T1070.004: Удаление файла
Злоумышленники могут удалять файлы, оставшиеся в системе в результате атаки. Вредоносное ПО, инструменты и другие файлы, которые не являются нативными и были помещены в систему или созданы в ней злоумышленниками (например, путем передачи инструментов из внешней сети), могут оставлять следы, указывающие на совершенные в сети действия и использованные методы. Злоумышленники могут удалять эти файлы непосредственно во время атаки или после ее завершения, чтобы скрыть свои следы.
Для удаления файлов могут использоваться доступные на хосте системные средства, а также другие инструменты. Примерами встроенных функций интерпретаторов командной строки и сценариев могут служить del в Windows и rm или unlink в Linux и macOS.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_defense_evasion: PT-CR-2924: Self_Delete_Object: Программа удалила сама себя. Это может быть признаком работы вредоносного ПО
Способы обнаружения
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для переименования или удаления файлов или удаления связей с файлами. |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Удаление файла | Описание | Отслеживайте нетипичные случаи удаления файлов в системе |
|---|