T1027.004
Compile After Delivery
Compile After Deliveryتوضیحات
مهاجمان کد منبع یا bytecode را به سیستم هدف تحویل میدهند و آن را روی سیستم هدف compile میکنند. این تکنیک از شناسایی مبتنی بر امضا فرار میکند زیرا فایل اجرایی نهایی روی سیستم هدف ایجاد میشود.
روشهای شناسایی
نظارت بر استفاده از compilerها. شناسایی compile کردن کد در زمان اجرا. بررسی فایلهای منبع مشکوک. تحلیل رفتار فرآیندها.
روشهای مقابله
محدود کردن دسترسی به compilerها. پیادهسازی Application Whitelisting. نظارت بر فعالیت compiler. استفاده از EDR. فعالسازی Audit Process Creation.
تکنیک اصلی
T1027Obfuscated Files or Information
فایلها یا اطلاعات مبهمسازی شده
مهاجمان فایلها، اسکریپتها و payloadها را مبهمسازی میکنند تا شناسایی را دشوارتر کنند. این تکنیک شامل رمزگذاری، encoding، packing، steganography و سایر روشهای پنهانسازی محتوای مخرب میشود.