Bedrohungsindikatoren
Jede Kategorie stellt einen Bereich dar, der häufig in schädlicher Software vorkommt.
Anomalien
Diese Indikatoren zeigen Situationen auf, in denen die Datei Elemente enthält, die in irgendeiner Weise inkonsistent oder anomal sind. Häufig handelt es sich um Inkonsistenzen in Strukturelementen in der Datei.
Indikator | Beschreibung |
---|---|
16bitSubsystem | Diese Datei verwendet das 16-Bit-Subsystem. Dies wird von Malware genutzt, um sich in einem weniger sicheren und weniger überwachten Teil des Betriebssystems einzunisten und häufig auch, um Angriffe zur Erweiterung der Berechtigungen durchzuführen. |
Anachronism | Diese PE scheint bezüglich ihres Erstellungsdatums zu lügen, was untypisch für professionell geschriebene Software ist. |
AppendedData | An diese PE sind einige zusätzliche Inhalte angehängt, die über die normalen Bereiche der Datei hinausgehen. Angehängte Daten können häufig auch verwendet werden, um schädlichen Code oder Daten einzubetten, und werden häufig von Schutzsystemen übersehen. |
AutoitDbgPrivilege | Das AutoIt-Skript kann Debug-Aktivitäten ausführen. |
AutoiManyDllCalls | Das AutoIt-Skript verwendet viele externe DLL-Aufrufe. Die AutoIt-Laufzeit verfügt bereits über viele allgemeine Funktionen, daher kann die Verwendung zusätzlicher Funktionen von externen DLLs ein Anzeichen für eine Bedrohung sein. |
AutoitMutex | Das AutoIt-Skript erstellt Synchronisierungsobjekte. Dies wird häufig von Malware verwendet, um mehrere Infektionen desselben Ziels zu verhindern. |
AutoitProcessCarving | Das AutoIt-Skript führt wahrscheinlich eine Verarbeitungszuordnung zur Ausführung des eigenen Codes aus, der scheinbar von einem anderen Prozess stammt. Dies wird oft durchgeführt, um die Erkennung zu behindern. |
AutoitProcessInjection | Das AutoIt-Skript führt wahrscheinlich eine Prozessinjektion durch, um Code in einem anderen Prozesskontext auszuführen, um möglicherweise unentdeckt zu bleiben oder Daten zu stehlen. |
AutoitRegWrite | Das AutoIt-Skript schreibt in die Windows -Registrierungsdatenbank. |
Base64Alphabet | Diese Datei enthält Hinweise auf die Verwendung der Base64-Kodierung eines Alphabets. Malware versucht auf diese Weise, eine einfache Erkennung zu vermeiden oder andere Programme anzugreifen, die Base64-Kodierung verwenden. |
CommandlineArgsImport | Diese Datei importiert Funktionen, die zum Lesen von Argumenten aus einer Befehlszeile verwendet werden können. Malware nutzt dies, um Informationen über nachfolgende Ausführungen zu sammeln. |
ComplexMultipleFilters | Die Datei enthält mehrere Streams mit mehreren Filtern. |
ComplexObfuscatedEncoding | Die Datei enthält eine ungewöhnlich hohe Anzahl unkenntlich gemachter Namen. |
ComplexUnsupportedVersion EmbeddedFiles | Die Datei verwendet EmbeddedFiles-Funktionen aus neueren Versionen des PDF-Standards als in der Datei angegeben. |
ComplexUnsupportedVersionFlate | Die Datei verwendet die FlateDecode-Funktion aus neueren Versionen des PDF-Standards als in der Datei angegeben. |
ComplexUnsupportedVersionJbig2 | Die Datei verwendet die JBIG2Decode-Funktion aus neueren Versionen des PDF-Standards als in der Datei angegeben. |
ComplexUnsupportedVersionJs | Die Datei verwendet JavaScript -Funktionen aus neueren Versionen des PDF-Standards als in der Datei angegeben. |
ComplexUnsupportedVersionXFA | Die Datei verwendet XFA-Funktionen aus neueren Versionen des PDF-Standards als in der Datei angegeben. |
ComplexUnsupportedVersionXobject | Die Datei verwendet XObject-Features aus neueren Versionen des PDF-Standards als in der Datei angegeben. |
ContainsFlash | Die Datei enthält Flash-Objekte. |
ContainsPE | Die Datei enthält eingebettete ausführbare Dateien. |
ContainsU3D | Die Datei enthält U3D-Objekte. |
InvalidCodePageUsed | Die Datei verwendet ein ungültiges oder nicht erkanntes Gebietsschema, möglicherweise um die Erkennung zu vermeiden. |
InvalidData | Die Metadaten der Datei sind offensichtlich gefälscht oder beschädigt. |
InvalidStructure | Die Dateistruktur ist ungültig. Die Größen, Metadaten oder die interne Sektorzuordnungstabelle sind falsch, was auf einen Exploit hinweisen kann. |
ManifestMismatch | Die Datei weist eine Inkonsistenz in ihrem Manifest auf. Malware tut dies, um nicht entdeckt zu werden, verwischt aber selten ihre Spuren gründlich. |
NontrivialDLLEP | Diese PE ist eine DLL mit einem nicht trivialen Einstiegspunkt. Dies ist bei DLLs üblich, aber eine schädliche DLL kann ihren Einstiegspunkt verwenden, um sich in einen Prozess einzunisten. |
NullValuesInStrings | Einige Zeichenfolgen innerhalb der Datei enthalten in der Mitte Nullzeichen. |
PDFParserArraysContainsNullCount | Die Datei enthält in Arrays eine anomal hohe Anzahl von Nullwerten. |
PDFParserArraysHeterogeneous Anzahl | Die Datei enthält eine ungewöhnlich hohe Anzahl von Arrays mit unterschiedlichen Elementtypen. |
PDFParserMailtoURICount | Die Datei enthält eine ungewöhnlich hohe Anzahl von E-Mail-Links (mailto:). |
PDFParserMinPageCount | Die Datei hat eine ungewöhnliche Struktur von Seitenobjekten – eine hohe Anzahl von untergeordneten Seitenobjekten pro Knoten. |
PDFParserNamesPoundName MaxLength | Möglicherweise versucht die Datei, ihren Inhalt mit langen codierten Zeichenfolgen zu verschleiern. |
PDFParserNamesPoundName MinLength | Die Datei enthält eine anomal hohe Mindestlänge eines maskierten Namens. |
PDFParserNamesPoundName TotalLength | Möglicherweise versucht die Datei, ihren Inhalt zu verschleiern, indem ein Großteil ihres Inhalts in codierten Zeichenfolgen gespeichert wird. |
PDFParserNamesPoundName UpperCount | Die Datei enthält eine anomal hohe Anzahl von maskierten Namen mit hexadezimalen Großbuchstaben. |
PDFParserNamesPoundName ValidCount | Die Datei enthält eine anomal hohe Anzahl gültiger maskierter Namen. |
PDFParserNamesPoundPerName MaxCount | Die Datei enthält eine anomal hohe maximale Anzahl maskierter Zeichen pro Namen. |
