V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыДокументация
← Вернуться к списку
T1027Enterprise
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Обфусцированные файлы или информация

Злоумышленники могут пытаться сделать исполняемый файл или файл трудным для обнаружения или анализа путем шифрования, кодирования или иной обфускации его содержимого в системе или при передаче. Это распространенное поведение, которое может использоваться на разных платформах и в сети для уклонения от средств защиты. Полезные нагрузки могут быть сжаты, архивированы или зашифрованы, чтобы избежать обнаружения. Эти полезные нагрузки могут использоваться во время первоначального доступа или позже для снижения обнаружения. Иногда может потребоваться действие пользователя, чтобы открыть и деобфусцировать/декодировать файлы или информацию для выполнения пользователем. От пользователя также может потребоваться ввести пароль, чтобы открыть защищенный паролем сжатый/зашифрованный файл, предоставленный злоумышленником. Злоумышленники также могут использовать сжатые или архивированные скрипты, такие как JavaScript. Части файлов также могут быть закодированы для сокрытия строк открытого текста, которые в противном случае помогли бы защитникам при обнаружении. Полезные нагрузки также могут быть разделены на отдельные, кажущиеся безобидными файлы, которые раскрывают вредоносную функциональность только при повторной сборке. Злоумышленники также могут злоупотреблять обфускацией команд для сокрытия команд, выполняемых из полезных нагрузок или непосредственно через интерпретатор команд и сценариев. Переменные среды, псевдонимы, символы и другая платформо-/языкоспецифичная семантика могут использоваться для уклонения от обнаружения на основе сигнатур и механизмов контроля приложений.

Тактики

Предотвращение обнаружения

Подтехники

T1027.001
Заполнение исполняемого файла
T1027.002
Упаковка программного обеспечения
T1027.003
Стеганография
T1027.004
Компиляция после доставки
T1027.005
Удаление индикаторов из инструментов
T1027.006
HTML-контрабанда
T1027.007
Динамическое разрешение API
T1027.008
Урезанные полезные нагрузки
T1027.009
Встроенные полезные нагрузки
T1027.010
Обфускация команд
T1027.011
Бесфайловое хранилище
T1027.012
Контрабанда иконок LNK
T1027.013
Зашифрованный/закодированный файл
T1027.014
Полиморфный код
T1027.015
Сжатие
T1027.016
Вставка бесполезного кода
T1027.017
SVG-контрабанда
T1027.018
Невидимый Unicode

Платформы

ESXiLinuxmacOSNetwork DevicesWindows

Меры защиты

M1017
Обучение пользователей
M1040
Предотвращение подозрительного поведения на конечной точке
M1047
Аудит
M1049
Антивирусная защита
Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

CAPEC-267
Использование альтернативного кодирования
CAPEC-542
Целевое вредоносное ПО

Затронутые уязвимости (выводимые)

