T1070.007: Очистка истории сетевых подключений и параметров конфигурации
Злоумышленники могут удалять следы вредоносных сетевых подключений, чтобы скрыть признаки своей активности. При выполнении действий, требующих сетевого подключения, таких как запуск служб удаленного доступа или внешних служб удаленного доступа, в системе и (или) в журналах приложений могут появляться параметры конфигурации и различные артефакты, указывающие на историю сетевых подключений. Специалисты по безопасности могут использовать эти артефакты для мониторинга или анализа сетевых подключений, созданных злоумышленниками.
История сетевых подключений может храниться различными способами. Например, история RDP-подключений может храниться в виде значений реестра Windows в следующих ключах:
HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default
HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers
Windows также может хранить сведения о недавних RDP-подключениях в файлах, например в C:\Users\%username%\Documents\Default.rdp
и в папке C:\Users\%username%\AppData\Local\Microsoft\Terminal Server Client\Cache\
. В macOS и Linux информация, указывающая на историю сетевых подключений, может храниться в системных журналах (например, /Library/Logs
и (или) /var/log/
).
При создании вредоносных сетевых подключений злоумышленники также могут менять настройки сторонних приложений или конфигурации сети, в том числе выполнять отключение или перенастройку системного межсетевого экрана или пытаться включить прокси-сервер. Злоумышленники могут удалять или изменять эти данные, чтобы скрыть индикаторы и (или) помешать анализу защитными решениями.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_defense_evasion: PT-CR-2444: RDP_Connection_History_Removal: Злоумышленник может очистить или отредактировать историю подключений по RDP путем удаления или изменения соответствующих записей реестра или файла конфигурации Default.rdp unix_mitre_attck_defense_evasion: PT-CR-440: Unix_Log_Config_Modify: Изменение конфигурационных файлов служб журналирования network_devices_compromise: PT-CR-1820: S_Terra_Gate_Erase_Config: Конфигурационный файл очищен
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте создание процессов с аргументами, которые могут использоваться для удаления или изменения вредоносных параметров конфигурации сети, а также созданных артефактов, которые могут указывать на историю сетевых подключений системы, в частности журналов, файлов и значений реестра. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте изменения в ключах реестра (например, |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для удаления или изменения вредоносных параметров конфигурации сети, а также артефактов, созданных на узле, включая такие журналы и файлы, как |
---|
ID | DS0018 | Источник и компонент данных | Межсетевой экран: Изменения в правилах межсетевого экрана | Описание | Отслеживайте изменения в правилах межсетевого экрана, особенно неожиданные модификации, которые могут указывать на предшествующие изменения, выполненные с целью пропуска вредоносного сетевого трафика, и (или) удаление их следов. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения, которые могут свидетельствовать об удалении или изменении вредоносных параметров конфигурации сети, а также артефактов, созданных на узле, которые могут показать историю сетевых подключений, включая |
---|
Меры противодействия
ID | M1029 | Название | Удаленное хранение данных | Описание | Автоматическая пересылка событий на сервер журналов или в хранилище данных для предотвращения условий, в которых злоумышленник может найти данные в локальной системе и манипулировать ими. По возможности минимизируйте временную задержку при создании отчетов о событиях, чтобы избежать длительного хранения данных в локальной системе. |
---|
ID | M1024 | Название | Ограничение прав доступа к реестру | Описание | Защитите генерируемые файлы событий и журналы, которые хранятся локально с надлежащими разрешениями и аутентификацией, и ограничьте возможности злоумышленников по повышению привилегий, предотвратив возможность эскалации привилегий. |
---|