PDFParserNamesPound UnnecessaryCount | Die Datei enthält eine anomal hohe Anzahl unnötig maskierter Namen. |
PDFParserNumbersLeading DigitTallies8 | Die Datei enthält eine anomal hohe Anzahl von Zahlen, die in Dezimaldarstellung mit 8 beginnen. |
PDFParserNumbersPlusCount | Die Datei enthält eine anomal hohe Anzahl von Zahlen mit ausdrücklichem Pluszeichen. |
PDFParserNumbersRealMax RawLength | Die Datei enthält eine anomal hohe Maximallänge einer reellen Zahl. |
PDFParserPageCounts | Die Datei enthält eine anomal hohe Anzahl untergeordneter Seitenobjekte. |
PDFParserPageObjectCount | Die Datei enthält eine anomal hohe Anzahl von Seitenobjekten. |
PDFParserSizeEOF | Die Datei enthält ein anomal langes Ende der Dateisequenz(en). |
PDFParserStringsHexLowerCount | Die Datei enthält eine anomal hohe Anzahl maskierter Zeichenfolgen mit hexadezimalen Kleinbuchstaben. |
PDFParserStringsLiteralString MaxLength | Die Datei enthält eine anomal hohe maximale Länge einer literalen Zeichenfolge. |
PDFParserStringsOctalZero PaddedCount | Die Datei enthält eine anomal hohe Anzahl oktaler maskierter Zeichen in Zeichenfolgen, die unnötig viele Nullen enthalten. |
PDFParserTrailerSpread | Die Datei enthält eine anomal große Verteilung zwischen Anhängerobjekten. |
PDFParserWhitespaceComment MaxLength | Die Datei enthält eine anomal hohe maximale Länge eines Kommentars. |
PDFParserWhitespaceComment MinLength | Die Datei enthält ungewöhnliche kurze Kommentare, die von der Reader-Software nicht verwendet werden. |
PDFParserWhitespaceComment TotalLength | Die Datei enthält eine ungewöhnlich große Menge an auskommentierten Daten. |
PDFParserWhitespaceEOL0ACount | Die Datei enthält eine ungewöhnlich hohe Anzahl von Zeilenendezeichen in kurzen Zeilen. |
PDFParserWhitespaceWhitespace 00Count | Die Datei enthält eine anomal hohe Anzahl von Null-Bytes, die als Leerraum verwendet werden. |
PDFParserWhitespaceWhitespace 09Count | Die Datei enthält eine ungewöhnlich hohe Anzahl von 09-Bytes, die als Leerraum verwendet werden. |
PDFParserWhitespaceWhitespace LongestRun | Die Datei enthält einen auffällig langen Leerraum. |
PDFParserWhitespaceWhitespace TotalLength | Die Datei enthält eine anomal hohe Anzahl von Leerzeichen. |
PDFParseru3DObjectsNames AllNames | Die Datei enthält eine anomal hohe Anzahl von U3D-Objekten. |
PossibleBAT | Die Datei enthält Hinweise darauf, dass eine standardmäßige Windows -Batch-Datei enthalten ist. Malware tut dies, um gängige Scan-Techniken zu vermeiden und persistent zu bleiben. |
PossibleDinkumware | Diese Datei zeigt Hinweise darauf, dass einige Komponenten von Dinkumware enthalten sind. Dinkumware wird häufig in verschiedenen Malware-Komponenten verwendet. |
PropertyImpropriety | Die Datei enthält verdächtige OOXML-Eigenschaften. |
RaiseExceptionImports | Diese Datei importiert Funktionen, mit denen Ausnahmen innerhalb eines Programms erstellt werden. Malware nutzt dies, um Taktiken einzusetzen, die eine standardmäßige dynamische Codeanalyse erschweren. |
ReservedFieldsViolation | Die Datei verstößt gegen die Spezifikation in Bezug auf die Verwendung von reservierten Feldern. |
ResourceAnomaly | Diese Datei enthält eine Anomalie im Ressourcenabschnitt. Malware enthält häufig fehlerhafte oder andere ungewöhnliche Bits im Ressourcenabschnitt einer DLL. |
RWXSection | Diese PE kann modifizierbaren Code enthalten, der im besten Fall unorthodox und im schlimmsten Fall symptomatisch für eine Virusinfektion ist. Häufig bedeutet diese Funktion, dass die Datei mit einem anderen als einem Standard-Compiler erstellt oder nach ihrer ursprünglichen Erstellung geändert wurde. |
SectorMalfeasance | Die Datei enthält strukturelle Unregelmäßigkeiten bei der OLE-Sektorzuordnung. |
StringInvalid | Einer der Verweise auf eine Zeichenfolge in einer Zeichentabelle zeigte auf einen negativen Offset. |
StringTableNotTerminated | Eine Zeichenfolgentabelle wurde nicht mit einem Null-Byte abgeschlossen. Dies könnte zu einem Fehler bei der Ausführung führen, da die Zeichenfolge keinen Abschluss hat. |
StringTruncated | Einer der Verweise auf eine Zeichenfolge in einer Zeichentabelle zeigt auf einen Punkt nach Ende der Datei. |
SuspiciousPDataSection | Diese PE verdeckt etwas in ihrem „pdata“-Bereich, das nicht identifiziert werden kann. Der „pdata“-Bereich in einer PE wird in der Regel zur Verarbeitung von Laufzeitstrukturen verwendet, aber diese Datei enthält etwas anderes. |
SuspiciousRelocSection | Diese PE verdeckt etwas im „relocations“-Bereich, das nicht identifiziert werden kann. Der „relocations“-Bereich einer PE wird in der Regel zum Verschieben bestimmter Symbole verwendet, aber diese Datei enthält etwas anderes. |
SuspiciousDirectoryNames | Die Datei enthält OLE-Verzeichnisnamen, die mit Schadsoftware in Zusammenhang stehen. |
SuspiciousDirectoryStructure | Die Datei hat Unregelmäßigkeiten in der OLE-Verzeichnisstruktur. |
SuspiciousEmbedding | Die Datei verwendet verdächtige Einbettung von OLE. |
SuspiciousVBA | Die Datei enthält verdächtigen VBA-Code. |
SuspiciousVBALib | Die Datei zeigt eine verdächtige Verwendung der VBA-Bibliothek. |
SuspiciousVBANames | Die Datei enthält verdächtige Namen im Zusammenhang mit VBA-Strukturen. |
SuspiciousVBAVersion | Die Datei enthält verdächtige VBA-Versionierung. |
SWFOddity | Die Datei enthält bestimmte fragwürdige Verwendungen des eingebetteten SWF-Objekts. |
TooMalformedToProcess | Die Datei ist so fehlerhaft, dass sie nicht vollständig geparst werden konnte. |
VersionAnomaly | Die Datei hat Probleme mit der Darstellung ihrer Versionsinformationen. Malware tut dies, um die Erkennung zu vermeiden. |
Erfassung
Diese Indikatoren zeigen Situationen auf, in denen die Datei über Elemente verfügt, die auf Fähigkeiten oder Anzeichen für die Erfassung von Daten hinweisen. Dies kann die Aufzählung der Systemkonfiguration oder die Sammlung spezifischer sensibler Informationen beinhalten.
