T1027

فایل‌ها یا اطلاعات مبهم‌سازی شده

Obfuscated Files or Information

توضیحات

مهاجمان فایل‌ها، اسکریپت‌ها و payload‌ها را مبهم‌سازی می‌کنند تا شناسایی را دشوارتر کنند. این تکنیک شامل رمزگذاری، encoding، packing، steganography و سایر روش‌های پنهان‌سازی محتوای مخرب می‌شود.

زیرتکنیک‌ها (5)

شناسهنام

T1027.001

Binary PaddingBinary Padding

مهاجمان داده‌های تصادفی به فایل‌های اجرایی اضافه می‌کنند تا hash آن‌ها را تغییر دهند و از شناسایی مبتنی بر hash فرار کنند. این تکنیک می‌تواند اندازه فایل را تغییر دهد تا از آستانه‌های اسکن برخی ابزارهای امنیتی عبور کند.

T1027.002

Software PackingSoftware Packing

مهاجمان از packer‌ها برای فشرده‌سازی و رمزگذاری فایل‌های اجرایی استفاده می‌کنند تا از شناسایی توسط آنتی‌ویروس فرار کنند. Packer‌های معروف مانند UPX، MPRESS و packer‌های سفارشی برای این منظور استفاده می‌شوند.

T1027.004

Compile After DeliveryCompile After Delivery

مهاجمان کد منبع یا bytecode را به سیستم هدف تحویل می‌دهند و آن را روی سیستم هدف compile می‌کنند. این تکنیک از شناسایی مبتنی بر امضا فرار می‌کند زیرا فایل اجرایی نهایی روی سیستم هدف ایجاد می‌شود.

T1027.006

HTML SmugglingHTML Smuggling

مهاجمان از HTML Smuggling برای دور زدن فیلترهای شبکه و تحویل payload‌های مخرب از طریق مرورگر استفاده می‌کنند. با استفاده از JavaScript و HTML5 Blob API، payload مخرب در مرورگر کاربر مونتاژ می‌شود.

T1027.010

مبهم‌سازی دستورCommand Obfuscation

مهاجمان دستورات shell را مبهم‌سازی می‌کنند تا از شناسایی توسط ابزارهای امنیتی فرار کنند. این شامل استفاده از کاراکترهای خاص، encoding، جایگزینی متغیر و سایر روش‌های مبهم‌سازی در PowerShell، cmd و bash می‌شود.

روش‌های شناسایی

شناسایی فایل‌های با entropy بالا. نظارت بر اجرای کد مبهم‌سازی شده. استفاده از sandbox برای تحلیل. بررسی اسکریپت‌های با obfuscation.

روش‌های مقابله

استفاده از AMSI. پیاده‌سازی Application Whitelisting. نظارت بر اجرای اسکریپت. استفاده از sandbox. فعال‌سازی Script Block Logging.

گروه‌های تهدید (4)

شناسهنام گروه

G0016

APT29 — Cozy Bear

APT29 یک گروه تهدید پیشرفته مرتبط با سرویس اطلاعات خارجی روسیه (SVR) است. این گروه از سال ۲۰۰۸ فعال بوده و به حملات پیچیده علیه دولت‌ها، سازمان‌های دیپلماتیک، اندیشکده‌ها و ارائه‌دهندگان فناوری در سراسر جهان شناخته می‌شود. این گروه در حمله زنجیره تأمین SolarWinds در سال ۲۰۲۰ نقش داشته است.

نام‌های دیگر: خرس آرام، The Dukes، Midnight Blizzard

G0096

APT41 — Double Dragon

APT41 یک گروه تهدید پیشرفته مرتبط با چین است که هم به انگیزه جاسوسی دولتی و هم به انگیزه مالی عمل می‌کند. این گروه از سال ۲۰۱۲ فعال بوده و صنایع بهداشت، فناوری، مخالیکاسیون و بازی‌های ویدیویی را هدف قرار داده است.

نام‌های دیگر: اژدهای دوگانه، Winnti، Barium

G0064

APT33 — Elfin

APT33 یک گروه تهدید پیشرفته مرتبط با ایران است که از سال ۲۰۱۳ فعال می‌باشد. این گروه صنایع هوافضا، انرژی و پتروشیمی در عربستان سعودی، آمریکا و کره جنوبی را هدف قرار داده است.

نام‌های دیگر: الفین، Refined Kitten، Magnallium

G0125

هافنیوم

HAFNIUM یک گروه تهدید پیشرفته مرتبط با چین است که در سال ۲۰۲۱ با بهره‌برداری از آسیب‌پذیری‌های zero-day در Microsoft Exchange Server به شهرت رسید. این گروه محققان بیماری‌های عفونی، شرکت‌های حقوقی، پیمانکاران دفاعی و سازمان‌های غیردولتی را هدف قرار داده است.

نام‌های دیگر: هافنیوم