как команды или полезные нагрузки.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте недавно созданные процессы и (или) командные строки, которые ищут ненативные бинарные файлы, кроссплатформенные компиляторы и среды выполнения, такие как Mono, и проверяйте их легитимность. Легитимные сценарии их использования ограничены, например они могут использоваться в процессе разработки ПО.

ID	Источник и компонент данных	Описание
DS0005	Инструментарий управления Windows (WMI): Создание WMI	Отслеживайте создание объектов WMI и значений, которые могут указывать на хранение вредоносных данных, таких как команды или полезные нагрузки.
DS0012	Сценарий: Выполнение сценария	Отслеживайте индикаторы обфускации и подозрительный синтаксис команд в выполняемых сценариях, например необработанные управляющие символы (такие как `^`). Также отслеживайте индикаторы обфускации, специфичные для синтаксиса команд сценариев, например нечитаемые или закодированные последовательности символов.
DS0022	Файл: Создание файла	Отслеживайте недавно созданные файлы JavaScript. Подобрать правила для разных типов файлов с различными схемами кодирования и (или) шифрования может быть очень сложно. По возможности отслеживайте файлы, загруженные из интернета (возможно, посредством внедрения данных в HTML), и анализируйте их на предмет подозрительной активности. Рекомендуется рассматривать события и данные не обособленно, а как связанные элементы цепочки, которые могут привести к другой вредоносной активности.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения данных о работе распространенных компиляторов, таких как csc.exe и GCC/MinGW, и сопоставляйте их с другими подозрительными действиями, чтобы снизить количество ложных срабатываний, связанных с обычным поведением пользователей и администраторов.
DS0011	Модуль: Загрузка модуля	Отслеживайте загрузку модулей, особенно тех, которые явно не указаны в таблицах импорта, — это может быть признаком обфускации вызовов функций API. В ходе динамического анализа вредоносного ПО можно выявить признаки обфускации функций, например чтение памяти, соответствующей адресам функций API внутри модулей.
DS0022	Файл: Метаданные файла	Обнаружить полезную нагрузку с удаленной значащей информацией может быть непросто, и этим не стоит заниматься в режиме реального времени, но попытки обфускации можно выявить с помощью анализа контекстных данных, связанных с файлами (например, их содержимого и энтропии символов).
DS0009	Процесс: Вызовы API ОС	Отслеживайте и анализируйте вызовы таких функций, как `GetProcAddress()` и `LoadLibrary()`, которые связаны с динамической загрузкой функций API.
DS0024	Реестр Windows: Создание ключа реестра Windows	Отслеживайте создание в реестре значений, которые могут указывать на хранение вредоносных данных, таких как команды или полезные нагрузки.
DS0009	Процесс: Создание процесса	Отслеживайте недавно созданные процессы и (или) командные строки, которые ищут ненативные бинарные файлы, кроссплатформенные компиляторы и среды выполнения, такие как Mono, и проверяйте их легитимность. Легитимные сценарии их использования ограничены, например они могут использоваться в процессе разработки ПО.

Меры противодействия

ID	M1040	Название	Предотвращение некорректного поведения	Описание	В Windows 10+ включите правила Attack Surface Reduction (ASR), чтобы предотвратить выполнение потенциально обфусцированных полезных нагрузок .

ID	M1049	Название	Антивирус или ПО для защиты от вредоносных программ	Описание	Используйте эвристические методы обнаружения вредоносных программ. Обеспечьте обновление определений вирусов и создайте собственные сигнатуры для обнаруженных вредоносных программ.

ID	M1047	Название	Аудит	Описание	По возможности периодически проверяйте типичные места бесфайлового хранения (такие как реестр или репозиторий WMI) для потенциального выявления ненормальных и вредоносных данных.

ID	M1017	Название	Обучение пользователей	Описание	Проследите, чтобы количество точек входа в систему развертывания программного обеспечения было ограничено: доступ должен быть только у тех, кто активирует новое программное обеспечение и дает права на его использование.

ID	Название	Описание
M1040	Предотвращение некорректного поведения	В Windows 10+ включите правила Attack Surface Reduction (ASR), чтобы предотвратить выполнение потенциально обфусцированных полезных нагрузок .
M1049	Антивирус или ПО для защиты от вредоносных программ	Используйте эвристические методы обнаружения вредоносных программ. Обеспечьте обновление определений вирусов и создайте собственные сигнатуры для обнаруженных вредоносных программ.
M1047	Аудит	По возможности периодически проверяйте типичные места бесфайлового хранения (такие как реестр или репозиторий WMI) для потенциального выявления ненормальных и вредоносных данных.
M1017	Обучение пользователей	Проследите, чтобы количество точек входа в систему развертывания программного обеспечения было ограничено: доступ должен быть только у тех, кто активирует новое программное обеспечение и дает права на его использование.