Indikator | Beschreibung |
---|---|
BrowserInfoTheft | Die Datei enthält Beweise für die Absicht, in Browser-Caches gespeicherte Kennwörter zu lesen. Malware verwendet diese, um die Kennwörter zur Exfiltration zu sammeln. |
CredentialProvider | Die Datei enthält Hinweise auf die Interaktion mit einem Zugangsdatenprovider oder die Absicht, als ein Zugangsdatenprovider aufzutreten. Malware tut dies, da Zugangsdatenprovider Zugang zu vielen Arten von sensiblen Daten wie Benutzernamen und Kennwörtern erhalten. Indem sie sich als solche ausgeben, können sie die Integrität der Authentifizierung untergraben. |
CurrentUserInfoImports | Die Datei importiert Funktionen, mit denen Informationen über den derzeit angemeldeten Benutzer erfasst werden. Malware nutzt dies, um Aktionspfade zur Erhöhung von Privilegien zu bestimmen und Angriffe präziser auszurichten. |
DebugStringImports | Die Datei importiert Funktionen, die zur Ausgabe von Debug-Zeichenfolgen verwendet werden. In der Regel ist diese Funktion in der Produktionssoftware deaktiviert, bleibt aber in getesteter Malware aktiviert. |
DiskInfoImports | Die Datei importiert Funktionen, mit denen Details zu Volumes im System erfasst werden können. Malware nutzt dies in Verbindung mit der Auflistung, um Fakten über Volumes zur Vorbereitung eines weiteren Angriffs zu ermitteln. |
EnumerateFileImports | Die Datei importiert Funktionen, die zum Auflisten von Dateien verwendet werden. Malware verwendet dies, um nach sensiblen Daten zu suchen oder weitere Angriffspunkte zu finden. |
EnumerateModuleImports | Die Datei importiert Funktionen, mit denen alle DLLs aufgelistet werden können, die ein laufender Prozess verwendet. Malware verwendet diese Funktion, um bestimmte Bibliotheken zum Laden in einen Prozess zu finden und anzuvisieren und einen Prozess für die Injektion zu finden. |
EnumerateNetwork | Die Datei verfügt nachweislich über die Möglichkeit, verbundene Netzwerke und Netzwerkadapter aufzuzählen. Malware tut dies, um festzustellen, wo ein Zielsystem im Verhältnis zu anderen liegt, und um nach möglichen lateralen Pfaden zu suchen. |
EnumerateProcessImports | Die Datei importiert Funktionen, mit denen alle laufenden Prozesse in einem System aufgelistet werden können. Malware nutzt diese Fähigkeit, um Prozesse zu finden, in die sie sich integrieren kann oder die sie löschen möchte. |
EnumerateVolumeImports | Die Datei importiert Funktionen, mit denen die Volumes im System aufgelistet werden können. Malware nutzt dies, um alle Bereiche zu finden, in denen sie nach Daten suchen muss, oder um eine Infektion zu verbreiten. |
GinaImports | Die Datei importiert Funktionen, die für den Zugriff auf Gina verwendet werden. Malware tut dies in dem Versuch, das sichere Kennwort-Eingabesystem über Strg-Alt-Entf oder andere Netzwerk-Anmeldefunktionen zu knacken. |
HostnameSearchImports | Die Datei importiert Funktionen, die dazu dienen, Informationen über Hostnamen im Netzwerk und den Hostnamen des Rechners selbst zu sammeln. Malware nutzt diese Funktion, um weitere Angriffe zu planen oder nach neuen Zielen zu suchen. |
KeystrokeLogImports | Die Datei importiert Funktionen, die Tastenanschläge auf der Tastatur erfassen und protokollieren können. Malware nutzt diese Funktion, um Tastenanschläge zu erfassen und zu speichern und so vertrauliche Informationen wie Kennwörter zu ermitteln. |
OSInfoImports | Diese Datei importiert Funktionen, mit denen Informationen über das aktuelle Betriebssystem erfasst werden. Malware nutzt dies, um zu ermitteln, wie weitere Angriffe besser angepasst werden können, und um Informationen an einen Controller zurückzumelden. |
PossibleKeylogger | Diese Datei enthält Beweise für Keylogger-artige Aktivitäten. Malware verwendet Keylogger, um sensible Informationen von der Tastatur zu erfassen. |
PossiblePasswords | Diese Datei enthält nachweislich gängige Kennwörter oder hat eine Struktur, die ein Brute-Forcing gängiger Kennwörter ermöglicht. Malware nutzt diesen Ansatz, um in ein Netzwerk einzudringen, indem sie per Kennwort auf andere Ressourcen zugreift. |
ProcessorInfoWMI | Diese Datei importiert Funktionen, mit denen Details über den Prozessor ermittelt werden können. Malware nutzt dies, um Angriffe anzupassen und diese Daten in eine gemeinsame Befehls- und Kontrollinfrastruktur zu exfiltrieren. |
RDPUsage | Diese Datei zeigt Nachweise für die Interaktion mit dem Remote Desktop Protocol (RDP). Malware nutzt diese häufig, um sich lateral zu bewegen und direkte Befehls- und Steuerungsfunktionen zu bieten. |
SpyString | Die Datei spioniert möglicherweise der Zwischenablage von Benutzeraktionen durch die Verwendung der API für erleichterte Bedienung aus. |
SystemDirImports | Diese Datei importiert Funktionen, mit denen das Systemverzeichnis gefunden wird. So ermittelt Malware, wo sich viele der installierten Systembinärdateien befinden, da sie sich häufig zwischen diesen Dateien versteckt. |
UserEnvInfoImports | Diese Datei importiert Funktionen, mit denen Informationen über die Umgebung des derzeit angemeldeten Benutzers erfasst werden. Malware nutzt dies, um Details über den angemeldeten Benutzer zu ermitteln und nach anderen Informationen zu suchen, die sich aus den Umgebungsvariablen ableiten lassen. |
Datenverlust
Diese Indikatoren zeigen Situationen auf, in denen die Datei über Elemente verfügt, die auf Fähigkeiten oder Anzeichen für die Datenextraktion hinweisen. Dies kann ausgehende Netzwerkverbindungen, Nachweise für die Funktion als Browser oder andere Netzwerkkommunikationen umfassen.
