T1027.001: Добавление в бинарный файл незначащих данных

Злоумышленники могут добавить в бинарный файл вредоносного ПО незначащие ("мусорные") данные, чтобы изменить представление этого файла на диске. Это может быть сделано без ущерба для функциональности или поведения бинарного файла, однако размер файла может увеличиться настолько, что некоторые средства защиты не смогут его обработать из-за ограничений на размер обрабатываемого файла.

Добавление в бинарный файл незначащих данных эффективно изменяет контрольную сумму файла и может также использоваться для обхода списков блокировки на основе хешей и статических антивирусных сигнатур. Блок незначащих данных обычно генерируется соответствующей функцией создания "мусорных" данных, а затем добавляется в конец или в различные секции файла вредоносного ПО. Увеличение размера файла может снизить эффективность работы и возможности обнаружения некоторых защитных средств, которые не предназначены или не настроены для сканирования больших файлов. Это также может снизить вероятность сбора файлов для анализа. Общедоступные сервисы анализа файлов, такие как VirusTotal, ограничивают максимальный размер загружаемого для анализа файла.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Мониторинг событий запуска процессов, в командной строке которых содержатся фрагменты команд «dd if=/dev/zero», «dd if=/dev/random» и «dd if=/dev/urandom», с последующей записью в исполняемый файл («>>»). Кроме прочего, рекомендуется обращать внимание на выполнение команды «truncate» (фрагмент «truncate -s»), которая позволяет увеличить размер файла за счет пустых байтов

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

Добавление в файлы незначащих данных можно обнаружить с помощью сканирования или инструмента, который реагирует при доступе, используя сигнатуру файла. Эффективность такого подхода зависит от метода дополнения файлов. После запуска процесс, инициированный дополненными файлами, может демонстрировать поведение, указывающее на проникновение злоумышленников (например, сбор информации о системе или сети, перемещение внутри периметра). Анализ этого поведения может помочь обнаружить исходный файл.