混淆的文件或信息

对手可能会尝试通过加密、编码或以其他方式混淆其内容，使可执行文件或文件难以发现或分析。这是常见的行为，可以跨不同平台和网络使用，以规避防御。 有效载荷可能会被压缩、归档或加密，以避免检测。这些有效载荷可能在初始访问期间使用，也可能在以后使用以减轻检测。有时需要用户操作来打开和解混淆/解码文件或信息以进行用户执行。用户还可能需要输入密码以打开对手提供的密码保护的压缩/加密文件。(引用: Volexity PowerDuke 2016 年 11 月) 对手还可能使用压缩或归档的脚本，例如 JavaScript。 文件的部分内容也可以被编码，以隐藏原本有助于防御者发现的明文字符串。(引用: Linux/Cdorked.A 我们生活的安全分析) 有效载荷也可能被拆分成单独的、看似无害的文件，只有在重新组装时才会显示恶意功能。(引用: Carbon Black 混淆 2016 年 9 月) 对手还可能滥用命令混淆来混淆从有效载荷或直接通过命令和脚本解释器执行的命令。环境变量、别名、字符和其他平台/语言特定的语义可以用来规避基于签名的检测和应用程序控制机制。(引用: FireEye 混淆 2017 年 6 月) (引用: FireEye Revoke-Obfuscation 2017 年 7 月)(引用: PaloAlto EncodedCommand 2017 年 3 月)