Indikator | Beschreibung |
---|---|
AbnormalNetworkActivity | Die Datei implementiert eine nicht standardmäßige Netzwerkmethode. Malware tut dies, um die Erkennung durch weit verbreitete Netzwerkansätze zu vermeiden. |
BrowserPluginString | Die Datei ist in der Lage, Browser-Plug-ins aufzulisten oder zu installieren. |
ContainsBrowserString | Die Datei enthält Nachweise für den Versuch, eine benutzerdefinierte UserAgent-Zeichenfolge zu erstellen. Malware verwendet häufig gängige UserAgent-Zeichenfolgen, um die Erkennung in ausgehenden Anfragen zu vermeiden. |
DownloadFileImports | Die Datei importiert Funktionen, die zum Herunterladen von Dateien auf das System verwendet werden können. Malware nutzt dies als Möglichkeit, einen Angriff weiterzuführen und Daten über die ausgehende URL zu exfiltrieren. |
FirewallModifyImports | Die Datei importiert Funktionen, die zur Änderung der lokalen Windows -Firewall verwendet werden. Malware nutzt dies, um Lücken zu öffnen und Erkennung zu vermeiden. |
HTTPCustomHeaders | Die Datei enthält Nachweise für das Erstellen zusätzlicher benutzerdefinierter HTTP-Header. Malware tut dies, um Interaktionen mit Befehls- und Steuerungs-Infrastrukturen (C&C) durchzuführen und eine Erkennung zu vermeiden. |
IRCCommands | Die Datei enthält Nachweise für die Interaktion mit einem IRC-Server. Malware verwendet häufig IRC zur Ermöglichung einer Befehls- und Steuerungs-Infrastruktur. |
MemoryExfiltrationImports | Die Datei importiert Funktionen, mit denen der Speicher von einem laufenden Prozess gelesen werden kann. Malware nutzt diese Informationen, um die richtigen Orte zu bestimmen, an denen sie eingefügt werden muss, oder um nützliche Informationen aus dem Speicherbereich eines laufenden Prozesses zu extrahieren, z. B. Kennwörter, Kreditkarten oder andere sensible Informationen. |
NetworkOutboundImports | Die Datei importiert Funktionen, mit denen Daten an das Netzwerk oder das allgemeine Internet gesendet werden können. Malware nutzt dies als Methode zur Datenextraktion oder als Methode für Befehle und Steuerung. |
PipeUsage | Die Datei importiert Funktionen, die die Bearbeitung von Named Pipes ermöglichen. Malware nutzt dies als Kommunikationsmethode und zur Datenextraktion. |
RPCUsage | Die Datei importiert Funktionen, mit denen es mit RPC-Infrastrukturen (Remote Procedure Call) interagieren kann. Malware nutzt dies, um sich zu verbreiten oder um Daten zur Extraktion an Remotesysteme zu senden. |
Täuschung
Diese Indikatoren zeigen Situationen auf, in denen die Datei Elemente enthält, die auf Fähigkeiten oder Anzeichen einer versuchten Täuschung hinweisen. Täuschung kann in Form von versteckten Abschnitten, der Einbettung von Code zur Vermeidung einer Entdeckung oder durch Hinweise auf eine falsche Kennzeichnung in Metadaten oder anderen Abschnitten erfolgen.
