T1027.013: Зашифрованный или закодированный файл
Злоумышленники могут шифровать или кодировать файлы для скрытия строк, байтов и других специфических наборов данных, чтобы воспрепятствовать их обнаружению. Шифрование и кодирование содержимого файлов преследуют цель скрыть вредоносные артефакты в файле, используемом для атаки. Эту же цель преследуют и многие другие техники, такие как Упаковка ПО, Стеганография и Встраиваемая полезная нагрузка. В результате шифрования и (или) кодирования файлов статические сигнатуры могут быть скрыты от обнаружения, а вредоносное содержимое будет раскрыто (то есть будут выполнены деобфускация или декодирование файлов или данных) только в момент выполнения или использования кода.
Этот тип обфускации файлов может применяться ко многим файловым артефактам, присутствующим на хостах жертв, например к логам и конфигурационным файлам вредоносных программ, а также к файлам полезной нагрузки. Файлы могут быть зашифрованы с помощью заданного в коде или же указанного пользователем ключа, а также обфусцированы с помощью стандартных алгоритмов кодирования или сжатия, таких как Base64.
Обфускация может применяться ко всему содержимому файла или только к определенным функциям или значениям (например, адресу командного сервера). Шифрование и кодирование могут также применяться для создания дополнительных уровней защиты от обнаружения.
Например, злоумышленники могут использовать в качестве метода шифрования или кодирования файла (например, полезной нагрузки при фишинге) защищенные паролем документы Word или самораспаковывающиеся (SFX) архивы. Такие файлы обычно состоят из модуля распаковщика, к которому присоединено архивируемое содержимое. Этот модуль запускается при вызове файла (например, при выполнении с участием пользователя).
Злоумышленники также могут использовать схемы кодирования, характерные для конкретных файлов, а также нестандартные схемы кодирования. Например, заголовки с метками порядка байтов (BOM) в текстовых файлах могут использоваться для манипуляций с содержимым файла и обфускации файла до запуска интерпретатора командной строки и сценариев.
Способы обнаружения
| ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте файлы с высоким показателем энтропии, который не соответствует ожидаемому с учетом типа и местоположения файла. |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Отслеживайте и анализируйте файлы с высоким уровнем энтропии — это может указывать на наличие потенциально вредоносных сжатых или зашифрованных данных. |
|---|
Меры противодействия
| ID | M1049 | Название | Антивирус или ПО для защиты от вредоносных программ | Описание | Антивирус может использоваться для автоматического обнаружения и помещения в карантин подозрительных файлов, в том числе с высоким уровнем энтропии или с другими потенциально вредоносными признаками обфускации. |
|---|
| ID | M1040 | Название | Предотвращение некорректного поведения | Описание | В Windows 10 или более поздних версиях включите правила Attack Surface Reduction (ASR), чтобы блокировать выполнение потенциально обфусцированных сценариев. Средства безопасности должны быть настроены на анализ свойств кодировки файлов и обнаружение аномалий, которые отклоняются от практики стандартного кодирования. |
|---|