T1564.012: Файлы- или пути-исключения

Злоумышленники могут попытаться скрыть файловые артефакты, сохраняя их в файлах или папках, игнорируемых антивирусным сканированием и другими защитными механизмами. Антивирусы и другие файловые сканеры часто поддерживают исключения для оптимизации производительности и упрощения установки легитимных приложений. Исключения могут быть контекстными (например, сканирование запускается только при определенных событиях или предупреждениях), однако нередко в коде этих сканеров также прописываются конкретные папки и файлы, считающиеся надежными и легитимными.

Злоумышленники могут воспользоваться этими исключениями, чтобы скрыть свои файловые артефакты. Например, вместо манипуляций с настройками средства безопасности с целью добавления нового исключения (техника Отключение или перенастройка средств защиты) злоумышленники могут разместить свою полезную нагрузку в стандартных или других известных файлах- или папках-исключениях. Злоумышленники также могут использовать технику Изучение средств защиты, а также другие техники изучения и разведки, чтобы обнаружить и подтвердить наличие исключений в среде жертвы.

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Monitor for newly constructed files, especially those that are unexpectedly created in folders associated with or spoofing that of trusted applications. Also, consider prioritizing monitoring and analyzing file activity in known file/path exclusions.

Меры противодействия

IDM1049НазваниеАнтивирус или ПО для защиты от вредоносных программОписание

Review and audit file/folder exclusions, and limit scope of exclusions to only what is required where possible.

IDM1013НазваниеРуководство для разработчиков приложенийОписание

Application developers should consider limiting the requirements for custom or otherwise difficult to manage file/folder exclusions. Where possible, install applications to trusted system folder paths that are already protected by restricted file and directory permissions.