Маскировка
Оригинал: Masquerading
Злоумышленники могут пытаться изменять признаки своих артефактов так, чтобы они выглядели легитимными или безвредными для пользователей и/или средств защиты. Маскировка происходит, когда имя или расположение объекта, легитимного или вредоносного, изменяется или используется злоумышленником для обхода защитных механизмов и наблюдения. Это может включать изменение метаданных файлов, введение пользователей в заблуждение относительно типа файла, а также присвоение артефактам имен, похожих на названия легитимных задач или служб.
Тактики
Примеры процедур из кейсов
Исследователь назвал процесс Sliver `training.bin`, чтобы замаскировать его под легитимный процесс обучения модели. При этом модель продолжает работать как обычно, поэтому пользователь с меньшей вероятностью заметит проблему.
AML.CS0044LAMEHUG: вредоносное ПО, использующее динамические команды, сгенерированные ИИВложение называлось `Appendix.pdf.zip`, что могло заставить получателя принять его за легитимный PDF-файл.
AML.CS0049Компрометация цепочки поставки через отравленный навык ClawdBotПеред выполнением команды оболочки Claude Code запросил подтверждение пользователя. Исследователь зарегистрировал домен `https://clawdhub-skill.com`: он выглядел легитимно и мог быть спутан с настоящим доменом `https://clawdhub.com`, из-за чего пользователь мог подтвердить выполнение.
AML.CS0051Использование OpenClaw для командования и управления через промпт-инъекциюЖертва спутала домен исследователей `https://openclaw.aisystem.tech` с легитимным ресурсом OpenClaw.