加密/编码文件

对手可能会加密或编码文件，以混淆字符串、字节和其他特定模式，从而阻碍检测。加密和/或编码文件内容旨在隐藏入侵中使用的恶意工件。许多其他技术，如软件打包、隐写术和嵌入式有效负载，也有相同的广泛目标。加密和/或编码文件可能导致静态签名检测的失效，只有在执行/使用时（即解混淆/解码文件或信息）才会揭示这些恶意内容。 这种类型的文件混淆可以应用于受害者主机上的许多文件工件，如恶意软件日志/配置和有效负载文件。(引用: File obfuscation) 文件可以使用硬编码或用户提供的密钥进行加密，也可以使用标准编码/压缩方案（如Base64）进行混淆。 可以对文件的整个内容进行混淆，也可以只对特定功能或值（如C2地址）进行混淆。加密和编码也可以应用于冗余层以提供额外保护。 例如，对手可能会滥用密码保护的Word文档或自解压（SFX）归档文件，作为加密/编码文件（如网络钓鱼有效负载）的方法。这些文件通常通过将预期的归档内容附加到解压缩存根来工作，当文件被调用时执行（例如用户执行）。(引用: SFX - Encrypted/Encoded File) 对手还可能滥用特定文件的编码方案以及自定义编码方案。例如，可以滥用文本文件中的字节顺序标记（BOM）头来操纵和混淆文件内容，直到命令和脚本解释器执行。