T1036.001: Недействительная подпись кода
Злоумышленники могут пытаться имитировать особенности сигнатур легитимного кода, повышая таким образом шансы ввести в заблуждение пользователя, аналитика или средство защиты. Подписывание кода разработчиком является одним из уровней подтверждения подлинности бинарного файла и гарантирует, что файл не подвергался изменениям. Злоумышленники могут скопировать метаданные и данные подписи из подписанной программы, а затем использовать их в качестве шаблона для неподписанной программы. Файлы с недействительными подписями кода не пройдут проверку на подлинность цифровой подписи, но пользователям они могут показаться более легитимными, а средства защиты могут некорректно обрабатывать такие файлы.
Эти действия, в отличие от использования подписи исполняемого кода, не ведут к появлению действительной подписи.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_defense_evasion: PT-CR-934: Masquerading_Microsoft_Signed_Library: В процесс загружен объект с метаинформацией Microsoft со статусом "not signed"
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Collect and analyze signing certificate metadata and check signature validity on software that executes within the environment, look for invalid signatures as well as unusual certificate characteristics and outliers. |
---|
Меры противодействия
ID | M1045 | Название | Подпись исполняемого кода | Описание | Require signed binaries. |
---|