T1564.009: Создание ветви ресурсов

Злоумышленники могут использовать ветви ресурсов, чтобы скрыть вредоносный код или исполняемые файлы с целью избежать обнаружения и обойти средства безопасности. Ветви ресурсов позволяют приложениям структурированно хранить ресурсы, такие как миниатюры изображений, определения меню, значки, диалоговые окна и код. Понять, использует ли файл ветвь ресурсов, можно по его расширенным атрибутам с помощью команды ls -l@ или xattr -l. Ветви ресурсов — это устаревшая технология, на смену которой пришла структура пакетов приложений (bundle). Нелокализованные ресурсы размещаются в каталоге верхнего уровня пакета приложения, а локализованные — в папке /Resources.

Злоумышленники могут использовать ветви ресурсов, чтобы замаскировать вредоносные данные, которые в противном случае хранились бы непосредственно внутри файлов. Злоумышленники могут обращаться к содержимому из прикрепленной ветви ресурса по определенному смещению, чтобы сохранить его в доступный для выполнения каталог и затем выполнить. Содержимое ветви ресурса также может быть обфусцировано или зашифровано до момента выполнения.

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте создание файлов, с помощью которых злоумышленники могут использовать ветви ресурсов, чтобы скрыть вредоносный код или исполняемые файлы с целью избежать обнаружения и обойти средства безопасности.

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

Отмечайте файлы с расширенным атрибутом com.apple.ResourceFork, в ветках ресурсов которых хранится большой объем данных.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые могут использовать ветви ресурсов, чтобы скрыть вредоносный код или исполняемые файлы с целью избежать обнаружения и обойти средства безопасности.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте команды и их аргументы на предмет использования ветвей ресурсов, особенно если сразу вслед за их выполнением совершаются вредоносные действия, такие как создание сетевых подключений.

Меры противодействия

IDM1013НазваниеРуководство для разработчиков приложенийОписание

Настраивайте приложения на использование структуры пакетов приложений, в которой используется папка /Resources.