执行护栏

对手可能会使用执行护栏来根据对手提供的和目标环境中特定的条件来限制执行或操作。护栏确保有效载荷仅针对预期目标执行，并减少对手活动的附带损害。(引用: FireEye Kevin Mandia Guardrails) 对手可以提供的关于目标系统或环境的值以用作护栏可能包括特定的网络共享名称、连接的物理设备、文件、加入的 Active Directory (AD) 域和本地/外部 IP 地址。(引用: FireEye Outlook Dec 2019) 护栏可用于防止在不打算妥协或操作的环境中暴露能力。这种护栏的使用与典型的虚拟化/沙箱规避不同。虽然虚拟化/沙箱规避可能涉及检查已知的沙箱值并仅在没有匹配时继续执行，但护栏的使用将涉及检查预期的目标特定值，并仅在存在匹配时继续执行。 对手可能会识别并阻止某些用户代理以规避防御，并将攻击范围缩小到最有效的受害者和平台。用户代理自我标识数据，例如用户的软件应用程序、操作系统、供应商和版本。对手可能会检查用户代理以识别操作系统，然后仅为可利用的软件提供恶意软件，而忽略所有其他操作系统。(引用: Trellix-Qakbot)