T1070: Устранение индикаторов
Злоумышленники могут удалять или модифицировать артефакты, созданные в системе, чтобы скрыть свидетельства своего присутствия или помешать работе средств защиты. Во время атаки могут создаваться различные артефакты или другие объекты, которые могут указывать на активность злоумышленников. Как правило, эти артефакты используются как индикаторы, связанные с отслеживаемыми событиями, и включают строки из загруженных файлов, журналы, генерируемые на основе действий пользователя, и другие данные, анализируемые специалистами по безопасности. Расположение, формат и тип артефакта (например, история команд или входов в систему) часто специфичны для каждой платформы.
Удаление этих индикаторов может нарушить процессы сбора и передачи данных о событиях, а также другие процессы обнаружения вредоносной активности. Это может снизить эффективность защитных решений из-за того, что важные события остаются незамеченными. Такая активность может затруднить криминалистический анализ и реагирование на инциденты, поскольку у специалистов будет недостаточно данных для получения полного представления о происходящем.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
pt_application_firewall: PT-CR-635: Web_Request_Missing_Useragent: Подключение без информации о браузере pt_application_firewall: PT-CR-633: Web_Headless_Browser_Detected: Попытка подключения с помощью браузера без графического интерфейса mysql_database: PT-CR-620: MySQL_Audit_Table_Truncate: Попытка очистить таблицу аудита microsoft_exchange: PT-CR-2354: Exchange_Journal_Rule_Actions: Пользователь выполнил действие с правилом журнала в системе Exchange. Это может быть попыткой злоумышленника скрыть свои действия или нарушить доступность системных и сетевых ресурсов
Подтехники
- T1070.001 Очистка журналов событий Windows
- T1070.002 Очистка системных журналов Linux или Mac
- T1070.003 Очистка истории команд
- T1070.004 Удаление файла
- T1070.005 Удаление подключений к общим сетевым ресурсам
- T1070.006 Изменение временных меток
- T1070.007 Очистка истории сетевых подключений и параметров конфигурации
- T1070.008 Удаление данных, связанных с эл. почтой
- T1070.009 Удаление следов закрепления
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0003 | Источник и компонент данных | Запланированное задание: Изменения в запланированном задании | Описание | Отслеживайте изменения в запланированных заданиях, с помощью которых злоумышленники могут пытаться удалить свои артефакты из системы. |
---|
ID | DS0018 | Источник и компонент данных | Межсетевой экран: Изменения в правилах межсетевого экрана | Описание | Отслеживайте изменения в правилах межсетевого экрана, особенно неожиданные модификации, которые могут указывать на предшествующие изменения, выполненные с целью пропуска вредоносного сетевого трафика, и (или) удаление их следов. |
---|
ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Аутентификация с помощью учетной записи | Описание | Отслеживайте попытки доступа к сети или вычислительным ресурсам со стороны пользователей, зачастую с предоставлением учетных данных через удаленные службы терминалов, особенно если эти попытки не отражены в файле истории команд. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Отслеживайте изменения в файлах, с помощью которых можно собирать информацию об открытых дескрипторах файла и сравнивать значения временных меток. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API Windows, с помощью которых можно очищать журналы событий Windows для скрытия вредоносной активности. |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | В средах с Exchange отслеживайте записи журналов, указывающие на создание или изменение параметров обработки почты, например правил транспорта. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для переименования или удаления файлов или удаления связей с файлами. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения в артефактах, созданных на узле, включая журналы и изолированные файлы, например помещенные в карантин электронные письма. В Windows 10 данные электронной почты хранятся в каталоге |
---|
ID | DS0022 | Источник и компонент данных | Файл: Удаление файла | Описание | Отслеживайте нетипичные случаи удаления файлов в системе |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов с аргументами, которые могут удалять или изменять созданные на узле артефакты, включая журналы и изолированные файлы, например помещенные в карантин электронные письма. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте изменения в ключах реестра Windows, с помощью которых злоумышленники могут удалять или изменять созданные артефакты, указывающие на закрепление злоумышленников в системе. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | При отслеживании трафика SMB между системами также можно перехватывать и декодировать трафик для выявления соответствующих сеансов работы с сетевыми ресурсами и действий по передаче файлов. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Удаление ключа реестра Windows | Описание | Отслеживайте ключи реестра Windows, которые могут быть удалены или могут изменять созданные артефакты, указывающие на закрепление злоумышленников в системе. |
---|
ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Удаление учетной записи | Описание | Отслеживайте нетипичные случаи удаления учетных записей пользователей. В журналах событий Windows могут фиксироваться действия, связанные с попытками злоумышленника удалить учетную запись, например события с идентификатором 4726 (учетная запись пользователя удалена). Оповещения по этим идентификаторам событий зачастую являются ложными срабатываниями, поэтому их нужно сравнивать с базовыми данными о нормальной эксплуатации систем и по возможности соотносить события изменения учетных записей с другими признаками вредоносной активности. |
---|
Меры противодействия
ID | M1041 | Название | Шифрование важной информации | Описание | Обфусцируйте/шифруйте файлы событий на месте и при передаче, чтобы не дать злоумышленнику обратную связь. |
---|
ID | M1029 | Название | Удаленное хранение данных | Описание | Автоматическая пересылка событий на сервер журналов или в хранилище данных для предотвращения условий, в которых злоумышленник может найти данные в локальной системе и манипулировать ими. По возможности минимизируйте временную задержку при создании отчетов о событиях, чтобы избежать длительного хранения данных в локальной системе. |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Защитите сгенерированные файлы событий, которые хранятся локально с надлежащими разрешениями и аутентификацией, и ограничьте возможности злоумышленников по повышению привилегий, предотвратив возможность эскалации привилегий. |
---|