从工具中删除指标
如果对手认为其恶意工具被检测到、隔离或以其他方式受限,他们可能会从工具中删除指标。他们可以通过删除指标来修改工具,并使用更新版本,该版本不再被目标的防御系统或可能使用类似系统的后续目标检测到。 一个很好的例子是,当恶意软件被文件签名检测到并被防病毒软件隔离时。如果对手能够确定恶意软件因其文件签名而被隔离,他们可能会修改文件以明确避免该签名,然后重新使用恶意软件。
如果对手认为其恶意工具被检测到、隔离或以其他方式受限,他们可能会从工具中删除指标。他们可以通过删除指标来修改工具,并使用更新版本,该版本不再被目标的防御系统或可能使用类似系统的后续目标检测到。 一个很好的例子是,当恶意软件被文件签名检测到并被防病毒软件隔离时。如果对手能够确定恶意软件因其文件签名而被隔离,他们可能会修改文件以明确避免该签名,然后重新使用恶意软件。