T1027.011: Бесфайловое хранение
Злоумышленники могут хранить данные в так называемых бесфайловых форматах, чтобы скрыть свою вредоносную активность от средств защиты. Бесфайловое хранение данных можно в широком смысле определить как хранение в любом формате, отличном от файла. В качестве известных примеров долговременных бесфайловых хранилищ можно привести реестр Windows, журналы событий и репозиторий WMI.
Как и в случае с такими видами бесфайловой активности в памяти, как отраженная загрузка кода и внедрение кода в процессы, бесфайловое хранение данных может оставаться незамеченным антивирусными и другими средствами защиты конечных систем, способными получать доступ только к файлам определенных форматов на диске.
Злоумышленники могут использовать бесфайловое хранение для скрытия различных типов хранимых данных, включая полезные нагрузки и шелл-код (возможно, используемые для закрепления в системе), а также данных, собранных в системе жертвы, но еще не отправленных (например, при промежуточном хранении данных (локально)). Злоумышленники также часто шифруют, кодируют, разделяют или иным образом обфусцируют эти бесфайловые данные при хранении.
При некоторых формах бесфайлового хранения в файловой системе могут косвенным образом создаваться артефакты, но в системных и иных плохо поддающихся анализу форматах, например в репозитории WMI (например, %SystemRoot%\System32\Wbem\Repository
) или реестре (например, %SystemRoot%\System32\Config
).
Способы обнаружения
ID | DS0024 | Источник и компонент данных | Реестр Windows: Создание ключа реестра Windows | Описание | Отслеживайте создание в реестре значений, которые могут указывать на хранение вредоносных данных, таких как команды или полезные нагрузки. |
---|
ID | DS0005 | Источник и компонент данных | Инструментарий управления Windows (WMI): Создание WMI | Описание | Отслеживайте создание объектов WMI и значений, которые могут указывать на хранение вредоносных данных, таких как команды или полезные нагрузки. |
---|
Меры противодействия
ID | M1047 | Название | Аудит | Описание | По возможности периодически проверяйте типичные места бесфайлового хранения (такие как реестр или репозиторий WMI) для выявления аномальных и вредоносных данных. |
---|