T1140: Деобфускация или декодирование файлов или данных
Злоумышленники могут использовать обфусцированные файлы или данные для сокрытия артефактов проникновения от средств анализа. Злоумышленникам могут потребоваться отдельные механизмы декодирования или деобфускации этой информации в зависимости от того, как они собираются ее использовать. Для этого могут использоваться встроенные функции вредоносного ПО или утилиты, имеющиеся в системе.
В качестве примера можно привести использование утилиты certutil для декодирования PE-файла средства удаленного доступа, спрятанного в файле сертификата. Другой пример — использование команды Windows copy /b для объединения фрагментов бинарного файла в полезную нагрузку.
Иногда для открытия и деобфускации или декодирования файлов могут потребоваться действия пользователя (техника Выполнение с участием пользователя). В частности, пользователю может быть предложено ввести пароль, чтобы открыть защищенный паролем сжатый или зашифрованный файл, доставленный злоумышленником .
Какие продукты Positive Technologies покрывают технику
Описание методов обнаружения техники пока недоступно
Способы обнаружения
| ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые пытаются скрыть артефакты проникновения, например процессы приложений для работы с популярными архивными файлами и их расширениями (таких как архиваторы ZIP и RAR), и сопоставляйте их с другой подозрительной активностью, чтобы уменьшить количество ложных срабатываний, генерируемых обычным поведением пользователей и администраторов. Для кодирования и декодирования файлов, в том числе исполняемых файлов PE и сценариев, может использоваться утилита CertUtil.exe. Операция кодирования преобразует файл в формат base64 с тегами -----BEGIN CERTIFICATE----- и -----END CERTIFICATE-----. Декодирование загруженного закодированного файла может быть признаком вредоносной активности. После декодирования такие файлы загружаются параллельным процессом. Злоумышленники могут использовать два дополнительных ключа командной строки — encodehex и decodehex. Аналогичным образом файл может быть закодирован в шестнадцатеричный код, а затем декодирован для последующего выполнения. Во время анализа определите источник декодируемого файла. Изучите его содержимое или ход выполнения для дальнейшего анализа. В аналитике указаны идентификаторы событий для Sysmon (1: создание процесса) и журнала безопасности Windows (4688: создание нового процесса). Аналитика отслеживает создание процессов CertUtil.exe, которые могут использоваться для кодирования и декодирования файлов, в том числе исполняемых файлов PE и сценариев. Декодирование загруженного закодированного файла может быть признаком вредоносной активности. После декодирования такие файлы загружаются параллельным процессом. Аналитика 1. CertUtil с аргументом decode
|
|---|
| ID | DS0012 | Источник и компонент данных | Сценарий: Выполнение сценария | Описание | Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников. |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте неожиданные изменения в файлах, с помощью которых злоумышленники могут попытаться скрыть артефакты. Событие с идентификатором 4663 в журнале безопасности Windows (попытка получения доступа к объекту) можно использовать для выявления подозрительных файловых операций, например записи в файлы, которые не должны изменяться. Такие действия могут указывать на попытки скрыть артефакты. |
|---|