T1070.004: Удаление файла

Злоумышленники могут удалять файлы, оставшиеся в системе в результате атаки. Вредоносное ПО, инструменты и другие файлы, которые не являются нативными и были помещены в систему или созданы в ней злоумышленниками (например, путем передачи инструментов из внешней сети), могут оставлять следы, указывающие на совершенные в сети действия и использованные методы. Злоумышленники могут удалять эти файлы непосредственно во время атаки или после ее завершения, чтобы скрыть свои следы.

Для удаления файлов могут использоваться доступные на хосте системные средства, а также другие инструменты. Примерами встроенных функций интерпретаторов командной строки и сценариев могут служить del в Windows и rm или unlink в Linux и macOS.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

— Мониторинг событий запуска процессов, в командной строке которых содержатся фрагменты «del» (Windows) или «rm» и «unlink» (Linux). Аналитику рекомендуется оценить легитимность и результат выполнения этих команд (например, не был ли удален важный системный файл, файл журнала событий и т.п.). — Мониторинг событий неожиданного удаления файлов

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Удаление файлаОписание

Отслеживайте нетипичные случаи удаления файлов в системе

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для переименования или удаления файлов или удаления связей с файлами.