T1027.009: Встраиваемая полезная нагрузка

Злоумышленники могут встраивать полезную нагрузку в другие файлы, чтобы скрыть вредоносное содержимое от защитных систем. В кажущиеся безопасными файлы (такие как сценарии и исполняемые файлы) может быть встроено вредоносное содержимое, включая полезные нагрузки, с целью его обфускации. В некоторых случаях встраиваемая полезная нагрузка может нарушить работу средств контроля доверия, если ее встраивание не затрагивает такие средства контроля выполнения, как цифровые подписи и билеты заверения.

Чтобы скрыть полезную нагрузку, злоумышленники могут встраивать ее в файлы различных форматов. Это похоже на стеганографию, но не предполагает маскировки вредоносного содержимого под конкретные последовательности байтов или структуры, присущие легитимным форматам цифровых медиафайлов.

Например, было замечено, что злоумышленники могут встраивать полезную нагрузку внутрь легитимных бинарных файлов или добавлять ее в конец таких файлов. Кроме того, было замечено, что злоумышленники могут вкладывать полезную нагрузку (например, исполняемые файлы и сценарии, предназначенные только для запуска) в файл того же формата.

Встраиваемое содержимое также может использоваться в качестве полезной нагрузки при внедрении кода в процессы для заражения легитимных системных процессов. Эти встраиваемые в файлы и затем внедряемые в процессы полезные нагрузки могут использоваться как часть модулей вредоносного ПО, предназначенных для выполнения специальных функций, таких как шифрование коммуникаций с командным сервером для поддержки работы модуля-оркестратора. Например, встроенный модуль может быть внедрен в браузеры, используемые по умолчанию, что позволит злоумышленникам осуществлять коммуникацию через сеть.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте создание файлов, содержащих большой объем данных. Нетипичный размер файла может указывать на встроенное содержимое.

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

Отслеживайте контекстные данные файла, которые могут указывать на наличие внедренной полезной нагрузки. Эти данные могут включать имя, содержимое (подпись, заголовки, данные или встроенные объекты), размер и другие параметры. Соотносите эту информацию с другим подозрительным поведением, чтобы уменьшить количество ложных срабатываний.

Меры противодействия

IDM1049НазваниеАнтивирус или ПО для защиты от вредоносных программОписание

Антивирус может использоваться для автоматического обнаружения и помещения в карантин подозрительных файлов.

IDM1040НазваниеПредотвращение некорректного поведенияОписание

Включите правила Attack Surface Reduction (ASR) в Windows 10, чтобы предотвратить выполнение потенциально обфусцированных сценариев.