T1564.005: Скрытая файловая система

Злоумышленники могут использовать скрытую файловую систему, чтобы замаскировать вредоносную активность от пользователей и средств безопасности. Файловые системы предоставляют структуру для хранения данных и доступа к ним на физическом носителе. Обычно пользователь взаимодействует с файловой системой через приложения, которые позволяют ему получать доступ к файлам и каталогам, не задумываясь об их физическом местоположении (например, секторе диска). Существуют такие стандартные файловые системы, как FAT, NTFS, ext4 и APFS. Файловые системы могут также содержать другие структуры, например в NTFS есть загрузочная запись тома (VBR) и основная таблица файлов (MFT).

Злоумышленники могут использовать собственную абстрактную файловую систему, не зависящую от стандартной файловой системы зараженной системы. Таким образом злоумышленники могут спрятать вредоносные компоненты и операции ввода и вывода от средств безопасности. Скрытые файловые системы, также иногда называемые виртуальными файловыми системами, могут быть реализованы разными способами. Один из способов реализации — хранение файловой системы в зарезервированном дисковом пространстве, не используемом стандартными разделами или структурами основной файловой системы. Другой способ — развертывание злоумышленником собственного портативного образа раздела в виде файла в стандартной файловой системе. Злоумышленники также могут применять нестандартную фрагментацию файлов в существующей файловой системе.

Способы обнаружения

IDDS0001Источник и компонент данныхПрошивка: Изменение прошивкиОписание

Monitor for changes made to firmware for unexpected modifications to settings and/or data that may use a hidden file system to conceal malicious activity from users and security tools. Bootkit

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Monitor for changes made to windows registry keys and/or values that may use a hidden file system to conceal malicious activity from users and security tools.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Detecting the use of a hidden file system may be exceptionally difficult depending on the implementation. Emphasis may be placed on detecting related aspects of the adversary lifecycle, such as how malware interacts with the hidden file system or how a hidden file system is loaded.