T1070.007: Очистка истории сетевых подключений и параметров конфигурации

Злоумышленники могут удалять следы вредоносных сетевых подключений, чтобы скрыть признаки своей активности. При выполнении действий, требующих сетевого подключения, таких как запуск служб удаленного доступа или внешних служб удаленного доступа, в системе и (или) в журналах приложений могут появляться параметры конфигурации и различные артефакты, указывающие на историю сетевых подключений. Специалисты по безопасности могут использовать эти артефакты для мониторинга или анализа сетевых подключений, созданных злоумышленниками.

История сетевых подключений может храниться различными способами. Например, история RDP-подключений может храниться в виде значений реестра Windows в следующих ключах:

  • HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default
  • HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers

Windows также может хранить сведения о недавних RDP-подключениях в файлах, например в C:\Users\%username%\Documents\Default.rdp и в папке C:\Users\%username%\AppData\Local\Microsoft\Terminal Server Client\Cache\. В macOS и Linux информация, указывающая на историю сетевых подключений, может храниться в системных журналах (например, /Library/Logs и (или) /var/log/).

При создании вредоносных сетевых подключений злоумышленники также могут менять настройки сторонних приложений или конфигурации сети, в том числе выполнять отключение или перенастройку системного межсетевого экрана или пытаться включить прокси-сервер. Злоумышленники могут удалять или изменять эти данные, чтобы скрыть индикаторы и (или) помешать анализу защитными решениями.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-2444: RDP_Connection_History_Removal: Злоумышленник может очистить или отредактировать историю подключений по RDP путем удаления или изменения соответствующих записей реестра или файла конфигурации Default.rdp unix_mitre_attck_defense_evasion: PT-CR-440: Unix_Log_Config_Modify: Изменение конфигурационных файлов служб журналирования network_devices_compromise: PT-CR-1820: S_Terra_Gate_Erase_Config: Конфигурационный файл очищен

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте создание процессов с аргументами, которые могут использоваться для удаления или изменения вредоносных параметров конфигурации сети, а также созданных артефактов, которые могут указывать на историю сетевых подключений системы, в частности журналов, файлов и значений реестра.

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Отслеживайте изменения в ключах реестра (например, HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default) и связанных с ними значениях, которые злоумышленники могут использовать для скрытия своей истории подключения к сети.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для удаления или изменения вредоносных параметров конфигурации сети, а также артефактов, созданных на узле, включая такие журналы и файлы, как Default.rdp или /var/log/.

IDDS0018Источник и компонент данныхМежсетевой экран: Изменения в правилах межсетевого экранаОписание

Отслеживайте изменения в правилах межсетевого экрана, особенно неожиданные модификации, которые могут указывать на предшествующие изменения, выполненные с целью пропуска вредоносного сетевого трафика, и (или) удаление их следов.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменения, которые могут свидетельствовать об удалении или изменении вредоносных параметров конфигурации сети, а также артефактов, созданных на узле, которые могут показать историю сетевых подключений, включая Default.rdp и /var/log/.

Меры противодействия

IDM1029НазваниеУдаленное хранение данныхОписание

Автоматическая пересылка событий на сервер журналов или в хранилище данных для предотвращения условий, в которых злоумышленник может найти данные в локальной системе и манипулировать ими. По возможности минимизируйте временную задержку при создании отчетов о событиях, чтобы избежать длительного хранения данных в локальной системе.

IDM1024НазваниеОграничение прав доступа к рееструОписание

Защитите генерируемые файлы событий и журналы, которые хранятся локально с надлежащими разрешениями и аутентификацией, и ограничьте возможности злоумышленников по повышению привилегий, предотвратив возможность эскалации привилегий.