译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1036
术语表: /attack/glossary
伪装是指攻击者为了规避防御和观察而篡改或滥用可执行文件(合法或恶意)的名称或位置。目前已经发现该技术的几种不同变体。
一种变体是将可执行文件放在一般可信目录中,或将其命名为合法可信程序的名称。另外,设置的文件名可能与合法程序的很像。这样做是为了绕过那些依赖文件名或路径来判断可执行文件是否可信的工具,同时将某一文件的名字与合法的东西相关联,从而使防御者和系统管理员误以为该文件是良性。
在该技术的另一个变体中,攻击者可以使用合法实用程序的重命名副本,例如 rundll32.exe。 当合法实用程序移动到另一个目录并重命名以避免基于系统实用程序的检测(程序从非标准路径执行)会出现另一种情况。
在 Windows 中滥用可信位置的例子是C:\Windows\System32
目录。可以将恶意二进制文件命名为可信二进制文件的名称,如“explorer.exe”和“svchost.exe”。
此技术的另一种变体包括某些恶意二进制文件,它们不是在启动之前,而是在启动后将其运行进程的名称更改为可信或良性进程的名称。
在 Linux 中滥用可信位置的一个示例是/bin
目录。可以将恶意二进制文件命名为可信二进制文件的名称,如“rsyncd”和“dbus-inotifier”。
创建安全规则时,避免基于文件名或文件路径排除。
要求签名的二进制文件。
使用文件系统访问控制来保护文件夹,如 C:\ Windows \ System32
等文件夹。
使用通过基于除文件名外的属性的白名单来限制程序的执行的工具。
根据名称和位置识别可能看起来像合法程序的潜在恶意软件,并在适当情况下使用白名单 工具(如 AppLocker 或软件限制策略 )对其进行审核和/或拦截。
收集文件散列;与其预期散列不匹配的文件名是可疑的。 进行文件监控;具有常见名称但位于不常见位置的文件是可疑的。 同样,与更新或补丁无关的修改文件也是可疑的。 如果磁盘上的二进制名称和二进制文件的资源节(resource section)的文件名不匹配,这很可能表明二进制文件在编译后被重命名。 收集和比较二进制文件的磁盘和资源文件名可以提供有用的线索,但并不总是代表有恶意活动。