T1027.001
Binary Padding
Binary Paddingتوضیحات
مهاجمان دادههای تصادفی به فایلهای اجرایی اضافه میکنند تا hash آنها را تغییر دهند و از شناسایی مبتنی بر hash فرار کنند. این تکنیک میتواند اندازه فایل را تغییر دهد تا از آستانههای اسکن برخی ابزارهای امنیتی عبور کند.
روشهای شناسایی
بررسی فایلهای با padding غیرعادی. تحلیل entropy فایلها. شناسایی فایلهای با اندازه غیرعادی. استفاده از sandbox.
روشهای مقابله
استفاده از sandbox. پیادهسازی Application Whitelisting. نظارت بر فایلهای اجرایی. استفاده از AMSI. فعالسازی Audit Process Creation.
تکنیک اصلی
T1027Obfuscated Files or Information
فایلها یا اطلاعات مبهمسازی شده
مهاجمان فایلها، اسکریپتها و payloadها را مبهمسازی میکنند تا شناسایی را دشوارتر کنند. این تکنیک شامل رمزگذاری، encoding، packing، steganography و سایر روشهای پنهانسازی محتوای مخرب میشود.