Indikator | Beschreibung |
---|---|
AddedHeader | Die Datei enthält einen zusätzlichen, verschleierten PE-Header, der versteckte schädliche Daten enthalten kann. |
AddedKernel32 | Die Datei enthält einen zusätzlichen, verschleierten Verweis auf kernel32.dll – eine Bibliothek, die von schädlichen Payloads verwendet werden kann. |
AddedMscoree | Die Datei enthält einen zusätzlichen, verschleierten Verweis auf mscoree.dll – eine Bibliothek, die von schädlichen Payloads verwendet werden kann. |
AddedMsvbvm | Die Datei enthält einen zusätzlichen, verschleierten Verweis auf msvbvm – eine Bibliothek, die von bösartigen, für Microsoft Visual Basic 6 kompilierten Payloads verwendet werden kann. |
AntiVM | Die Datei zeigt Funktionen, mit denen ermittelt werden kann, ob der Prozess in einer virtuellen Maschine ausgeführt wird. Malware tut dies, um zu vermeiden, dass sie in virtualisierten Sandboxes ausgeführt wird, die immer weiter verbreitet sind. |
AutoitDownloadExecute | Das AutoIt-Skript kann Dateien herunterladen und ausführen. Dies geschieht häufig, um zusätzlichen schädlichen Code einzuschleusen. |
AutoitObfuscationStringConcat | Das AutoIt-Skript ist wahrscheinlich mit Zeichenfolgenverkettung verschleiert. Dies geschieht häufig, um die Erkennung ganzer verdächtiger Befehle zu verhindern. |
AutoitShellcodeCalling | Das AutoIt-Skript verwendet die Windows -API-Funktion CallWindowProc(), die auf das Injizieren von Shellcode hindeuten kann. |
AutoitUseResources | Das AutoIt-Skript verwendet Daten aus Ressourcen, die zusammen mit dem Skript gespeichert werden. Malware speichert oft wichtige Teile von sich selbst als Ressourcendaten und entpackt sie zur Laufzeit. Daher wirkt dies verdächtig. |
CabinentUsage | Die Datei zeigt an, dass sie eine CAB-Datei enthält. Malware packt sensible Komponenten so, dass viele Erkennungssysteme sie nicht entdecken können. |
ClearKernel32 | Die Datei enthält einen Verweis auf kernel32.dll – eine Bibliothek, die von schädlichen Payloads verwendet werden kann. |
ClearMscoree | Die Datei enthält einen Verweis auf mscoree.dll – eine Bibliothek, die von schädlichen Payloads verwendet werden kann. |
ClearMsvbvm | Die Datei enthält einen Verweis auf msvbvm – eine Bibliothek, die von schädlichen, für Microsoft Visual Basic 6 kompilierten Payloads verwendet werden kann. |
ComplexInvalidVersion | Die Datei deklariert die falsche PDF-Version. |
ComplexJsStenographySuspected | Die Datei kann JavaScript -Code enthalten, der in literalen Zeichenfolgen verborgen ist. |
ContainsEmbeddedDocument | Die Datei enthält ein Dokument, das in das Objekt eingebettet ist. Malware kann dies nutzen, um einen Angriff auf mehrere Quellen zu verbreiten oder ihre wahre Form anderweitig zu verbergen. |
CryptoKeys | Die Datei enthält Hinweise auf einen eingebetteten kryptografischen Schlüssel. Malware tut dies, um nicht entdeckt zu werden und möglicherweise zur Authentifizierung bei Remote-Diensten. |
DebugCheckImports | Die Datei importiert Funktionen, mit denen sie wie ein Debugger agieren kann. Malware nutzt diese Funktion, um aus anderen Prozessen heraus zu lesen und zu schreiben. |
EmbeddedPE | Die PE enthält weitere PEs, was normalerweise nur bei Software-Installationsprogrammen der Fall ist. Häufig enthält Malware eine eingebettete PE-Datei, die sie dann auf der Festplatte ablegt und ausführt. Diese Technik wird häufig verwendet, um Malware-Scanner zu umgehen, indem Binärdateien in einem Format verpackt werden, das deren zugrunde liegende Scan-Technologie nicht versteht. |
EncodedDosStub1 | Die PE enthält einen verschleierten PE-DOS-Stub, der möglicherweise zu versteckter bösartiger Software gehört. |
EncodedDosStub2 | Die PE enthält einen verschleierten PE-DOS-Stub, der möglicherweise zu versteckter bösartiger Software gehört. |
EncodedPE | In der PE sind zusätzliche PEs verborgen, was äußerst verdächtig ist. Ähnlich dem letzten EmbeddedPE-Indikator, aber mit einem Kodierungsschema, das versucht, die Binärdaten innerhalb des Objekts weiter zu verbergen. |
ExecuteDLL | Die PE enthält Hinweise auf die Fähigkeit, eine DLL mit gängigen Methoden auszuführen. Malware nutzt dies als Methode, um häufige Erkennungspraktiken zu umgehen. |
FakeMicrosoft | Diese PE gibt vor, von Microsoft geschrieben zu sein, sieht aber nicht wie eine Microsoft -PE aus. Malware tarnt sich häufig als Microsoft -PE, um unauffällig zu sein. |
HiddenMachO | Die Datei hat eine weitere ausführbare MachO-Datei, die nicht ordnungsgemäß deklariert ist. Dies kann ein Versuch sein, schädlichen Code so zu verbergen, dass er nicht leicht erkannt wird. |
HTTPCustomUserAgent | Die Datei enthält Hinweise auf die Manipulation des Browser-UserAgents. Malware tut dies, um Interaktionen mit Befehls- und Steuerungs-Infrastrukturen (C&C) durchzuführen und eine Erkennung zu vermeiden. |
InjectProcessImports | Die PE kann Code in andere Prozesse einspeisen. Das bedeutet häufig, dass ein Prozess versucht, in irgendeiner Weise irreführend oder schädlich zu sein. |
InvisibleEXE | Die PE scheint unsichtbar zu laufen, ist aber kein Hintergrunddienst. Sie könnte so konzipiert sein, dass sie sich verbirgt. |
JSTokensSuspicious | Die Datei enthält ungewöhnlich verdächtiges JavaScript . |
