T1070: Устранение индикаторов

Злоумышленники могут удалять или модифицировать артефакты, созданные в системе, чтобы скрыть свидетельства своего присутствия или помешать работе средств защиты. Во время атаки могут создаваться различные артефакты или другие объекты, которые могут указывать на активность злоумышленников. Как правило, эти артефакты используются как индикаторы, связанные с отслеживаемыми событиями, и включают строки из загруженных файлов, журналы, генерируемые на основе действий пользователя, и другие данные, анализируемые специалистами по безопасности. Расположение, формат и тип артефакта (например, история команд или входов в систему) часто специфичны для каждой платформы.

Удаление этих индикаторов может нарушить процессы сбора и передачи данных о событиях, а также другие процессы обнаружения вредоносной активности. Это может снизить эффективность защитных решений из-за того, что важные события остаются незамеченными. Такая активность может затруднить криминалистический анализ и реагирование на инциденты, поскольку у специалистов будет недостаточно данных для получения полного представления о происходящем.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

pt_application_firewall: PT-CR-635: Web_Request_Missing_Useragent: Подключение без информации о браузере pt_application_firewall: PT-CR-633: Web_Headless_Browser_Detected: Попытка подключения с помощью браузера без графического интерфейса mysql_database: PT-CR-620: MySQL_Audit_Table_Truncate: Попытка очистить таблицу аудита microsoft_exchange: PT-CR-2354: Exchange_Journal_Rule_Actions: Пользователь выполнил действие с правилом журнала в системе Exchange. Это может быть попыткой злоумышленника скрыть свои действия или нарушить доступность системных и сетевых ресурсов

Подтехники

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0003Источник и компонент данныхЗапланированное задание: Изменения в запланированном заданииОписание

Отслеживайте изменения в запланированных заданиях, с помощью которых злоумышленники могут пытаться удалить свои артефакты из системы.

IDDS0018Источник и компонент данныхМежсетевой экран: Изменения в правилах межсетевого экранаОписание

Отслеживайте изменения в правилах межсетевого экрана, особенно неожиданные модификации, которые могут указывать на предшествующие изменения, выполненные с целью пропуска вредоносного сетевого трафика, и (или) удаление их следов.

IDDS0002Источник и компонент данныхУчетная запись пользователя: Аутентификация с помощью учетной записиОписание

Отслеживайте попытки доступа к сети или вычислительным ресурсам со стороны пользователей, зачастую с предоставлением учетных данных через удаленные службы терминалов, особенно если эти попытки не отражены в файле истории команд.

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

Отслеживайте изменения в файлах, с помощью которых можно собирать информацию об открытых дескрипторах файла и сравнивать значения временных меток.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API Windows, с помощью которых можно очищать журналы событий Windows для скрытия вредоносной активности.

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

В средах с Exchange отслеживайте записи журналов, указывающие на создание или изменение параметров обработки почты, например правил транспорта.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для переименования или удаления файлов или удаления связей с файлами.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменения в артефактах, созданных на узле, включая журналы и изолированные файлы, например помещенные в карантин электронные письма.

В Windows 10 данные электронной почты хранятся в каталоге C:\Users\Username\AppData\Local\Comms\Unistore\data. В Linux они хранятся в каталоге /var/spool/mail или /var/mail. В macOS они хранятся в каталоге ~/Library/Mail.

IDDS0022Источник и компонент данныхФайл: Удаление файлаОписание

Отслеживайте нетипичные случаи удаления файлов в системе

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов с аргументами, которые могут удалять или изменять созданные на узле артефакты, включая журналы и изолированные файлы, например помещенные в карантин электронные письма.

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Отслеживайте изменения в ключах реестра Windows, с помощью которых злоумышленники могут удалять или изменять созданные артефакты, указывающие на закрепление злоумышленников в системе.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

При отслеживании трафика SMB между системами также можно перехватывать и декодировать трафик для выявления соответствующих сеансов работы с сетевыми ресурсами и действий по передаче файлов.

IDDS0024Источник и компонент данныхРеестр Windows: Удаление ключа реестра WindowsОписание

Отслеживайте ключи реестра Windows, которые могут быть удалены или могут изменять созданные артефакты, указывающие на закрепление злоумышленников в системе.

IDDS0002Источник и компонент данныхУчетная запись пользователя: Удаление учетной записиОписание

Отслеживайте нетипичные случаи удаления учетных записей пользователей. В журналах событий Windows могут фиксироваться действия, связанные с попытками злоумышленника удалить учетную запись, например события с идентификатором 4726 (учетная запись пользователя удалена).

Оповещения по этим идентификаторам событий зачастую являются ложными срабатываниями, поэтому их нужно сравнивать с базовыми данными о нормальной эксплуатации систем и по возможности соотносить события изменения учетных записей с другими признаками вредоносной активности.

Меры противодействия

IDM1041НазваниеШифрование важной информацииОписание

Обфусцируйте/шифруйте файлы событий на месте и при передаче, чтобы не дать злоумышленнику обратную связь.

IDM1029НазваниеУдаленное хранение данныхОписание

Автоматическая пересылка событий на сервер журналов или в хранилище данных для предотвращения условий, в которых злоумышленник может найти данные в локальной системе и манипулировать ими. По возможности минимизируйте временную задержку при создании отчетов о событиях, чтобы избежать длительного хранения данных в локальной системе.

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Защитите сгенерированные файлы событий, которые хранятся локально с надлежащими разрешениями и аутентификацией, и ограничьте возможности злоумышленников по повышению привилегий, предотвратив возможность эскалации привилегий.