Матрица MITRE ATT&CK

Техника на mitre.org

T1564.009: Создание ветви ресурсов

Злоумышленники могут использовать ветви ресурсов, чтобы скрыть вредоносный код или исполняемые файлы с целью избежать обнаружения и обойти средства безопасности. Ветви ресурсов позволяют приложениям структурированно хранить ресурсы, такие как миниатюры изображений, определения меню, значки, диалоговые окна и код. Понять, использует ли файл ветвь ресурсов, можно по его расширенным атрибутам с помощью команды ls -l@ или xattr -l. Ветви ресурсов — это устаревшая технология, на смену которой пришла структура пакетов приложений (bundle). Нелокализованные ресурсы размещаются в каталоге верхнего уровня пакета приложения, а локализованные — в папке /Resources.

Злоумышленники могут использовать ветви ресурсов, чтобы замаскировать вредоносные данные, которые в противном случае хранились бы непосредственно внутри файлов. Злоумышленники могут обращаться к содержимому из прикрепленной ветви ресурса по определенному смещению, чтобы сохранить его в доступный для выполнения каталог и затем выполнить. Содержимое ветви ресурса также может быть обфусцировано или зашифровано до момента выполнения.

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте команды и их аргументы на предмет использования ветвей ресурсов, особенно если сразу вслед за их выполнением совершаются вредоносные действия, такие как создание сетевых подключений.

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте создание файлов, с помощью которых злоумышленники могут использовать ветви ресурсов, чтобы скрыть вредоносный код или исполняемые файлы с целью избежать обнаружения и обойти средства безопасности.

ID	DS0022	Источник и компонент данных	Файл: Метаданные файла	Описание	Отмечайте файлы с расширенным атрибутом `com.apple.ResourceFork`, в ветках ресурсов которых хранится большой объем данных.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, которые могут использовать ветви ресурсов, чтобы скрыть вредоносный код или исполняемые файлы с целью избежать обнаружения и обойти средства безопасности.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте команды и их аргументы на предмет использования ветвей ресурсов, особенно если сразу вслед за их выполнением совершаются вредоносные действия, такие как создание сетевых подключений.
DS0022	Файл: Создание файла	Отслеживайте создание файлов, с помощью которых злоумышленники могут использовать ветви ресурсов, чтобы скрыть вредоносный код или исполняемые файлы с целью избежать обнаружения и обойти средства безопасности.
DS0022	Файл: Метаданные файла	Отмечайте файлы с расширенным атрибутом `com.apple.ResourceFork`, в ветках ресурсов которых хранится большой объем данных.
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, которые могут использовать ветви ресурсов, чтобы скрыть вредоносный код или исполняемые файлы с целью избежать обнаружения и обойти средства безопасности.

Меры противодействия

ID	M1013	Название	Руководство для разработчиков приложений	Описание	Настраивайте приложения на использование структуры пакетов приложений, в которой используется папка `/Resources`.

ID	Название	Описание
M1013	Руководство для разработчиков приложений	Настраивайте приложения на использование структуры пакетов приложений, в которой используется папка `/Resources`.