Ограничители выполнения

Злоумышленники могут использовать ограничители выполнения для ограничения выполнения или действий на основе предоставленных злоумышленником и специфичных для среды условий, которые, как ожидается, присутствуют на цели. Ограничители обеспечивают, что полезная нагрузка выполняется только против предполагаемой цели и уменьшает побочный ущерб от кампании злоумышленника. Значения, которые злоумышленник может предоставить о целевой системе или среде для использования в качестве ограничителей, могут включать конкретные имена сетевых ресурсов, подключенные физические устройства, файлы, присоединенные домены Active Directory (AD) и локальные/внешние IP-адреса. Ограничители могут использоваться для предотвращения раскрытия возможностей в средах, которые не предназначены для компрометации или работы в них. Это использование ограничителей отличается от типичного Уклонения от виртуализации/песочницы. Хотя использование Уклонения от виртуализации/песочницы может включать проверку известных значений песочницы и продолжение выполнения только при отсутствии совпадения, использование ограничителей будет включать проверку ожидаемого специфичного для цели значения и продолжение выполнения только при наличии такого совпадения. Злоумышленники могут идентифицировать и блокировать определенные пользовательские агенты для уклонения от защиты и сужения области своей атаки до жертв и платформ, на которых она будет наиболее эффективной. Пользовательский агент самоидентифицирует данные, такие как программное приложение пользователя, операционная система, поставщик и версия. Злоумышленники могут проверять пользовательские агенты на идентификацию операционной системы, а затем предоставлять вредоносное ПО только для эксплуатируемого программного обеспечения, игнорируя все остальные операционные системы.