MSCertStore | Die Datei zeigt Hinweise darauf, dass sie mit dem zentralen Windows -Zertifikatspeicher interagiert. Malware erfasst auf diese Weise Anmeldeinformationen und fügt falsche Schlüssel in den Datenstrom ein, um z. B. Man-in-the-Middle-Angriffe zu ermöglichen. |
MSCryptoImports | Die Datei importiert Funktionen, um die zentrale Windows Kryptografie-Bibliothek zu verwenden. Malware nutzt dies, um die lokal installierte Kryptografie zu nutzen, sodass sie nicht ihre eigene enthalten muss. |
PDFParserDotDotSlash1URICount | Die Datei kann versuchen, Pfade mit relativen Pfadangaben wie "../" zu durchlaufen. |
PDFParserJavaScriptMagicseval~28 | Die Datei kann verschleiertes JavaScript enthalten oder dynamisch geladenes JavaScript mit eval() ausführen. |
PDFParserJavaScriptMagic sunescape~28 | Die Datei enthält möglicherweise verschleiertes JavaScript . |
PDFParserjsObjectsLength | Die Datei enthält eine ungewöhnlich hohe Anzahl einzelner JavaScript -Skripte. |
PDFParserJSStreamCount | Die Datei enthält eine ungewöhnlich hohe Anzahl von JavaScript -bezogenen Datenströmen. |
PDFParserJSTokenCounts0 cumulativesum | Die Datei enthält eine ungewöhnlich hohe Anzahl von JavaScript -Token. |
PDFParserJSTokenCounts1 cumulativesum | Die Datei enthält eine ungewöhnlich hohe Anzahl von JavaScript -Token. |
PDFParserNamesAllNames Suspicious | Die Datei enthält eine ungewöhnlich hohe Anzahl an verdächtigen Namen. |
PDFParserNamesObfuscatedNames Suspicious | Die Datei enthält eine ungewöhnlich hohe Anzahl unkenntlich gemachter Namen. |
PDFParserPEDetections | Die Datei enthält (eine) eingebettete PE-Datei(en). |
PDFParserSwfObjectsxObservationsx SWFObjectsversion | Die Datei enthält ein SWF-Objekt mit einer ungewöhnlichen Versionsnummer. |
PDFParserSwfObjectsxObservation sxSWFObjectsxZLibcmfSWFObjectsx ZLibcmf | Die Datei enthält ein SWF-Objekt mit ungewöhnlichen Komprimierungsparametern. |
PDFParserswfObjectsxObservations xSWFObjectsxZLibflg | Die Datei enthält ein SWF-Objekt mit ungewöhnlichen Komprimierungs-Flag-Parametern. |
PE_ClearDosStub1 | Die Datei enthält einen DOS-Stub – Hinweis auf die Einbindung einer PE-Datei. |
PE_ClearDosStub2 | Die Datei enthält einen DOS-Stub – Hinweis auf die Einbindung einer PE-Datei. |
PE_ClearHeader | Die Datei enthält PE-Datei-Header-Daten, die nicht in die Dateistruktur gehören. |
PEinAppendedSpace | Die Datei enthält eine PE-Datei, die nicht in die Dateistruktur gehört. |
PEinFreeSpace | Die Datei enthält eine PE-Datei, die nicht in die Dateistruktur gehört. |
ProtectionExamination | Die Datei scheint nach gängigen Schutzsystemen zu suchen. Malware nutzt dies, um eine Anti-Schutz-Maßnahme auszuführen, die auf das auf dem System installierte Programm zugeschnitten ist. |
SegmentSuspiciousName | Ein Segment hat entweder eine ungültige Zeichenfolge als Name oder einen ungewöhnlichen, nicht standardmäßigen Namen. Dies kann auf Manipulation nach der Kompilierung oder die Verwendung eines Packers oder Obfuscators hinweisen. |
SegmentSuspiciousSize | Die Segmentgröße unterscheidet sich erheblich von der Größe aller darin enthaltenen Inhaltsabschnitte. Dies kann auf die Nutzung eines nicht referenzierten Bereichs oder auf die Reservierung von Speicherplatz für das Entpacken von bösartigem Code zur Laufzeit hinweisen. |
SelfExtraction | Die Datei scheint ein selbstextrahierendes Archiv zu sein. Malware nutzt diese Taktik häufig, um ihre wahren Absichten zu verschleiern. |
ServiceDLL | Die Datei scheint eine DLL eines Dienstes zu sein. Dienst-DLL-Dateien werden in svchost.exe-Prozesse geladen und stellen eine gängige Methode von Malware dar, um persistent zu bleiben. |
StringJsSplitting | Die Datei enthält verdächtige JS-Token. |
SWFinAppendedSpace | Die Datei enthält ein Shockwave Flash-Objekt, das nicht zur Dokumentstruktur gehört. |
TempFileImports | Die Datei importiert Funktionen, die für den Zugriff auf und die Bearbeitung von temporären Dateien verwendet werden. Malware tut dies, da temporäre Dateien oft nicht entdeckt werden. |
UsesCompression | Die Datei scheint Teile des Codes zu enthalten, die komprimiert zu sein scheinen. Malware nutzt diese Techniken, um die Erkennung zu vermeiden. |
VirtualProtectImports | Die Datei importiert Funktionen, die dazu dienen, den Speicher eines laufenden Prozesses zu verändern. Malware tut dies, um sich selbst in laufende Prozesse zu injizieren. |
XoredHeader | Die Datei enthält einen mit XOR verschleierten PE-Header, der versteckte schädliche Daten enthalten kann. |
XoredKernel32 | Die Datei enthält einen mit XOR verschleierten Verweis auf kernel32.dll – eine Bibliothek, die von schädlicher Payload verwendet werden kann. |
XoredMscoree | Die Datei enthält einen mit XOR verschleierten Verweis auf mscoree.dll – eine Bibliothek, die von schädlicher Payload verwendet werden kann. |
XoredMsvbvm | Die Datei enthält einen mit XOR verschleierten Verweis auf msvbvm – eine Bibliothek, die von schädlicher, für Microsoft Visual Basic 6 kompilierter Payload verwendet werden kann. |
Zerstörung
Diese Indikatoren zeigen Situationen auf, in denen die Datei über Elemente verfügt, die auf Fähigkeiten oder Anzeichen der Zerstörung hinweisen. Zu den destruktiven Funktionen gehört die Möglichkeit, Systemressourcen wie Dateien oder Verzeichnisse zu löschen.
