T1070.006: Изменение временных меток

Злоумышленники могут изменять временные метки файлов, чтобы избежать обнаружения новых файлов или изменений в существующих файлах. Техника изменения временных меток файла (времени модификации, доступа, создания и изменения) часто используется с целью мимикрии под файлы, находящиеся в той же папке. Например, злоумышленники могут изменить временные метки модифицированных или созданных ими файлов, чтобы сделать их менее заметными для криминалистов и инструментов анализа файлов.

Эта техника может использоваться вместе с маскировкой имени файла для скрытия вредоносного ПО и инструментов.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

— Linux: Мониторинг запуска процессов, в командной строке которых выполняется команда «touch» с ключом -t или -acmr. — Windows: Мониторинг событий выполнения команд PowerShell, в командной строке которых содержится командлет Get-ChildItem и фрагменты «.CreationTime», «.LastWriteTime» и «.LastAccessTime»

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте неожиданные изменения во временных метках файлов.

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

Отслеживайте изменения в файлах, с помощью которых можно собирать информацию об открытых дескрипторах файла и сравнивать значения временных меток.