T1036 · Маскировка

Сканер-ВСкаталог уязвимостей · v4.2

T1036Enterprise

Матрица: Enterprise

Статус: Активная

STIX: 19.0

Источник ↗

Маскировка

Злоумышленники могут пытаться манипулировать функциями своих артефактов, чтобы заставить их выглядеть легитимными или безобидными для пользователей и/или средств безопасности. Маскировка происходит, когда имя или расположение объекта, легитимного или вредоносного, манипулируется или используется с целью уклонения от средств защиты и наблюдения. Это может включать манипулирование метаданными файлов, обман пользователей, чтобы они неправильно идентифицировали тип файла, и предоставление легитимных имен задачам или службам. Переименование злоупотребляемых системных утилит для уклонения от мониторинга безопасности также является формой маскировки.

Тактики

Предотвращение обнаружения

Подтехники

Недействительная подпись кода

Переопределение справа налево

Переименование легитимных утилит

Маскировка задачи или службы

Совпадение легитимного имени или расположения ресурса

Пробел после имени файла

Двойное расширение файла

Маскировка типа файла

Разрыв деревьев процессов

Маскировка имени учетной записи

Перезапись аргументов процесса

Отпечаток браузера

Платформы

ContainersESXiLinuxmacOSWindows

Меры защиты

Обучение пользователей

Управление учётными записями пользователей

Ограничение прав доступа к файлам и каталогам

Предотвращение выполнения кода

Предотвращение подозрительного поведения на конечной точке

Подписание кода

Антивирусная защита

Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

Создание файлов с именами, совпадающими с именами файлов с более высоким грифом защиты

Затронутые уязвимости (выводимые)

CVE-2025-65474An arbitrary file rename vulnerability in the /admin/manager.php component of EasyImages 2.0 v2.8.6 and below allows attackers to execute arbitrary code via renaming a PHP file to a SVG format.

CVE-2024-35198TorchServe — это гибкий и простой в использовании инструмент для обслуживания и масштабирования моделей PyTorch в производстве. Проверка TorchServe конфигурации allowed_urls может быть обойдена, если URL-адрес содержит такие символы, как "..", но это не мешает загрузке модели в хранилище моделей. После загрузки файла на него можно ссылаться без указания URL-адреса во второй раз, что фактически обходит проверку безопасности allowed_urls. Клиенты, использующие PyTorch inference Deep Learning Containers (DLC) через Amazon SageMaker и EKS, не подвержены риску. Эта проблема в TorchServe была решена путем проверки URL-адреса без таких символов, как "..", перед загрузкой см. PR #3082. Выпуск TorchServe 0.11.0 включает исправление для устранения этой уязвимости. Пользователям рекомендуется обновиться. Обходных путей для этой уязвимости не существует.

CVE-2023-31814Прошивка D-Link DIR-300 <=REVA1.06 и <=REVB2.06 уязвима к включению файлов через /model/__lang_msg.php.

CVE-2022-30258В Technitium DNS Server версий до 8.0.2 обнаружена проблема, которая позволяет использовать вариант V2 непреднамеренного разрешения доменных имен. Отозванное доменное имя все еще может быть разрешимым в течение длительного времени, включая домены с истекшим сроком действия и удаленные вредоносные домены. Последствия эксплойта будут широко распространены и окажут огромное воздействие, поскольку эксплойт соответствует фактическим спецификациям DNS и оперативной практике и преодолевает текущие исправления для смягчения последствий для «призрачных» доменных имен.

CVE-2022-30257В Technitium DNS Server версий до 8.0.2 обнаружена проблема, которая позволяет использовать вариант V1 непреднамеренного разрешения доменных имен. Отозванное доменное имя все еще может быть разрешимым в течение длительного времени, включая домены с истекшим сроком действия и удаленные вредоносные домены. Последствия эксплойта будут широко распространены и окажут огромное воздействие, поскольку эксплойт соответствует фактическим спецификациям DNS и оперативной практике и преодолевает текущие исправления для смягчения последствий для «призрачных» доменных имен.

CVE-2021-40539Zoho ManageEngine ADSelfService Plus версии 6113 и более ранних версий уязвим для обхода аутентификации REST API с последующим удаленным выполнением кода.

CVE-2020-15505Уязвимость удаленного выполнения кода в MobileIron Core & Connector версий 10.3.0.3 и более ранних, 10.4.0.0, 10.4.0.1, 10.4.0.2, 10.4.0.3, 10.5.1.0, 10.5.2.0 и 10.6.0.0; и Sentry версий 9.7.2 и более ранних, и 9.8.0; и Monitor and Reporting Database (RDB) версии 2.0.0.1 и более ранних, которая позволяет удаленным злоумышленникам выполнять произвольный код через неуказанные векторы.

CVE-2020-10574Обнаружена проблема в Janus до версии 0.9.1. janus.c пытается использовать строку, которая на самом деле не существует, во время запроса Admin API "query_logger" из-за опечатки в проверке JSON.

CVE-2019-8908Проблема обнаружена в WTCMS 1.0. Это позволяет удаленным злоумышленникам выполнять произвольный PHP-код, перейдя на экран «Настройки -> Конфигурация почтового ящика -> Шаблон регистрационного письма» и загрузив файл изображения, как продемонстрировано именем файла .php и заголовком «Content-Type: image/gif».

CVE-2019-7731MyWebSQL 3.7 имеет уязвимость удаленного выполнения кода (RCE) после того, как злоумышленник записывает shell-код в базу данных и выполняет функцию резервного копирования базы данных с именем файла .php для архивного файла резервной копии.

CVE-2021-37315Проблема неправильного контроля доступа, обнаруженная в Cloud Disk во встроенном ПО маршрутизатора ASUS RT-AC68U версии до 3.0.0.4.386.41634, позволяет удаленным злоумышленникам записывать произвольные файлы из-за неправильной обработки исходного кода для операций COPY и MOVE.

CVE-2021-37144CSZ CMS 1.2.9 уязвим для произвольного удаления файлов. Это происходит в PHP, когда вызывается функция unlink(), и ввод пользователя может повлиять на части или весь затронутый параметр, который представляет путь к удаляемому файлу, без достаточной очистки.

CVE-2023-28643Nextcloud сервер - это реализация облака для дома с открытым исходным кодом. В затронутых версиях, когда получатель получает 2 совместных ресурса с одним и тем же именем, при этом кэш памяти сконфигурирован, второй ресурс заменит первый, вместо того чтобы быть переименованным в `{name} (2)`. Рекомендуется обновить сервер Nextcloud до версии 25.0.3 или 24.0.9. Пользователи, не способные обновиться, должны избегать совместного использования 2 папок с одним и тем же именем для одного и того же пользователя.

CVE-2021-37214Страница управления сотрудниками Flygo содержит уязвимость Insecure Direct Object Reference (IDOR). После аутентификации в качестве обычного пользователя удаленные злоумышленники могут манипулировать идентификатором сотрудника в определенных параметрах для произвольного доступа к данным сотрудника, изменять их, а затем получать привилегии администратора и выполнять произвольные команды.

CVE-2019-9901Envoy версии 1.9.0 и более ранних не нормализует пути URL-адресов HTTP. Удаленный злоумышленник может создать относительный путь, например, something/../admin, чтобы обойти контроль доступа, например, блокировку /admin. Затем сервер внутренней обработки может интерпретировать ненормализованный путь и предоставить злоумышленнику доступ за пределы области, предусмотренной политикой контроля доступа.

Открыть на attack.mitre.org ↗

Совпадений нет — уточните фильтр.