T1027.002: Упаковка ПО
Для скрытия своего кода злоумышленники могут использовать упаковку программного обеспечения или использование формата для виртуальной машины. Упаковка ПО — это способ сжатия или шифрования исполняемого файла. При упаковке исполняемого файла изменяется его сигнатура — таким образом можно избежать обнаружения файла по сигнатуре. В большинстве используемых методов распаковки исполняемый код распаковывается в памяти. При использовании формата для виртуальной машины исходный код исполняемого файла переводится в специальный формат, который может быть запущен только на специальной виртуальной машине. После этого вызывается виртуальная машина для выполнения этого кода.
Утилиты, используемые для упаковки программного обеспечения, называются упаковщиками. Примерами упаковщиков могут служить утилиты MPRESS и UPX. Существует более полный список известных упаковщиков, но для обхода защитных средств злоумышленники могут разрабатывать и собственные методы упаковки, которые не оставляют артефактов, свойственных известным упаковщикам.
Какие продукты Positive Technologies покрывают технику
Как обнаружить
PT NAD способен при помощи правил обнаруживать популярные упаковщики исполняемых файлов (например, UPX). Однако упаковщики могут использоваться и в легитимных целях, например для уменьшения размера исполняемого файла. По этой причине правила для обнаружения упаковщиков, как правило, выключены по умолчанию.
Примеры правил обнаружения PT NAD
- ET MALWARE UPX compressed file download possible malware (sid 2001046)
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Сканируйте файлы на предмет известных упаковщиков ПО или артефактов, оставленных техниками упаковки. Сама по себе упаковка не служит признаком подозрительной деятельности — легитимное ПО может использовать техники упаковки, чтобы уменьшить размер бинарных файлов или защитить проприетарный код. |
---|
Меры противодействия
ID | M1049 | Название | Антивирус или ПО для защиты от вредоносных программ | Описание | Используйте эвристические методы обнаружения вредоносных программ. Обеспечьте обновление определений вирусов и создайте собственные сигнатуры для обнаруженных вредоносных программ. |
---|