Матрица MITRE ATT&CK

Техника на mitre.org

T1564.012: Файлы- или пути-исключения

Злоумышленники могут попытаться скрыть файловые артефакты, сохраняя их в файлах или папках, игнорируемых антивирусным сканированием и другими защитными механизмами. Антивирусы и другие файловые сканеры часто поддерживают исключения для оптимизации производительности и упрощения установки легитимных приложений. Исключения могут быть контекстными (например, сканирование запускается только при определенных событиях или предупреждениях), однако нередко в коде этих сканеров также прописываются конкретные папки и файлы, считающиеся надежными и легитимными.

Злоумышленники могут воспользоваться этими исключениями, чтобы скрыть свои файловые артефакты. Например, вместо манипуляций с настройками средства безопасности с целью добавления нового исключения (техника Отключение или перенастройка средств защиты) злоумышленники могут разместить свою полезную нагрузку в стандартных или других известных файлах- или папках-исключениях. Злоумышленники также могут использовать технику Изучение средств защиты, а также другие техники изучения и разведки, чтобы обнаружить и подтвердить наличие исключений в среде жертвы.

Способы обнаружения

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте неожиданное появление файлов в папках, которые связаны с доверенными приложениями или имитируют такие папки. Кроме того, по возможности отслеживайте и анализируйте взаимодействия с файлами среди известных файлов- и путей-исключений.

ID	Источник и компонент данных	Описание
DS0022	Файл: Создание файла	Отслеживайте неожиданное появление файлов в папках, которые связаны с доверенными приложениями или имитируют такие папки. Кроме того, по возможности отслеживайте и анализируйте взаимодействия с файлами среди известных файлов- и путей-исключений.

Меры противодействия

ID	M1049	Название	Антивирус или ПО для защиты от вредоносных программ	Описание	Просматривайте и проверяйте списки файлов- и папок-исключений и по возможности ограничивайте объем исключений только тем, что необходимо.

ID	M1013	Название	Руководство для разработчиков приложений	Описание	Разработчикам приложений следует избегать использования нестандартных или сложно контролируемых файлов- и папок-исключений. По возможности устанавливайте приложения в доверенные системные папки, которые уже защищены ограничениями на доступ к файлам и каталогам.

ID	Название	Описание
M1049	Антивирус или ПО для защиты от вредоносных программ	Просматривайте и проверяйте списки файлов- и папок-исключений и по возможности ограничивайте объем исключений только тем, что необходимо.
M1013	Руководство для разработчиков приложений	Разработчикам приложений следует избегать использования нестандартных или сложно контролируемых файлов- и папок-исключений. По возможности устанавливайте приложения в доверенные системные папки, которые уже защищены ограничениями на доступ к файлам и каталогам.