T1564.012: Файлы- или пути-исключения
Злоумышленники могут попытаться скрыть файловые артефакты, сохраняя их в файлах или папках, игнорируемых антивирусным сканированием и другими защитными механизмами. Антивирусы и другие файловые сканеры часто поддерживают исключения для оптимизации производительности и упрощения установки легитимных приложений. Исключения могут быть контекстными (например, сканирование запускается только при определенных событиях или предупреждениях), однако нередко в коде этих сканеров также прописываются конкретные папки и файлы, считающиеся надежными и легитимными.
Злоумышленники могут воспользоваться этими исключениями, чтобы скрыть свои файловые артефакты. Например, вместо манипуляций с настройками средства безопасности с целью добавления нового исключения (техника Отключение или перенастройка средств защиты) злоумышленники могут разместить свою полезную нагрузку в стандартных или других известных файлах- или папках-исключениях. Злоумышленники также могут использовать технику Изучение средств защиты, а также другие техники изучения и разведки, чтобы обнаружить и подтвердить наличие исключений в среде жертвы.
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Monitor for newly constructed files, especially those that are unexpectedly created in folders associated with or spoofing that of trusted applications. Also, consider prioritizing monitoring and analyzing file activity in known file/path exclusions. |
---|
Меры противодействия
ID | M1049 | Название | Антивирус или ПО для защиты от вредоносных программ | Описание | Review and audit file/folder exclusions, and limit scope of exclusions to only what is required where possible. |
---|
ID | M1013 | Название | Руководство для разработчиков приложений | Описание | Application developers should consider limiting the requirements for custom or otherwise difficult to manage file/folder exclusions. Where possible, install applications to trusted system folder paths that are already protected by restricted file and directory permissions. |
---|