Добавление мусорных байтов в конец исполняемого файла не ломает его работу, но меняет контрольную сумму и искусственно раздувает размер. Защитные средства перестают сканировать такой объект из-за внутренних лимитов, а атакующий получает рабочий файл с новым именем и чистым репутационным фоном.
Системные утилиты dd и truncate меняют размер файла на уровне файловой системы, не затрагивая заголовок исполняемого формата PE или ELF. Загрузчик операционной системы игнорирует данные, находящиеся за пределами секций, указанных в таблице заголовка. Атакующий использует эту архитектурную особенность, чтобы дописать произвольные байты в конец файла. Функциональность сохраняется полностью, потому что процесс чтения кода останавливается ровно там, где заканчивается последняя объявленная секция. Оставшееся пространство остаётся неинициализированным шумом.
Изменение размера напрямую влияет на вычисление хеша. Даже один дополнительный байт в конце файла полностью меняет значение MD5 или SHA256. Базы данных защитных средств строятся на строгих соответствиях хешей. Модифицированный файл перестаёт попадать в чёрные списки, потому что его подпись больше не совпадает с известным образцом. Статические анализаторы вынуждены пересчитывать контрольные суммы заново, а динамические песочницы часто отказываются запускать объекты, превышающие заданный порог.
Предел размера файла становится главным фактором обхода. Многие коммерческие EDR и облачные сканеры устанавливают жёсткий лимит на глубину проверки, обычно в районе нескольких сотен мегабайт. Утилита dd позволяет быстро нарастить размер файла до гигабайтов, заполняя его нулями или случайными последовательностями. Антивирусный движок пропускает такой объект, потому что ресурсоёмкий анализ не запускается автоматически для архивов и образов. Файл оказывается в белом списке по умолчанию, пока не попадёт в ручную проверку аналитика.
Почему хеши и сигнатуры перестают распознавать модифицированные файлы
Хеш рассчитывается от всего содержимого файла, включая служебные заголовки, секции кода и пустоты между ними. Атакующий знает, что защитное средство сравнивает только итоговую строку хеша с базой известных угроз. Добавление даже нескольких килобайт мусорных данных ломает это сравнение. Сигнатурный анализатор перестаёт видеть знакомый паттерн, потому что смещение байтов внутри файла сдвигается относительно ожидаемых позиций.
Поведенческие детекты тоже теряют точность, когда файл искусственно раздувается. Многие системы предварительной фильтрации отбрасывают объекты весом свыше двухсот мегабайт, чтобы не нагружать процессорные ядра хоста. Атакующий рассчитывает на этот инженерный компромисс. Он заполняет файл нулями через dd или обнуляет участок через truncate с последующим добавлением данных. Защитный агент регистрирует событие как административное действие, потому что вызов системной утилиты выглядит штатным.
Облачные сервисы проверки репутации сталкиваются с той же архитектурной особенностью. Публичные платформы анализа ограничивают размер загружаемого образца, обычно до двухсот пятидесяти мегабайт. Превышение лимита приводит к автоматическому отказу в анализе или к поверхностной проверке только заголовков. Файл получает статус «чистый» по умолчанию, потому что система не смогла выполнить полную распаковку и эмуляцию. Атакующий использует этот пробел, чтобы доставить полезную нагрузку без срабатывания базовых фильтров.
Чем легитимная работа с dd отличается от попытки обхода защитных средств
Администраторы применяют dd и truncate при создании резервных копий дисков, подготовке образов виртуальных машин или очистке временных хранилищ. Контекст использования всегда привязан к системным путям, служебным учетным записям и автоматизированным задачам расписания. Файлы обрабатываются в каталогах /var/backups, /tmp или на блочных устройствах вроде /dev/sda. Процесс запускается от имени root или через специализированные сервисы управления конфигурациями.
Подозрительная активность выглядит иначе. Процесс вызывается из пользовательской сессии, часто через интерактивную оболочку или скрипт в домашнем каталоге. Целевой файл находится в директории временных данных или в сетевой шаре с промежуточными сборками. Команда выполняется вручную, без участия системных планировщиков. Аргументы указывают на конкретный исполняемый файл или библиотеку, а не на образ диска или журнал. Сочетание этих признаков меняет оценку события с технического обслуживания на потенциальный обход защиты.