Indikator | Beschreibung |
---|---|
action_writeByte | Das VBA-Skript innerhalb des Dokuments schreibt wahrscheinlich Bytes in eine Datei – dies ist eine ungewöhnliche Aktion für ein legitimes Dokument. |
action_hexToBin | Das VBA-Skript innerhalb der Datei verwendet wahrscheinlich eine Hexadezimal-zu-Binär-Konvertierung, die auf die Decodierung versteckter schädlicher Payloads hinweisen kann. |
appended_URI | Die Datei enthält eine Verknüpfung, die nicht zur Dateistruktur gehört. |
appended_exploit | Die Datei enthält verdächtige Daten außerhalb der Dateistruktur, die auf einen Exploit hinweisen können. |
appended_macro | Die Datei enthält ein Makro-Skript, das nicht in die Dateistruktur gehört. |
appended_90_nopsled | Die Datei enthält ein nop-sled, das nicht in die Dateistruktur gehört – dies ist mit ziemlicher Sicherheit vorhanden, um einen Exploit zu erleichtern. |
AutorunsPersistence | Die Datei versucht, mit allgemeinen Persistenzmethoden zu interagieren (z. B. Skripte beim Systemstart). Malware nutzt diese Taktiken häufig, um Persistenz zu erreichen. |
DestructionString | Die Datei verfügt über die Fähigkeit, Prozesse zu beenden oder den Rechner über Shell-Befehle herunterzufahren. |
FileDirDeleteImports | Die PE importiert Funktionen, die zum Löschen von Dateien oder Verzeichnissen verwendet werden können. Malware nutzt dies, um Systeme zu zerstören und ihre Spuren zu verwischen. |
JsHeapSpray | Die Datei enthält wahrscheinlich Heap-Spray-Code. |
PossibleLocker | Die Datei ist ein Beweis für die Absicht, gängige Tools per Richtlinie auszusperren. Malware tut dies, um Persistenz zu bewahren und die Erkennung und Bereinigung zu erschweren. |
RegistryManipulation | Die Datei importiert Funktionen, die zur Manipulation der Windows -Registrierungsdatenbank verwendet werden. Malware tut dies, um Persistenz zu erreichen, Erkennung zu vermeiden und aus vielen anderen Gründen. |
SeBackupPrivilege | Die PE versucht möglicherweise, Dateien zu lesen, für die ihr kein Zugriff gewährt wurde. Die SeBackup-Berechtigung ermöglicht den Zugriff auf Dateien ohne der Zugriffssteuerung zu unterliegen. Dies wird häufig von Programmen verwendet, die Backups verwalten, und ist oft auf administrative Benutzer beschränkt, kann aber auch in böser Absicht verwendet werden, um Zugriff auf bestimmte, schwierig zu erreichende Elemente zu erhalten. |
SeDebugPrivilege | Die PE versucht möglicherweise, Systemprozesse zu manipulieren. Die SeDebug-Berechtigung wird für den Zugriff auf andere Prozesse als Ihre eigenen verwendet und ist häufig Benutzern mit Administratorrechten vorbehalten. Sie wird oft mit dem Lesen von und Schreiben in andere Prozesse kombiniert. |
SeRestorePrivilege | Die PE versucht möglicherweise, Dateien zu ändern oder löschen, für die ihr kein Zugriff gewährt wurde. SeRestore erlaubt das Schreiben ohne Berücksichtigung der Zugriffskontrolle. |
ServiceControlImports | Die Datei importiert Funktionen, die Windows -Dienste auf dem aktuellen System steuern können. Malware nutzt dies, um entweder im Hintergrund zu starten, indem sie sich als Dienst installiert, oder um andere Dienste mit Schutzfunktion zu deaktivieren. |
SkylinedHeapSpray | Die Datei enthält eine unveränderte Version des Heap-Spray-Codes von SkyLined. |
SpawnProcessImports | Die PE importiert Funktionen, die zum Starten eines anderen Prozesses verwendet werden können. Malware nutzt diese, um nachfolgende Infektionsphasen zu starten, die normalerweise aus dem Internet heruntergeladen werden. |
StringJsExploit | Die Datei enthält JavaScript -Code, der wahrscheinlich anfällig für Exploits ist. |
StringJsObfuscation | Die Datei enthält JavaScript -Unkenntlichkeits-Token. |
TerminateProcessImports | Die Datei importiert Funktionen, mit denen ein laufender Prozess gestoppt werden kann. Malware verwendet diese, um zu versuchen, Schutzsysteme zu entfernen oder ein laufendes System zu beschädigen. |
trigger_AutoClose | Das VBA-Skript innerhalb der Datei versucht wahrscheinlich, automatisch ausgeführt zu werden, wenn die Datei geschlossen wird. |
trigger_Auto_Close | Das VBA-Skript innerhalb der Datei versucht wahrscheinlich, automatisch ausgeführt zu werden, wenn die Datei geschlossen wird. |
trigger_AutoExec | Das VBA-Skript innerhalb der Datei versucht wahrscheinlich, automatisch ausgeführt zu werden. |
trigger_AutoExit | Das VBA-Skript innerhalb der Datei versucht wahrscheinlich, automatisch ausgeführt zu werden, wenn die Datei geschlossen wird. |
trigger_AutoNew | Das VBA-Skript innerhalb der Datei versucht wahrscheinlich, automatisch ausgeführt zu werden, wenn ein neues Dokument erstellt wird. |
trigger_AutoOpen | Das VBA-Skript innerhalb der Datei versucht wahrscheinlich, ausgeführt zu werden, sobald die Datei geöffnet wird. |
trigger_Auto_Open | Das VBA-Skript innerhalb der Datei versucht wahrscheinlich, ausgeführt zu werden, sobald die Datei geöffnet wird. |
trigger_DocumentBeforeClose | Das VBA-Skript innerhalb der Datei versucht wahrscheinlich, automatisch ausgeführt zu werden, kurz bevor die Datei geschlossen wird. |
trigger_DocumentChange | Das VBA-Skript innerhalb der Datei versucht wahrscheinlich, automatisch ausgeführt zu werden, wenn die Datei geändert wird. |
trigger_Document_Close | Das VBA-Skript innerhalb der Datei versucht wahrscheinlich, automatisch ausgeführt zu werden, wenn die Datei geschlossen wird. |
trigger_Document_New | Das VBA-Skript innerhalb der Datei versucht wahrscheinlich, automatisch ausgeführt zu werden, wenn eine neue Datei erstellt wird. |
trigger_DocumentOpen | Das VBA-Skript innerhalb der Datei versucht wahrscheinlich, ausgeführt zu werden, sobald die Datei geöffnet wird. |
trigger_Document_Open | Das VBA-Skript innerhalb der Datei versucht wahrscheinlich, ausgeführt zu werden, sobald die Datei geöffnet wird. |
trigger_NewDocument | Das VBA-Skript innerhalb der Datei versucht wahrscheinlich, automatisch ausgeführt zu werden, wenn eine neue Datei erstellt wird. |
trigger_Workbook_Close | Das VBA-Skript innerhalb der Datei versucht wahrscheinlich, automatisch ausgeführt zu werden, wenn eine Microsoft
Excel -Arbeitsmappe geschlossen wird. |
trigger_Workbook_Open | Das VBA-Skript innerhalb der Datei versucht wahrscheinlich, automatisch ausgeführt zu werden, wenn eine Microsoft
Excel -Arbeitsmappe geöffnet wird. |
UserManagementImports | Die Datei importiert Funktionen, mit denen Benutzer auf dem lokalen System geändert werden können. Es kann wichtige Benutzerdetails hinzufügen, löschen oder ändern. Malware kann diese Funktion nutzen, um Persistenz zu erzielen oder Schäden am lokalen System zu verursachen. |
VirtualAllocImports | Die Datei importiert Funktionen, die zur Erstellung von Speicher in einem laufenden Prozess verwendet werden. Malware tut dies, um sich selbst in einen laufenden Prozess zu injizieren. |
Shellcodes
Diese Indikatoren stehen für Situationen, bei denen ein kleiner Teil des Codes als Payload bei der Ausnutzung einer Software-Schwachstelle verwendet wird. Er wird als „Shellcode“ bezeichnet, weil er in der Regel eine Befehlsshell startet, von der aus der Angreifer den kompromittierten Rechner steuern kann, aber jeder Code, der eine ähnliche Aufgabe erfüllt, kann als Shellcode bezeichnet werden.
