MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1036.001: Недействительная подпись кода

Злоумышленники могут пытаться имитировать особенности сигнатур легитимного кода, повышая таким образом шансы ввести в заблуждение пользователя, аналитика или средство защиты. Подписывание кода разработчиком является одним из уровней подтверждения подлинности бинарного файла и гарантирует, что файл не подвергался изменениям. Злоумышленники могут скопировать метаданные и данные подписи из подписанной программы, а затем использовать их в качестве шаблона для неподписанной программы. Файлы с недействительными подписями кода не пройдут проверку на подлинность цифровой подписи, но пользователям они могут показаться более легитимными, а средства защиты могут некорректно обрабатывать такие файлы.

Эти действия, в отличие от использования подписи исполняемого кода, не ведут к появлению действительной подписи.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-934: Masquerading_Microsoft_Signed_Library: В процесс загружен объект с метаинформацией Microsoft со статусом "not signed"

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

Collect and analyze signing certificate metadata and check signature validity on software that executes within the environment, look for invalid signatures as well as unusual certificate characteristics and outliers.

Меры противодействия

IDM1045НазваниеПодпись исполняемого кодаОписание

Require signed binaries.