T1036.008: Маскировка типа файла
Злоумышленники могут маскировать полезную нагрузку под легитимные файлы, изменяя ее форматирование, в том числе подпись, расширение и содержимое файла. Различные типы файлов имеют типичный для них стандартный формат, в частности определенные способы кодирования содержимого и определенное внутреннее устройство. Например, сигнатура файла (также известная как заголовок или магическое число) — это начальные байты файла, которые часто используются для определения его типа. Например, заголовок файла JPEG — значение 0xFF 0xD8, а расширение — .jpe, .jpeg или .jpg.
Злоумышленники могут изменить шестнадцатеричный код заголовка и (или) расширение файла полезной нагрузки, чтобы обойти проверку подлинности файла и (или) санацию ввода. Такой прием обычно используется для защиты от обнаружения при передаче файлов полезной нагрузки (например, при передаче инструментов из внешней сети) и их сохранении (например, при загрузке вредоносного ПО).
Стандартные типы и расширения неисполняемых файлов, например текстовых (.txt) и графических (.jpg, .gif и другие), обычно воспринимаются как безопасные. Исходя из этого, злоумышленники могут использовать расширение файла для маскировки вредоносного ПО, например дав PHP-бэкдору имя test.gif. Благодаря расширению файл выглядит безопасным, и пользователь может не догадаться о том, что этот файл является вредоносным.
Для маскировки вредоносных программ и функций также могут использоваться полиглоты — файлы, имеющие несколько различных типов и функционирующие по-разному в зависимости от приложения, которое их выполняет.
Способы обнаружения
| ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Проследите, чтобы заголовки, подписи и расширения файлов соответствовали ожидаемым, используя обнаружение магического числа и (или) проверку сигнатуры файла. В Linux проверить подпись файла можно с помощью команды |
|---|
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте аномальный запуск команд неисполняемыми файлами (например, файлами с расширениями |
|---|
Меры противодействия
| ID | M1049 | Название | Антивирус или ПО для защиты от вредоносных программ | Описание | Антивирус может использоваться для автоматического помещения подозрительных файлов в карантин. |
|---|
| ID | M1040 | Название | Предотвращение некорректного поведения | Описание | Внедрите средства контроля безопасности на конечной точке, такие как система предотвращения вторжений на хост (HIPS), для выявления и предотвращения выполнения файлов с несовпадающими сигнатурами. |
|---|
| ID | M1038 | Название | Защита от выполнения | Описание | Обеспечьте санитарную обработку входных данных и проверку файлов перед выполнением; кроме того, внедрите строгий список разрешений, чтобы гарантировать обработку только разрешенных типов файлов. Ограничьте и (или) заблокируйте выполнение файлов, заголовки и расширения которых не совпадают. |
|---|