Дополнительный маркер скрыт в параметрах вызова. Легитимный сценарий использует флаг if= с указанием исходного устройства и of= для целевого образа, часто с параметрами блочного копирования bs=. Попытка модификации бинарника применяет conv=notrunc для сохранения структуры файла или прямое указание пути к исполняемому объекту. Запуск происходит в нестандартном контексте, когда родительский процесс не относится к известным службам администрирования. Аналитик обращает внимание именно на эту разницу в цепочке выполнения.
Как проверить файлы после срабатывания правила на padding
Первым делом нужно установить исходный размер и сравнить его с текущим состоянием объекта. Команда stat покажет точные параметры файла, включая время последнего изменения содержимого и метаданных. Разница между фактическим размером и заявленным в заголовке исполняемого формата указывает на наличие посторонних данных. Утилита file выводит информацию о типе файла, а readelf -h или objdump -p покажутDeclared size of the binary sections.
stat /path/to/suspicious/binary
file /path/to/suspicious/binary
readelf -h /path/to/suspicious/binary | grep "Start of program headers"Следующий шаг требует проверки целостности заголовка. Исполняемые файлы хранят информацию о смещении секций и таблице импорта в первых килобайтах. Если truncate или dd изменили данные в начале файла, загрузчик системы выдаст ошибку при попытке запуска. Атакующий обычно избегает повреждения служебных записей, поэтому модификация затрагивает только конец файла. Сравнение хешей заголовка с эталонным образцом подтвердит или опровергнет изменение структуры.
Энтропия файловой системы даёт дополнительную информацию для анализа. Нормальные бинарные файлы содержат разброс значений, соответствующий машинному коду и сжатым ресурсам. Участок с нулевой или постоянной энтропией в конце файла указывает на искусственное заполнение. Инструменты вроде binwalk или pefile позволяют извлечь точные границы секций и показать, где заканчивается полезный код. Аналитик сопоставляет эти данные с логами запуска процесса.
Что делать когда правило срабатывает в рабочей инфраструктуре
Изоляция хоста становится первоочередным действием, если файл запущен или находится в активной директории выполнения. Процесс останавливается через kill или штатные средства управления службами, чтобы предотвратить дальнейшую модификацию системы. Файл копируется в защищенное хранилище для последующего анализа, а оригинальный объект блокируется на уровне файловой системы или сетевого экранирования. Запись в журнал аудита сохраняет полную цепочку вызовов до момента изоляции.
Проверка родительских процессов определяет источник команды. Команда ps -ef --forest восстанавливает дерево вызовов и показывает, какой скрипт или пользователь инициировал изменение размера. Если запуск произошёл через планировщик или систему управления конфигурациями, действие относится к легитимным операциям. Ручной вызов из пользовательской сессии требует углубленного расследования. Аналитик проверяет историю команд, сетевые соединения и время активности учетной записи.
Восстановление исходного состояния зависит от критичности изменённого файла. Системные библиотеки и исполняемые модули заменяются из доверенных источников или пакетных репозиториев. Временные файлы и пользовательские скрипты удаляются после фиксации их содержимого. Правила детектирования дополняются условиями на размер файла, контекст запуска и родительский процесс. Такая настройка снижает количество ложных срабатываний, сохраняя чувствительность к целевым модификациям.
[√] Зафиксировать размер файла и сравнить его с заявленным в заголовке исполняемого формата
[ ] Проверить родительский процесс и контекст запуска команды изменения размера
[√] Извлечь границы секций через readelf или pefile для обнаружения посторонних данных
[ ] Сравнить хеш заголовка с эталонным образцом из доверенного источника
Конкретный следующий шаг требует интеграции метрик размера файла в базовую линию поведения хоста. Защитные средства должны регистрировать изменения размера бинарных файлов вне стандартных каталогов обновлений. Правило коррелирует событие с учетной записью, родительским процессом и временем выполнения. Аналитик получает полный контекст для принятия решения о блокировке или исключении события из потока угроз.