T1027.005: Удаление индикаторов из инструментов
Злоумышленники могут удалять индикаторы из своих вредоносных инструментов, если считают, что их инструмент был обнаружен, помещен в карантин или иным способом заблокирован. Они могут внести изменения в инструмент, удалив индикатор, и в дальнейшем использовать обновленную версию, которая больше не будет обнаруживаться защитными системами атакуемой цели или последующих целей, в которых могут использоваться аналогичные системы.
В качестве характерного примера можно привести ситуацию, когда антивирусное программное обеспечение обнаруживает вредоносные программы по сигнатурам файлов и помещает их в карантин. Злоумышленник, определивший, что его вредоносная программа была помещена в карантин в соответствии с сигнатурой файла, может изменить файл, чтобы явным образом избавиться от этой сигнатуры, а затем повторно использовать эту вредоносную программу.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_execution: PT-CR-1087: Dangerous_Command_Usage: Обнаружена попытка выполнить потенциально опасную команду
Способы обнаружения
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | При первичном обнаружении вредоносного инструмента антивирусная программа или другое средство безопасности могут генерировать оповещения. Аналогичные события могут генерироваться на границе сети системой обнаружения вторжений, устройством проверки электронной почты и другими системами. Первичное обнаружение следует рассматривать как индикатор потенциально более опасной атаки. Поэтому систему оповещений следует тщательно проверить на предмет другой активности, которая не была обнаружена. Злоумышленники могут продолжать свою активность, полагая, что никто не будет расследовать единичные события, такие как обнаружение антивирусом, или что аналитик не увидит взаимосвязи между этим событием и другой активностью в сети. |
---|