T1140
رمزگشایی/decode فایلها یا اطلاعات
Deobfuscate/Decode Files or Informationتوضیحات
مهاجمان فایلها یا اطلاعات رمزگذاری شده یا encode شده را برای اجرا decode میکنند. این تکنیک اغلب با T1027 ترکیب میشود. ابزارهایی مانند certutil، PowerShell و سایر ابزارهای سیستمی برای decode کردن payloadهای مخرب استفاده میشوند.
روشهای شناسایی
نظارت بر استفاده از certutil با پارامترهای decode. شناسایی استفاده از base64 decode در اسکریپتها. بررسی ابزارهای سیستمی برای decode. تحلیل رفتار فرآیندها.
روشهای مقابله
نظارت بر استفاده از ابزارهای decode. پیادهسازی Application Whitelisting. استفاده از AMSI. فعالسازی Script Block Logging. نظارت بر فرآیندها.