MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1027.005: Удаление индикаторов из инструментов

Злоумышленники могут удалять индикаторы из своих вредоносных инструментов, если считают, что их инструмент был обнаружен, помещен в карантин или иным способом заблокирован. Они могут внести изменения в инструмент, удалив индикатор, и в дальнейшем использовать обновленную версию, которая больше не будет обнаруживаться защитными системами атакуемой цели или последующих целей, в которых могут использоваться аналогичные системы.

В качестве характерного примера можно привести ситуацию, когда антивирусное программное обеспечение обнаруживает вредоносные программы по сигнатурам файлов и помещает их в карантин. Злоумышленник, определивший, что его вредоносная программа была помещена в карантин в соответствии с сигнатурой файла, может изменить файл, чтобы явным образом избавиться от этой сигнатуры, а затем повторно использовать эту вредоносную программу.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_execution: PT-CR-1087: Dangerous_Command_Usage: Обнаружена попытка выполнить потенциально опасную команду

Способы обнаружения

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

The first detection of a malicious tool may trigger an anti-virus or other security tool alert. Similar events may also occur at the boundary through network IDS, email scanning appliance, etc. The initial detection should be treated as an indication of a potentially more invasive intrusion. The alerting system should be thoroughly investigated beyond that initial alert for activity that was not detected. Adversaries may continue with an operation, assuming that individual events like an anti-virus detect will not be investigated or that an analyst will not be able to conclusively link that event to other activity occurring on the network.