ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1027

术语表: /attack/glossary

混淆的文件或信息

攻击者可能尝试通过在系统上或传输中加密,编码或以其他方式混淆其内容来使得可执行文件或文件难以发现或分析。这是常见的用于规避防御的行为,可以在不同平台和网络中使用。 攻击者可以压缩,存档或加密 Payload 以避免检测。在初始访问期间或之后使用这些 Payload 可以降低被检测到的概率。在用户执行阶段时,可能需要用户打开和反混淆/解码文件或信息。还可能要求用户输入密码以打开由攻击者提供的受密码保护的压缩/加密文件。 攻击者还可以使用压缩或归档的脚本,例如 Javascript。 还可以对部分文件进行编码以隐藏纯文本字符串,否则这些字符串将有助于防御者的发现。 也可以将 Payload 分成独立的,看似良性的文件,只有在重新组合时恶意功能才会显示。 攻击者还可以混淆 在 Payload 中或直接通过命令行界面执行的命令。混淆环境变量,别名,字符和其他平台/语言特定语义可规避基于签名的检测和白名单机制。
另一个混淆的例子隐写术,一种隐藏图像,音轨,视频剪辑或文本文件中的消息或代码的技术。最早为人所知的和报道的攻击者使用围绕 Invoke-PSImage 的隐写术。Duqu 恶意软件从受害者的系统中加密收集的信息并将其隐藏到图像中,然后将图像窃取到 C2 服务器。 到 2017 年底,一个攻击者组织使用 Invoke-PSImage 将 PowerShell 命令隐藏在图像文件(png)中,并在受害者系统上执行代码。在这种特殊情况下,PowerShell 代码包含了了另一个混淆的脚本,以从受害者的机器收集情报并将其传回给攻击者。

缓解

确保日志记录和检测机制分析处理/解释后的命令,而不是原始输入。 考虑在 Windows 10 上使用反恶意软件扫描接口 (AMSI) 来实现这一功能。

不建议减少通过网络和电子邮件发送的压缩和加密文件,因为这可能会影响正常操作。

检测

除非混淆过程留下了可以用签名唯一检测到的工件,否则很难检测到文件混淆。 如果本身无法检测到混淆,则可以检测导致混淆的文件的恶意活动(例如,用于在文件系统上写入、读取或修改文件的方法)。 标记和分析包含混淆指示符和已知可疑语法的命令,如未解释的转义字符像'''^'''和' ' ' ‘。 Windows 的 Sysmon 和事件 ID 4688 显示进程的命令行参数。 可以使用反混淆工具来检测文件/有效载荷中的这些指示符。

可以在网络上检测到用于初始访问的有效载荷中的混淆。 使用网络入侵检测系统和电子邮件网关过滤来识别压缩和加密的附件和脚本。 一些电子邮件附件爆炸系统可以打开压缩和加密的附件。 通过网站的加密连接传输的有效载荷需要加密的网络流量检查。