MITRE ATT&CK - Техника Разветвление ресурсов

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Hide Artifacts: Разветвление ресурсов

Other sub-techniques of Hide Artifacts (10)

ID	Название
.001	Скрытые файлы и каталоги
.002	Скрытые пользователи
.003	Скрытое окно
.004	Атрибуты файла NTFS
.005	Скрытая файловая система
.006	Запуск виртуальной машины
.007	Сокрытие в скомпилированном VBA-коде
.008	Правила для сокрытия писем
.009	Разветвление ресурсов
.010	Подмена аргументов процесса

Adversaries may abuse resource forks to hide malicious code or executables to evade detection and bypass security applications. A resource fork provides applications a structured way to store resources such as thumbnail images, menu definitions, icons, dialog boxes, and code.(Citation: macOS Hierarchical File System Overview) Usage of a resource fork is identifiable when displaying a file’s extended attributes, using ls -l@ or xattr -l commands. Resource forks have been deprecated and replaced with the application bundle structure. Non-localized resources are placed at the top level directory of an application bundle, while localized resources are placed in the /Resources folder.(Citation: Resource and Data Forks)(Citation: ELC Extended Attributes) Adversaries can use resource forks to hide malicious data that may otherwise be stored directly in files. Adversaries can execute content with an attached resource fork, at a specified offset, that is moved to an executable location then invoked. Resource fork content may also be obfuscated/encrypted until execution.(Citation: sentinellabs resource named fork 2020)(Citation: tau bundlore erika noerenberg 2020)

ID: T1564.009

Относится к технике: T1564

Тактика(-и): Defense Evasion

Платформы: macOS

Источники данных: Command: Command Execution, File: File Creation, File: File Metadata, Process: Process Creation

Версия: 1.0

Дата создания: 12 Oct 2021

Последнее изменение: 05 May 2022

Название	Описание
Примеры процедур
Keydnap	Keydnap uses a resource fork to present a macOS JPEG or text file icon rather than the executable's icon assigned by the operating system.(Citation: OSX Keydnap malware)
OSX/Shlayer	OSX/Shlayer has used a resource fork to hide a compressed binary file of itself from the terminal, Finder, and potentially evade traditional scanners.(Citation: tau bundlore erika noerenberg 2020)(Citation: sentinellabs resource named fork 2020)

Контрмера	Описание
Контрмеры
Application Developer Guidance	This mitigation describes any guidance or training given to developers of applications to avoid introducing security weaknesses that an adversary may be able to take advantage of.

Обнаружение

Identify files with the com.apple.ResourceFork extended attribute and large data amounts stored in resource forks. Monitor command-line activity leveraging the use of resource forks, especially those immediately followed by potentially malicious activity such as creating network connections.

Ссылки

Связанные риски

Ничего не найдено

Каталоги

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.