T1564.009: Создание ветви ресурсов
Злоумышленники могут использовать ветви ресурсов, чтобы скрыть вредоносный код или исполняемые файлы с целью избежать обнаружения и обойти средства безопасности. Ветви ресурсов позволяют приложениям структурированно хранить ресурсы, такие как миниатюры изображений, определения меню, значки, диалоговые окна и код. Понять, использует ли файл ветвь ресурсов, можно по его расширенным атрибутам с помощью команды ls -l@
или xattr -l
. Ветви ресурсов — это устаревшая технология, на смену которой пришла структура пакетов приложений (bundle). Нелокализованные ресурсы размещаются в каталоге верхнего уровня пакета приложения, а локализованные — в папке /Resources
.
Злоумышленники могут использовать ветви ресурсов, чтобы замаскировать вредоносные данные, которые в противном случае хранились бы непосредственно внутри файлов. Злоумышленники могут обращаться к содержимому из прикрепленной ветви ресурса по определенному смещению, чтобы сохранить его в доступный для выполнения каталог и затем выполнить. Содержимое ветви ресурса также может быть обфусцировано или зашифровано до момента выполнения.
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте создание файлов, с помощью которых злоумышленники могут использовать ветви ресурсов, чтобы скрыть вредоносный код или исполняемые файлы с целью избежать обнаружения и обойти средства безопасности. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Отмечайте файлы с расширенным атрибутом |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут использовать ветви ресурсов, чтобы скрыть вредоносный код или исполняемые файлы с целью избежать обнаружения и обойти средства безопасности. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте команды и их аргументы на предмет использования ветвей ресурсов, особенно если сразу вслед за их выполнением совершаются вредоносные действия, такие как создание сетевых подключений. |
---|
Меры противодействия
ID | M1013 | Название | Руководство для разработчиков приложений | Описание | Настраивайте приложения на использование структуры пакетов приложений, в которой используется папка |
---|