MITRE ATT&CK - Техника Пробел после имени файла

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Masquerading: Пробел после имени файла

Other sub-techniques of Masquerading (7)

ID	Название
.001	Недействительная подпись кода
.002	Использование символа RLO
.003	Переименование системных утилит
.004	Имитация задачи или службы
.005	Подбор легитимного имени или расположения
.006	Пробел после имени файла
.007	Двойное расширение файла

Adversaries can hide a program's true filetype by changing the extension of a file. With certain file types (specifically this does not work with .app extensions), appending a space to the end of a filename will change how the file is processed by the operating system. For example, if there is a Mach-O executable file called evil.bin, when it is double clicked by a user, it will launch Terminal.app and execute. If this file is renamed to evil.txt, then when double clicked by a user, it will launch with the default text editing application (not executing the binary). However, if the file is renamed to evil.txt (note the space at the end), then when double clicked by a user, the true file type is determined by the OS and handled appropriately and the binary will be executed (Citation: Mac Backdoors are back). Adversaries can use this feature to trick users into double clicking benign-looking files of any format and ultimately executing something malicious.

ID: T1036.006

Относится к технике: T1036

Тактика(-и): Defense Evasion

Платформы: Linux, macOS

Требуемые разрешения: User

Источники данных: File: File Metadata

Версия: 1.0

Дата создания: 10 Feb 2020

Последнее изменение: 29 Mar 2020

Название	Описание
Примеры процедур
Keydnap	Keydnap puts a space after a false .jpg extension so that execution actually goes through the Terminal.app program.(Citation: synack 2016 review)

Обнаружение

It's not common for spaces to be at the end of filenames, so this is something that can easily be checked with file monitoring. From the user's perspective though, this is very hard to notice from within the Finder.app or on the command-line in Terminal.app. Processes executed from binaries containing non-standard extensions in the filename are suspicious.

Ссылки

Связанные риски

Ничего не найдено

Каталоги

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.