T1027.013: Зашифрованный или закодированный файл

Злоумышленники могут шифровать или кодировать файлы для скрытия строк, байтов и других специфических наборов данных, чтобы воспрепятствовать их обнаружению. Шифрование и кодирование содержимого файлов преследуют цель скрыть вредоносные артефакты в файле, используемом для атаки. Эту же цель преследуют и многие другие техники, такие как Упаковка ПО, Стеганография и Встраиваемая полезная нагрузка. В результате шифрования и (или) кодирования файлов статические сигнатуры могут быть скрыты от обнаружения, а вредоносное содержимое будет раскрыто (то есть будут выполнены деобфускация или декодирование файлов или данных) только в момент выполнения или использования кода.

Этот тип обфускации файлов может применяться ко многим файловым артефактам, присутствующим на хостах жертв, например к логам и конфигурационным файлам вредоносных программ, а также к файлам полезной нагрузки. Файлы могут быть зашифрованы с помощью заданного в коде или же указанного пользователем ключа, а также обфусцированы с помощью стандартных алгоритмов кодирования или сжатия, таких как Base64.

Обфускация может применяться ко всему содержимому файла или только к определенным функциям или значениям (например, адресу командного сервера). Шифрование и кодирование могут также применяться для создания дополнительных уровней защиты от обнаружения.

Например, злоумышленники могут использовать в качестве метода шифрования или кодирования файла (например, полезной нагрузки при фишинге) защищенные паролем документы Word или самораспаковывающиеся (SFX) архивы. Такие файлы обычно состоят из модуля распаковщика, к которому присоединено архивируемое содержимое. Этот модуль запускается при вызове файла (например, при выполнении с участием пользователя).

Злоумышленники также могут использовать схемы кодирования, характерные для конкретных файлов, а также нестандартные схемы кодирования. Например, заголовки с метками порядка байтов (BOM) в текстовых файлах могут использоваться для манипуляций с содержимым файла и обфускации файла до запуска интерпретатора командной строки и сценариев.

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Monitor for files with large entropy which don’t match what is normal/expected given the file type and location.

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

Monitor for and analyze files which contain content with large entropy, as this may indicate potentially malicious compressed or encrypted data.

Меры противодействия

IDM1049НазваниеАнтивирус или ПО для защиты от вредоносных программОписание

Anti-virus can be used to automatically detect and quarantine suspicious files, including those with high entropy measurements or with otherwise potentially malicious signs of obfuscation.

IDM1040НазваниеПредотвращение некорректного поведенияОписание

On Windows 10+, enable Attack Surface Reduction (ASR) rules to block execution of potentially obfuscated scripts.

Security tools should be configured to analyze the encoding properties of files and detect anomalies that deviate from standard encoding practices.