T1027.002

Software Packing

توضیحات

مهاجمان از packer‌ها برای فشرده‌سازی و رمزگذاری فایل‌های اجرایی استفاده می‌کنند تا از شناسایی توسط آنتی‌ویروس فرار کنند. Packer‌های معروف مانند UPX، MPRESS و packer‌های سفارشی برای این منظور استفاده می‌شوند.

روش‌های شناسایی

شناسایی فایل‌های packed با entropy بالا. تحلیل فایل‌های اجرایی با ابزارهای unpacking. استفاده از sandbox. بررسی section‌های PE.

روش‌های مقابله

استفاده از sandbox. پیاده‌سازی Application Whitelisting. نظارت بر فایل‌های با entropy بالا. استفاده از آنتی‌ویروس پیشرفته. فعال‌سازی AMSI.

تکنیک اصلی

T1027Obfuscated Files or Information

فایل‌ها یا اطلاعات مبهم‌سازی شده

مهاجمان فایل‌ها، اسکریپت‌ها و payload‌ها را مبهم‌سازی می‌کنند تا شناسایی را دشوارتر کنند. این تکنیک شامل رمزگذاری، encoding، packing، steganography و سایر روش‌های پنهان‌سازی محتوای مخرب می‌شود.

سایر زیرتکنیک‌ها (4)

T1027.001 · Binary Padding T1027.004 · Compile After Delivery T1027.006 · HTML Smuggling T1027.010 · مبهم‌سازی دستور