妥协主机软件二进制文件

对手可能会修改主机软件二进制文件以在系统上建立持久访问。软件二进制文件/可执行文件提供了广泛的系统命令或服务、程序和库。常见的软件二进制文件包括SSH客户端、FTP客户端、电子邮件客户端、Web浏览器和许多其他用户或服务器应用程序。 对手可能通过修改主机软件二进制文件来建立持久性。例如，对手可能会替换或感染合法的应用程序二进制文件（或支持文件）以植入后门。由于这些二进制文件可能会被应用程序或用户例行执行，对手可以利用这一点在主机上保持持久访问。对手还可能修改软件二进制文件，如SSH客户端，以在登录期间持久收集凭证（即修改认证过程）。(引用: Google Cloud Mandiant UNC3886 2024) 对手还可能通过在二进制文件的合法执行之前修补恶意功能（例如IAT Hooking/入口点修补）来修改现有二进制文件。(引用: Unit42 Banking Trojans Hooking 2022) 例如，对手可能会修改二进制文件的入口点，以指向对手修补的恶意代码，然后恢复正常的执行流程。(引用: ESET FontOnLake Analysis 2021) 在修改二进制文件后，对手可能会尝试通过阻止其更新（例如，通过Linux系统中使用yum包管理器的yum-versionlock命令或versionlock.list文件）来削弱防御。(引用: Google Cloud Mandiant UNC3886 2024)