ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1045

术语表: /attack/glossary

软件打包

软件打包是一种压缩或加密可执行文件的方法。打包可执行文件会更改文件签名,以避免基于签名的检测。大多数解压缩技术将内存中的可执行代码解压缩。 用于执行软件打包的实用程序称为打包程序。例如 MPRESS 和 UPX。已有广泛的打包程序列表 ,但攻击者可以创建自己的打包技术,这些技术不会像众所周知的打包程序那样留下相同的工件,以规避防御。

缓解

确保更新病毒定义。为观察到的恶意软件创建自定义签名。采用启发式恶意软件检测。 在适当的情况下使用诸如 AppLocker 或软件限制策略等白名单工具来识别和防止可能已打包的潜在恶意软件的执行。

检测

使用文件扫描来查找已知的软件包或打包技术的组件。打包并不一定表示有恶意行为,因为合法软件可能使用打包技术来减少二进制大小