Злоумышленники могут использовать ключи на основе окружения для выполнения полезных нагрузок или других функций вредоносного ПО с целью обхода защитных механизмов и ограничения выполнения вредоносного кода целевой средой. Эта техника предусматривает использование шифрования для предотвращения запуска кода или других действий, если в целевой системе выполняются определенные злоумышленниками условия. Использование ключей на основе окружения — это реализация техники Ограничения на исполнение, которая задействует методы криптографии для получения ключей шифрования и расшифровки из определенных типов значений в данной вычислительной среде.

Значения могут быть получены из элементов, специфичных для целевого окружения, и использованы для генерации ключа для расшифровки зашифрованной полезной нагрузки. Специфичные для целевого окружения значения могут быть получены на основе данных об определенных сетевых ресурсах, физических устройствах, ПО и его версиях, файлах, используемых доменах Active Directory, системном времени, а также локальных и внешних IP-адресах. Генерация ключей расшифровки на основе значений, специфичных для целевого окружения, может затруднить обнаружение в песочнице, обнаружение с помощью антивируса, краудсорсинг информации и реверс-инжиниринг. Эти осложнения могут замедлить реагирование на инцидент, и злоумышленники смогут скрыть свои тактики, техники и процедуры.

Как и в технике Обфусцированные файлы или данные, злоумышленники могут использовать ключи, специфичные для окружения, чтобы скрыть свои тактики, техники и процедуры и избежать обнаружения. Ключи на основе окружения могут использоваться для доставки зашифрованной полезной нагрузки в целевую систему. Полезная нагрузка расшифровывается при помощи значений, специфичных для окружения, после чего выполняется. Использование значений, специфичных для целевого окружения, для расшифровки полезной нагрузки позволяет злоумышленнику избежать необходимости пересылать ключ расшифровки вместе с полезной нагрузкой или передавать его по каналу, который может отслеживаться. Некоторые техники сбора значений, специфичных для целевого окружения, могут существенно усложнить реверс-инжиниринг зашифрованной полезной нагрузки. Таким образом злоумышленники могут скрыть возможности своего инструментария в средах, которые они не планировали компрометировать или эксплуатировать.

Как и другие реализации техники Ограничения на исполнение, использование ключей на основе окружения позволяет злоумышленникам скрыть возможности своего инструментария в средах, которые они не планировали компрометировать или эксплуатировать. Этот прием отличается от типичного обхода виртуализации или песочницы. Обход виртуализации или песочницы может предусматривать проверку наличия в среде известных значений, характерных для песочниц, с последующим выполнением кода только при отсутствии соответствий, в то время как использование ключей на основе окружения подразумевает проверку наличия ожидаемого значения, характерного для целевой среды, с последующей расшифровкой и выполнением только при совпадении.