Техника на mitre.org

T1070.007: Очистка истории сетевых подключений и параметров конфигурации

Злоумышленники могут удалять следы вредоносных сетевых подключений, чтобы скрыть признаки своей активности. При выполнении действий, требующих сетевого подключения, таких как запуск служб удаленного доступа или внешних служб удаленного доступа, в системе и (или) в журналах приложений могут появляться параметры конфигурации и различные артефакты, указывающие на историю сетевых подключений. Специалисты по безопасности могут использовать эти артефакты для мониторинга или анализа сетевых подключений, созданных злоумышленниками.

История сетевых подключений может храниться различными способами. Например, история RDP-подключений может храниться в виде значений реестра Windows в следующих ключах:

HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default
HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers

Windows также может хранить сведения о недавних RDP-подключениях в файлах, например в C:\Users\%username%\Documents\Default.rdp и в папке C:\Users\%username%\AppData\Local\Microsoft\Terminal Server Client\Cache\. В macOS и Linux информация, указывающая на историю сетевых подключений, может храниться в системных журналах (например, /Library/Logs и (или) /var/log/).

При создании вредоносных сетевых подключений злоумышленники также могут менять настройки сторонних приложений или конфигурации сети, в том числе выполнять отключение или перенастройку системного межсетевого экрана или пытаться включить прокси-сервер. Злоумышленники могут удалять или изменять эти данные, чтобы скрыть индикаторы и (или) помешать анализу защитными решениями.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-2444: RDP_Connection_History_Removal: Злоумышленник может очистить или отредактировать историю подключений по RDP путем удаления или изменения соответствующих записей реестра или файла конфигурации Default.rdp unix_mitre_attck_defense_evasion: PT-CR-440: Unix_Log_Config_Modify: Изменение конфигурационных файлов служб журналирования network_devices_compromise: PT-CR-1820: S_Terra_Gate_Erase_Config: Конфигурационный файл очищен

Способы обнаружения

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте создание процессов с аргументами, которые могут использоваться для удаления или изменения вредоносных параметров конфигурации сети, а также созданных артефактов, которые могут указывать на историю сетевых подключений системы, в частности журналов, файлов и значений реестра.

ID	DS0024	Источник и компонент данных	Реестр Windows: Изменение ключа реестра Windows	Описание	Отслеживайте изменения в ключах реестра (например, `HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default`) и связанных с ними значениях, которые злоумышленники могут использовать для скрытия своей истории подключения к сети.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для удаления или изменения вредоносных параметров конфигурации сети, а также артефактов, созданных на узле, включая такие журналы и файлы, как `Default.rdp` или `/var/log/`.

ID	DS0018	Источник и компонент данных	Межсетевой экран: Изменения в правилах межсетевого экрана	Описание	Отслеживайте изменения в правилах межсетевого экрана, особенно неожиданные модификации, которые могут указывать на предшествующие изменения, выполненные с целью пропуска вредоносного сетевого трафика, и (или) удаление их следов.

ID	DS0022	Источник и компонент данных	Файл: Изменение файла	Описание	Отслеживайте изменения, которые могут свидетельствовать об удалении или изменении вредоносных параметров конфигурации сети, а также артефактов, созданных на узле, которые могут показать историю сетевых подключений, включая `Default.rdp` и `/var/log/`.

ID	Источник и компонент данных	Описание
DS0009	Процесс: Создание процесса	Отслеживайте создание процессов с аргументами, которые могут использоваться для удаления или изменения вредоносных параметров конфигурации сети, а также созданных артефактов, которые могут указывать на историю сетевых подключений системы, в частности журналов, файлов и значений реестра.
DS0024	Реестр Windows: Изменение ключа реестра Windows	Отслеживайте изменения в ключах реестра (например, `HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default`) и связанных с ними значениях, которые злоумышленники могут использовать для скрытия своей истории подключения к сети.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для удаления или изменения вредоносных параметров конфигурации сети, а также артефактов, созданных на узле, включая такие журналы и файлы, как `Default.rdp` или `/var/log/`.
DS0018	Межсетевой экран: Изменения в правилах межсетевого экрана	Отслеживайте изменения в правилах межсетевого экрана, особенно неожиданные модификации, которые могут указывать на предшествующие изменения, выполненные с целью пропуска вредоносного сетевого трафика, и (или) удаление их следов.
DS0022	Файл: Изменение файла	Отслеживайте изменения, которые могут свидетельствовать об удалении или изменении вредоносных параметров конфигурации сети, а также артефактов, созданных на узле, которые могут показать историю сетевых подключений, включая `Default.rdp` и `/var/log/`.

Меры противодействия

ID	M1029	Название	Удаленное хранение данных	Описание	Автоматическая пересылка событий на сервер журналов или в хранилище данных для предотвращения условий, в которых злоумышленник может найти данные в локальной системе и манипулировать ими. По возможности минимизируйте временную задержку при создании отчетов о событиях, чтобы избежать длительного хранения данных в локальной системе.

ID	M1024	Название	Ограничение прав доступа к реестру	Описание	Защитите генерируемые файлы событий и журналы, которые хранятся локально с надлежащими разрешениями и аутентификацией, и ограничьте возможности злоумышленников по повышению привилегий, предотвратив возможность эскалации привилегий.

ID	Название	Описание
M1029	Удаленное хранение данных	Автоматическая пересылка событий на сервер журналов или в хранилище данных для предотвращения условий, в которых злоумышленник может найти данные в локальной системе и манипулировать ими. По возможности минимизируйте временную задержку при создании отчетов о событиях, чтобы избежать длительного хранения данных в локальной системе.
M1024	Ограничение прав доступа к реестру	Защитите генерируемые файлы событий и журналы, которые хранятся локально с надлежащими разрешениями и аутентификацией, и ограничьте возможности злоумышленников по повышению привилегий, предотвратив возможность эскалации привилегий.