CVE-2026-34910Вредоносный субъект с доступом к сети может использовать уязвимость валидации неправильных входных данных, обнаруженную в устройствах UniFi OS, для выполнения командной инъекции.
CVE-2026-25586SandboxJS - это библиотека песочницы JavaScript. До 0.8.29 побег из песочницы возможен путем затенения с точки зрения собственности на объекте песочницы, который отключает прототип белого списка на пути доступа к собственности. Это позволяет получить прямой доступ к __proto__ и другим заблокированным свойствам прототипа, что позволяет загрязнять хост Object.prototype и постоянное воздействие поперечного песчаникового отверсту. Эта уязвимость зафиксирована в 0.8.29.
CVE-2026-25520SandboxJS - это библиотека песочницы JavaScript. До 0.8.29 значения возврата функций не обертываются. Object.values/Object.entries можно использовать для получения Массива, содержащего конструктор Функции хоста, с помощью Array.prototype.at вы можете получить конструктор функций хостов, который может быть использован для выполнения произвольного кода за пределами песочницы. Эта уязвимость зафиксирована в пункте 0.8.29.
CVE-2026-21858Получение конфиденциальной информации в n8n
CVE-2026-0848Версии NLTK <=3.9.2 уязвимы для произвольного выполнения кода из-за неправильной валидации ввода в модуле StanfordSegmenter. Модуль динамически загружает внешние файлы Java .jar без проверки или песочницы. Злоумышленник может поставлять или заменять JAR-файл, что позволяет выполнять произвольный байт-код Java в момент импорта. Эта уязвимость может быть использована с помощью таких методов, как отравление моделей, атаки MITM или отравление зависимостей, что приводит к удаленному исполнению кода. Проблема возникает из-за прямого исполнения файла JAR через подпроцесс с непроверенным вводом по пути по классу, что позволяет вредоносным классам выполнять при загрузке JVM.
CVE-2025-54945Внешнее управление именем файла или уязвимостью пути в системе управления корпоративным обучением SUNNET до 10.11 позволяет удаленным злоумышленникам выполнять произвольные системные команды через вредоносный файл, контролируя путь файла назначения.
CVE-2025-34300В Sawtooth Software’s Lighthouse Studio версий до 9.16.14 существует уязвимость, связанная с внедрением шаблона, через Perl веб-приложение ciwweb.pl. Эксплуатация позволяет неаутентифицированному злоумышленнику выполнить произвольные команды [1]. Источники: - [1] https://sawtoothsoftware.com/resources/software-downloads/lighthouse-studio - [2] https://slcyber.io/assetnote-security-research-center/rce-in-the-most-popular-survey-software-youve-never-heard-of/
CVE-2025-34105В встроенном веб-интерфейсе DiskBoss Enterprise версий 7.4.28, 7.5.12 и 8.2.14 существует уязвимость переполнения буфера на основе стека. Злоумышленник может воспользоваться этой уязвимостью, отправив специально сформированный длинный URI, что потенциально может привести к выполнению произвольного кода с привилегиями SYSTEM на уязвимых хостах Windows. Существуют эксплойты для этой уязвимости, доступные на сайтах Exploit-DB [1][2] и в модуле Metasploit [3]. Источники: - [1] https://www.exploit-db.com/exploits/40869 - [2] https://www.exploit-db.com/exploits/42395 - [3] https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/windows/http/diskboss_get_bof.rb - [4] https://www.vulncheck.com/advisories/diskboss-enterprise-buffer-overflow-rce
CVE-2025-34060Уязвимость против инъекций PHP существует в программном обеспечении форума Monero Project Laravel из-за небезопасной обработки ненадежного ввода в конечной точке /get/image/. Приложение передает параметр ссылки, предоставляемый пользователем, непосредственно на file_get_contents() без проверки. Проверки типа MIME с помощью finfo PHP можно обойму через созданные цепочки фильтров потока, которые предотвращают поддельные заголовки, что позволяет получить доступ к внутренним файлам конфигурации Laravel. Злоумышленник может извлечь APP_KEY из config/app.php, подделать зашифрованные файлы cookie и вызвать небезопасные вызовы unserialize(), что приведет к надежному удаленному выполнению кода.
CVE-2025-34043Уязвимость удаленного командного впрыска существует в устройствах Vacron Network Video Recorder (NVR) v1.4 из-за неправильной дезинфекции ввода в скрипте board.cgi. Уязвимость позволяет неаутентифицированным злоумышленникам передавать произвольные команды базовой операционной системе через созданные HTTP-запросы. Эти команды выполняются с привилегиями процесса веб-сервера, что позволяет удаленное выполнение кода и потенциальный полный компенсация устройства. Доказательства эксплуатации были замечены Фондом Shadowserver на 2025-02-06 UTC.
CVE-2025-2857После недавнего выхода из песочницы Chrome (CVE-2025-2783) различные разработчики Firefox выявили аналогичный шаблон в нашем коде IPC. Скомпрометированный дочерний процесс может привести к тому, что родительский процесс вернёт случайно мощный дескриптор, что приведёт к выходу из песочницы. Исходная уязвимость эксплуатировалась в дикой природе. *Эта проблема затрагивает только Firefox на Windows. Другие операционные системы не затронуты.* Эта уязвимость затрагивает Firefox < 136.0.4, Firefox ESR < 128.8.1 и Firefox ESR < 115.21.1.
CVE-2025-23202Bible Module - это инструмент, предназначенный для разработчиков ROBLOX для интеграции функциональности Библии в их игры. Функции `FetchVerse` и `FetchPassage` в Bible Module подвержены инъекции из-за отсутствия проверки входных данных. Эта уязвимость может позволить злоумышленнику манипулировать URL запросов API, что потенциально приведет к несанкционированному доступу или изменениям данных. Эта проблема была решена в версии 0.0.3. Всем пользователям рекомендуется обновиться. Неизвестны обходные пути для этой уязвимости.
CVE-2025-20393Выполнение произвольного кода в Cisco Secure Email Gateway And Cisco Secure Email and Web Manager
CVE-2025-20337Уязвимость в API Cisco ISE и Cisco ISE-PIC позволяет неаутентифицированному удалённому злоумышленнику выполнить произвольный код в базовой операционной системе с правами root. Эта уязвимость обусловлена недостаточной проверкой пользовательского ввода. Злоумышленник может отправить специально сформированный API-запрос для эксплуатации этой уязвимости. Успешная эксплуатация позволяет злоумышленнику получить права root на уязвимом устройстве [1]. Источники: - [1] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6
CVE-2025-20281Уязвимость в определённом API Cisco ISE и Cisco ISE-PIC может позволить неавторизованному, удалённому злоумышленнику выполнить произвольный код в базовой операционной системе с правами root. Злоумышленнику не требуются какие-либо действительные учётные данные для эксплуатации этой уязвимости [1]. Эта уязвимость обусловлена недостаточной проверкой пользовательского ввода. Злоумышленник может воспользоваться этой уязвимостью, отправив специально подготовленный запрос к API. Успешная эксплуатация может позволить злоумышленнику получить права root на уязвимом устройстве. Источники: - [1] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6
Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.