Indikator | Beschreibung |
---|---|
ApiHashing | Die Datei enthält eine Bytefolge, die wie Shellcode aussieht und heimlich versucht, im Speicher geladene Bibliotheks-APIs zu finden. |
BlackholeV2 | Die Datei könnte möglicherweise aus dem Blackhole Exploit-Kit stammen. |
ComplexGotoEmbed | Die Datei kann einen Browser zwingen, eine Adresse aufzurufen oder eine Aktion auszuführen. |
ComplexSuspiciousHeaderLocation | Der PDF-Header befindet sich an einem Offset ungleich null, was darauf hinweisen könnte, dass versucht wird, diese Datei daran zu hindern, als PDF-Dokument erkannt zu werden. |
EmbeddedTiff | Die Datei kann ein manipuliertes TIFF-Bild mit nop-sled enthalten, um einen Exploit zu erleichtern. |
EmbeddedXDP | Die Datei enthält wahrscheinlich eine weitere PDF-Datei als XML Data Package (XDP). |
FindKernel32Base1 | Die Datei enthält eine Bytefolge, die wie Shellcode aussieht, der versucht, kernel32.dll im Speicher zu finden. |
FindKernel32Base2 | Die Datei enthält eine Bytefolge, die wie Shellcode aussieht, der versucht, kernel32.dll im Speicher zu finden. |
FindKernel32Base3 | Die Datei enthält eine Bytefolge, die wie Shellcode aussieht, der versucht, kernel32.dll im Speicher zu finden. |
FunctionPrologSig | Die Datei enthält eine Bytefolge, bei der es sich um einen typischen Funktionsprolog handelt, der wahrscheinlich Shellcode enthält. |
GetEIP1 | Die Datei enthält eine Bytefolge, die wie Shellcode aussieht, der seine eigene Adresse auflöst, um andere Objekte im Speicher zu finden und einen Exploit zu erleichtern. |
GetEIP4 | Die Datei enthält eine Bytefolge, die wie Shellcode aussieht, der seine eigene Adresse auflöst, um andere Objekte im Speicher zu finden und einen Exploit zu erleichtern. |
IndirectFnCall1 | Die Datei enthält eine Bytefolge, die wie ein indirekter Funktionsaufruf aussieht – wahrscheinlich Shellcode. |
IndirectFnCall2 | Die Datei enthält eine Bytefolge, die wie ein indirekter Funktionsaufruf aussieht – wahrscheinlich Shellcode. |
IndirectFnCall3 | Die Datei enthält eine Bytefolge, die wie ein indirekter Funktionsaufruf aussieht – wahrscheinlich Shellcode. |
SehSig | Die Datei enthält eine Byte-Sequenz, die typisch für strukturierte Ausnahmebehandlung (SEH) ist – enthält wahrscheinlich Shellcode. |
StringLaunchActionBrowser | Die Datei kann einen Browser zwingen, eine Adresse aufzurufen oder eine Aktion auszuführen. |
StringLaunchActionShell | Die Datei kann möglicherweise Shell-Aktionen ausführen. |
StringSingExploit | Die Datei könnte einen Exploit enthalten. |
Sonstige Indikatoren
In diesem Abschnitt werden die Indikatoren aufgeführt, die nicht in die anderen Kategorien passen.
Indikator | Beschreibung |
---|---|
AutoitFileOperations | Das AutoIt-Skript kann mehrere Aktionen für Dateien ausführen. Diese Daten können zur Erfassung oder Vernichtung von Informationen bzw. für Persistenz verwendet werden. |
AutorunString | Die Datei ist in der Lage, durch Verwendung automatischer Ausführungsfunktionen Persistenz zu erreichen. |
CodepageLookupImports | Die Datei importiert Funktionen, mit denen die Codepage (Speicherort) eines laufenden Systems gesucht wird. Malware nutzt dies, um zu unterscheiden, in welchem Land/welcher Region ein System läuft und so bestimmte Gruppen besser anzuvisieren. |
MutexImports | Die Datei importiert Funktionen zum Erstellen und Manipulieren von Mutex-Objekten. Malware verwendet häufig Mutex-Objekte, um zu vermeiden, dass ein System mehrmals infiziert wird. |
OpenSSL Statisch | Die Datei enthält eine Version von OpenSSL , die so kompiliert wurde, dass sie nur schwer aufzufinden ist. Malware wird dies tun, um möglichst unauffällig Kryptografie-Funktionen zu integrieren. |
PListString | Die Datei ist in der Lage, mit den vom Betriebssystem verwendeten Eigenschaftslisten zu interagieren. Dies kann genutzt werden, um Persistenz zu erreichen oder diverse Prozesse zu unterlaufen. |
PrivEscalationCryptBase | Die Datei zeigt Nachweise für den Versuch, eine Berechtigungseskalation mit CryptBase zu verwenden. Malware nutzt dies, um mehr Berechtigungen auf dem betroffenen System zu erlangen. |
ShellCommandString | Die Datei ist in der Lage, sensible Shell-Befehle zur Untersuchung, Erhöhung der Berechtigungen oder Datenvernichtung zu nutzen. |
SystemCallSuspicious | Die Datei ist in der Lage, System- und andere Prozesse zu überwachen und/oder zu steuern und Debugging-ähnliche Aktionen durchzuführen. |