T1070.006: Изменение временных меток
Злоумышленники могут изменять временные метки файлов, чтобы избежать обнаружения новых файлов или изменений в существующих файлах. Техника изменения временных меток файла (времени модификации, доступа, создания и изменения) часто используется с целью мимикрии под файлы, находящиеся в той же папке. Например, злоумышленники могут изменить временные метки модифицированных или созданных ими файлов, чтобы сделать их менее заметными для криминалистов и инструментов анализа файлов.
Эта техника может использоваться вместе с маскировкой имени файла для скрытия вредоносного ПО и инструментов.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_defense_evasion: PT-CR-2775: Attribute_Changer_Usage: Использование утилиты Attribute Changer. Злоумышленники могут использовать этот инструмент для изменения временных меток или маскировки файлов под системные, чтобы скрыть следы активности
Способы обнаружения
| ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Отслеживайте изменения в файлах, с помощью которых можно собирать информацию об открытых дескрипторах файла и сравнивать значения временных меток. |
|---|
| ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте неожиданные изменения во временных метках файлов. |
|---|