重新定位恶意软件

一旦有效载荷被交付，对手可能会在受害者系统上复制相同恶意软件的副本，以删除其存在的证据和/或避免防御。将恶意软件有效载荷复制到新位置也可以与文件删除结合使用，以清理旧的工件。 重新定位恶意软件可能是许多旨在规避防御的操作的一部分。例如，对手可能会复制并重命名有效载荷，以更好地融入本地环境（即匹配合法名称或位置）。(引用: DFIR Report Trickbot June 2023) 有效载荷还可以重新定位到目标文件/路径排除以及与建立持久性相关的特定位置。(引用: Latrodectus APR 2024) 重新定位恶意有效载荷还可能阻碍防御分析，特别是将这些有效载荷与早期事件（如用户执行和网络钓鱼）分开，这些事件可能已生成警报或以其他方式引起防御者的注意。