T1070.006: Изменение временных меток
Злоумышленники могут изменять временные метки файлов, чтобы избежать обнаружения новых файлов или изменений в существующих файлах. Техника изменения временных меток файла (времени модификации, доступа, создания и изменения) часто используется с целью мимикрии под файлы, находящиеся в той же папке. Например, злоумышленники могут изменить временные метки модифицированных или созданных ими файлов, чтобы сделать их менее заметными для криминалистов и инструментов анализа файлов.
Эта техника может использоваться вместе с маскировкой имени файла для скрытия вредоносного ПО и инструментов.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
— Linux: Мониторинг запуска процессов, в командной строке которых выполняется команда «touch» с ключом -t или -acmr. — Windows: Мониторинг событий выполнения команд PowerShell, в командной строке которых содержится командлет Get-ChildItem и фрагменты «.CreationTime», «.LastWriteTime» и «.LastAccessTime»
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
| ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте неожиданные изменения во временных метках файлов. |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Отслеживайте изменения в файлах, с помощью которых можно собирать информацию об открытых дескрипторах файла и сравнивать значения временных меток. |
|---|