T1070.009: Удаление следов закрепления

Злоумышленники могут удалять артефакты, указывающие на их закрепление на хосте, чтобы скрыть следы своей активности. Для этого они могут использовать различные техники, такие как удаление служб, удаление исполняемых файлов, изменение реестра и изменение файла plist, чтобы помешать специалистам по безопасности собрать доказательства закрепления злоумышленников в системе. Злоумышленники могут удалить учетные записи, созданные ими ранее для закрепления в системе с помощью техники Создание учетной записи.

В некоторых случаях артефакты, свидетельствующие о закреплении в системе, могут удаляться после закрепления во избежание ошибок при использовании нового экземпляра вредоносного ПО.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

oracle_database: PT-CR-279: Oracle_Audit_Entry_Delete: Удаление записей из таблицы аудита oracle_database: PT-CR-278: Oracle_Audit_Drop: Удаление таблицы аудита oracle_database: PT-CR-282: Oracle_Audit_Truncate: Очистка таблицы аудита oracle_database: PT-CR-1278: Oracle_Unified_Audit_Clean: Очищен единый журнал аудита vmware_aria: PT-CR-2378: AOFL_Data_Partition_Remove: Удаление раздела с данными журналов может свидетельствовать о попытке злоумышленника удалить артефакты работы на узлах мониторинга Aria Operations for Logs security_code_secret_net_lsp: PT-CR-1888: SecretNet_LSP_Remove_Log_From_Database: Удаление журналов событий Secret Net LSP

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменения в файлах, с помощью которых злоумышленники могут удалять или изменять созданные артефакты, указывающие на закрепление злоумышленников в системе.

IDDS0003Источник и компонент данныхЗапланированное задание: Изменения в запланированном заданииОписание

Отслеживайте изменения в запланированных заданиях, с помощью которых злоумышленники могут пытаться удалить свои артефакты из системы.

IDDS0022Источник и компонент данныхФайл: Удаление файлаОписание

Отслеживайте файлы, которые могут удалять или изменять созданные артефакты, указывающие на закрепление злоумышленников в системе.

IDDS0002Источник и компонент данныхУчетная запись пользователя: Удаление учетной записиОписание

Отслеживайте нетипичные случаи удаления учетных записей пользователей. В журналах событий Windows могут фиксироваться действия, связанные с попытками злоумышленника удалить учетную запись, например события с идентификатором 4726 (учетная запись пользователя удалена).

Оповещения по этим идентификаторам событий зачастую являются ложными срабатываниями, поэтому их нужно сравнивать с базовыми данными о нормальной эксплуатации систем и по возможности соотносить события изменения учетных записей с другими признаками вредоносной активности.

IDDS0024Источник и компонент данныхРеестр Windows: Изменение ключа реестра WindowsОписание

Отслеживайте изменения в ключах и значениях реестра Windows, с помощью которых злоумышленники могут удалять или изменять созданные артефакты, указывающие на закрепление злоумышленников в системе.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые могут удалять или изменять артефакты, указывающие на закрепление злоумышленников в системе.

IDDS0024Источник и компонент данныхРеестр Windows: Удаление ключа реестра WindowsОписание

Отслеживайте ключи реестра Windows, которые могут быть удалены или могут изменять созданные артефакты, указывающие на закрепление злоумышленников в системе.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для удаления или изменения созданных артефактов, связанных с закреплением на узле.

Меры противодействия

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Защитите сгенерированные файлы событий, которые хранятся локально с надлежащими разрешениями и аутентификацией, и ограничьте возможности злоумышленников по повышению привилегий, предотвратив возможность эскалации привилегий.

IDM1029НазваниеУдаленное хранение данныхОписание

Автоматическая пересылка событий на сервер журналов или в хранилище данных для предотвращения условий, в которых злоумышленник может найти данные в локальной системе и манипулировать ими. По возможности минимизируйте временную задержку при создании отчетов о событиях, чтобы избежать длительного хранения данных в локальной системе.