T1587.001: Вредоносное ПО

Злоумышленники могут разрабатывать вредоносное ПО и его компоненты, чтобы использовать их для атак. Создание вредоносного ПО может включать разработку полезных нагрузок, дропперов, инструментов посткомпрометации, бэкдоров (включая образы с бэкдором), упаковщиков и протоколов связи с командными серверами, а также создание зараженных съемных носителей. Злоумышленники могут разрабатывать вредоносное ПО для поддержки своих операций, создавая средства для контроля над удаленными компьютерами, обхода защиты и выполнения действий после компрометации.

Создание вредоносного ПО, как и легитимного, требует от авторов наличия различных навыков. Злоумышленники могут уже обладать необходимыми навыками или пользоваться услугами специалистов. Вредоносное ПО, создаваемое при участии внешних подрядчиков, может считаться инструментом определенной группы злоумышленников, если она участвует в формировании требований и сохраняет часть эксклюзивных прав на него.

Для некоторых аспектов разработки вредоносного ПО, например создания протокола связи с командным сервером, злоумышленникам может потребоваться дополнительная инфраструктура. Например, вредоносное ПО, которое взаимодействует с Twitter для обмена данными с командным сервером, может использовать веб-сервисы.

Способы обнаружения

IDDS0004Источник и компонент данныхРепозиторий вредоносного ПО: Метаданные вредоносного ПООписание

Monitor for contextual data about a malicious payload, such as compilation times, file hashes, as well as watermarks or other identifiable configuration information. Much of this activity will take place outside the visibility of the target organization, making detection of this behavior difficult. Detection efforts may be focused on post-compromise phases of the adversary lifecycle.

IDDS0004Источник и компонент данныхРепозиторий вредоносного ПО: Содержимое вредоносного ПООписание

Consider analyzing malware for features that may be associated with the adversary and/or their developers, such as compiler used, debugging artifacts, or code similarities. Malware repositories can also be used to identify additional samples associated with the adversary and identify development patterns over time.

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

This technique cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls.