Technique - T1027-

T1027 - Obfuscated Files or Information

概要

Adversaries may attempt to make an executable or file difficult to discover or analyze by encrypting, encoding, or otherwise obfuscating its contents on the system or in transit. This is common behavior that can be used across different platforms and the network to evade defenses.

Payloads may be compressed, archived, or encrypted in order to avoid detection. These payloads may be used during Initial Access or later to mitigate detection. Sometimes a user's action may be required to open and Deobfuscate/Decode Files or Information for User Execution. The user may also be required to input a password to open a password protected compressed/encrypted file that was provided by the adversary.(Citation: Volexity PowerDuke November 2016) Adversaries may also use compressed or archived scripts, such as JavaScript.

Portions of files can also be encoded to hide the plain-text strings that would otherwise help defenders with discovery.(Citation: Linux/Cdorked.A We Live Security Analysis) Payloads may also be split into separate, seemingly benign files that only reveal malicious functionality when reassembled.(Citation: Carbon Black Obfuscation Sept 2016)

Adversaries may also abuse Command Obfuscation to obscure commands executed from payloads or directly via Command and Scripting Interpreter. Environment variables, aliases, characters, and other platform/language specific semantics can be used to evade signature based detections and application control mechanisms.(Citation: FireEye Obfuscation June 2017)(Citation: FireEye Revoke-Obfuscation July 2017)(Citation: PaloAlto EncodedCommand March 2017)

管理者によるコメント

T1027（Obfuscated Files or Information：難読化されたファイルまたは情報）は、攻撃者が自身のコードやデータを、人間やセキュリティ製品にとって「理解不能」または「判別不能」な形式に変更する技術です。

1. 概要

Obfuscated Files or Informationとは、実行ファイル、スクリプト、設定ファイル、または通信データを加工し、その真の意図を隠す行為を指します。

攻撃者が実現できること

静的解析の回避: シグネチャベースのアンチウイルス（AV）が特定のパターンを認識できないようにする。
アナリストの妨害: インシデントレスポンダーやリバースエンジニアがコードの動作を理解するのにかかる時間を大幅に増加させる。
ペイロードの保護: ネットワーク境界の検知システム（IDS/IPS）が、既知の悪意ある文字列を検出するのを防ぐ。

2. 攻撃の流れ

攻撃者は、開発したマルウェアやスクリプトに対して以下のような処理を施します。

難読化ツールの適用:
- パッカー (Packers): 実行ファイルを圧縮・暗号化し、実行時にメモリ上で展開する（例：UPX, Themida）。
- 難読化スクリプト: 変数名をランダムな文字列（$a を $asdf123 など）に変更したり、制御フローを複雑化させる。
エンコード/暗号化:
- コマンドやペイロードを Base64 でエンコードする、あるいは単純な XOR 暗号をかける。
- 例：powershell -e <Base64文字列>
配信と実行: 難読化された状態でターゲットに送り込みます。実行されると、内部の「デコーダー」や「スタブ」が元のコードを復元し、メモリ上で実行します。

3. 防御・対策

動的解析の強化: コードが難読化されていても、メモリ展開後の挙動（API呼び出し、通信）は隠せません。EDRやサンドボックスによる振る舞い検知が有効です。
難読化解除（Deobfuscation）ツールの活用: PowerShellのログ（Script Block Logging）を有効にすると、難読化が解除された後の最終的な実行コマンドを記録できます。
エントロピーの監視: 難読化や暗号化されたファイルは、データのランダム性（エントロピー）が非常に高くなる傾向があるため、これを指標に異常を検知します。
不審なエンコードのブロック: コマンドライン引数に含まれる長いBase64文字列などを監視し、アラートを出します。

4. 重要ポイント

「隠す」ための標準的な技術: T1009（パディング）が「サイズ」で攻めるのに対し、T1027は「中身の複雑さ」で攻めます。
正規ツールとの混同: パッカーなどの技術は、正当なソフトウェア開発者が知的財産を守るためにも使用されるため、ホワイトリストとの判別が難しい場合があります。

5. 関連する主なCWE

CWE-327 (Use of a Broken or Risky Cryptographic Algorithm): リスクのある暗号アルゴリズムの使用。攻撃者が独自の（あるいは脆弱な）暗号で難読化を行うことに関連。
CWE-311 (Missing Encryption of Sensitive Data): 逆に、防御側がデータを適切に保護できていない隙を突いて、攻撃者が自分のデータを難読化して忍び込ませる文脈。

6. 関連する代表的なCVE

T1027は脆弱性を突くものではなく「検知を逃れるための加工」であるため、特定のCVEと結びつくよりは、マルウェアの特性として記録されます。

Emotet / Qakbot: これらのマルウェアは、配信のたびに難読化のパターンを変化させる「ポリモーフィック」な特性を持っており、T1027の典型例です。
CVE-2017-0199 (Microsoft Office RCE): この脆弱性を悪用する際、RTFファイル内に難読化したスクリプトを埋め込み、解析を妨害する手法が広く見られました。
Log4Shell (CVE-2021-44228): 攻撃コードを ${jndi:ldap...} の形式から ${${lower:j}ndi:...} のように難読化して、WAF（Web Application Firewall）を回避する試みが多発しました。

分析

この攻撃手法を利用する脅威アクター

攻撃手法 – 脅威アクター Graph

← Technique一覧に戻る ← Tactics一覧に戻る

Trusted Design