T1027.009: Встраиваемая полезная нагрузка

Злоумышленники могут встраивать полезную нагрузку в другие файлы, чтобы скрыть вредоносное содержимое от защитных систем. В кажущиеся безопасными файлы (такие как сценарии и исполняемые файлы) может быть встроено вредоносное содержимое, включая полезные нагрузки, с целью его обфускации. В некоторых случаях встраиваемая полезная нагрузка может нарушить работу средств контроля доверия, если ее встраивание не затрагивает такие средства контроля выполнения, как цифровые подписи и билеты заверения.

Чтобы скрыть полезную нагрузку, злоумышленники могут встраивать ее в файлы различных форматов. Это похоже на стеганографию, но не предполагает маскировки вредоносного содержимого под конкретные последовательности байтов или структуры, присущие легитимным форматам цифровых медиафайлов.

Например, было замечено, что злоумышленники могут встраивать полезную нагрузку внутрь легитимных бинарных файлов или добавлять ее в конец таких файлов. Кроме того, было замечено, что злоумышленники могут вкладывать полезную нагрузку (например, исполняемые файлы и сценарии, предназначенные только для запуска) в файл того же формата.

Встраиваемое содержимое также может использоваться в качестве полезной нагрузки при внедрении кода в процессы для заражения легитимных системных процессов. Эти встраиваемые в файлы и затем внедряемые в процессы полезные нагрузки могут использоваться как часть модулей вредоносного ПО, предназначенных для выполнения специальных функций, таких как шифрование коммуникаций с командным сервером для поддержки работы модуля-оркестратора. Например, встроенный модуль может быть внедрен в браузеры, используемые по умолчанию, что позволит злоумышленникам осуществлять коммуникацию через сеть.

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Monitor for newly constructed files containing large amounts of data. Abnormal file sizes may be an indicator of embedded content.

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

Monitor contextual data about a file that may highlight embedded payloads, which may include information such as name, the content (ex: signature, headers, or data/media), file size, etc.; correlate with other suspicious behavior to reduce false positives.

Меры противодействия

IDM1040НазваниеПредотвращение некорректного поведенияОписание

On Windows 10, enable Attack Surface Reduction (ASR) rules to prevent execution of potentially obfuscated scripts.

IDM1049НазваниеАнтивирус или ПО для защиты от вредоносных программОписание

Anti-virus can be used to automatically detect and quarantine suspicious files.