伪造安全警报

对手可能会伪造来自工具的安全警报，呈现虚假证据以削弱防御者对恶意活动的意识。(引用: BlackBasta) 防御工具生成的消息包含有关潜在安全事件的信息，以及安全软件和系统的运行状态。安全报告消息对于监控系统的正常运行和识别可能表明安全事件的重要事件非常重要。 对手可以伪造安全工具继续运行的正面确认，即使在合法的安全工具已被禁用（例如，禁用或修改工具）之后。对手还可以在感染后显示“健康”的系统状态。这可以被滥用以通过延迟防御者的响应来启用进一步的恶意活动。 例如，对手可能会在Windows Defender和其他系统工具被禁用后显示一个伪造的Windows安全GUI和托盘图标，显示“健康”的系统状态。(引用: BlackBasta)