T1070.004: Удаление файла
Злоумышленники могут удалять файлы, оставшиеся в системе в результате атаки. Вредоносное ПО, инструменты и другие файлы, которые не являются нативными и были помещены в систему или созданы в ней злоумышленниками (например, путем передачи инструментов из внешней сети), могут оставлять следы, указывающие на совершенные в сети действия и использованные методы. Злоумышленники могут удалять эти файлы непосредственно во время атаки или после ее завершения, чтобы скрыть свои следы.
Для удаления файлов могут использоваться доступные на хосте системные средства, а также другие инструменты. Примерами встроенных функций интерпретаторов командной строки и сценариев могут служить del в Windows и rm или unlink в Linux и macOS.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
— Мониторинг событий запуска процессов, в командной строке которых содержатся фрагменты «del» (Windows) или «rm» и «unlink» (Linux). Аналитику рекомендуется оценить легитимность и результат выполнения этих команд (например, не был ли удален важный системный файл, файл журнала событий и т.п.). — Мониторинг событий неожиданного удаления файлов
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
| ID | DS0022 | Источник и компонент данных | Файл: Удаление файла | Описание | Отслеживайте нетипичные случаи удаления файлов в системе |
|---|
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для переименования или удаления файлов или удаления связей с файлами. |
|---|