嵌入式有效负载

对手可能会将有效负载嵌入其他文件中，以隐藏恶意内容以避开防御。看似无害的文件（如脚本和可执行文件）可能会被滥用来携带和混淆恶意有效负载和内容。在某些情况下，嵌入式有效负载还可能通过不影响执行控制（如数字签名和公证票据）来颠覆信任控制。(引用: Sentinel Labs) 对手可能会将有效负载嵌入各种文件格式中以隐藏有效负载。(引用: Microsoft Learn) 这类似于隐写术，但不涉及将恶意内容编织到与合法数字媒体格式相关的特定字节和模式中。(引用: GitHub PSImage) 例如，对手已被观察到将有效负载嵌入或作为看似无害的二进制文件的覆盖。(引用: Securelist Dtrack2) 对手还被观察到在同一格式的文件中嵌套有效负载（如可执行文件和仅运行脚本）。(引用: SentinelLabs reversing run-only applescripts 2021) 嵌入的内容还可以用作进程注入有效负载，用于感染无害的系统进程。(引用: Trend Micro) 这些嵌入然后注入的有效负载可能用作恶意软件模块的一部分，旨在提供特定功能，例如加密C2通信以支持协调器模块。例如，嵌入的模块可能会注入默认浏览器，允许对手然后通过网络进行通信。(引用: Malware Analysis Report ComRAT)