匹配合法名称或位置
对手可能会在命名/放置文件时匹配或近似合法文件或资源的名称或位置。这是为了逃避防御和观察。可以通过将可执行文件放置在常见的受信目录(例如 System32 下)或给它一个合法的、受信程序的名称(例如 svchost.exe)来实现。在容器化环境中,这也可以通过在命名空间中创建与容器 pod 或集群的命名约定匹配的资源来实现。或者,给定的文件或容器镜像名称可能是合法程序/镜像的近似值或看似无害的名称。 对手还可能使用他们试图模仿的文件的相同图标。
对手可能会在命名/放置文件时匹配或近似合法文件或资源的名称或位置。这是为了逃避防御和观察。可以通过将可执行文件放置在常见的受信目录(例如 System32 下)或给它一个合法的、受信程序的名称(例如 svchost.exe)来实现。在容器化环境中,这也可以通过在命名空间中创建与容器 pod 或集群的命名约定匹配的资源来实现。或者,给定的文件或容器镜像名称可能是合法程序/镜像的近似值或看似无害的名称。 对手还可能使用他们试图模仿的文件的相同图标。