T1070.009: Удаление следов закрепления
Злоумышленники могут удалять артефакты, указывающие на их закрепление на хосте, чтобы скрыть следы своей активности. Для этого они могут использовать различные техники, такие как удаление служб, удаление исполняемых файлов, изменение реестра и изменение файла plist, чтобы помешать специалистам по безопасности собрать доказательства закрепления злоумышленников в системе. Злоумышленники могут удалить учетные записи, созданные ими ранее для закрепления в системе с помощью техники Создание учетной записи.
В некоторых случаях артефакты, свидетельствующие о закреплении в системе, могут удаляться после закрепления во избежание ошибок при использовании нового экземпляра вредоносного ПО.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
oracle_database: PT-CR-279: Oracle_Audit_Entry_Delete: Удаление записей из таблицы аудита oracle_database: PT-CR-278: Oracle_Audit_Drop: Удаление таблицы аудита oracle_database: PT-CR-282: Oracle_Audit_Truncate: Очистка таблицы аудита oracle_database: PT-CR-1278: Oracle_Unified_Audit_Clean: Очищен единый журнал аудита vmware_aria: PT-CR-2378: AOFL_Data_Partition_Remove: Удаление раздела с данными журналов может свидетельствовать о попытке злоумышленника удалить артефакты работы на узлах мониторинга Aria Operations for Logs security_code_secret_net_lsp: PT-CR-1888: SecretNet_LSP_Remove_Log_From_Database: Удаление журналов событий Secret Net LSP
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения в файлах, с помощью которых злоумышленники могут удалять или изменять созданные артефакты, указывающие на закрепление злоумышленников в системе. |
---|
ID | DS0003 | Источник и компонент данных | Запланированное задание: Изменения в запланированном задании | Описание | Отслеживайте изменения в запланированных заданиях, с помощью которых злоумышленники могут пытаться удалить свои артефакты из системы. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Удаление файла | Описание | Отслеживайте файлы, которые могут удалять или изменять созданные артефакты, указывающие на закрепление злоумышленников в системе. |
---|
ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Удаление учетной записи | Описание | Отслеживайте нетипичные случаи удаления учетных записей пользователей. В журналах событий Windows могут фиксироваться действия, связанные с попытками злоумышленника удалить учетную запись, например события с идентификатором 4726 (учетная запись пользователя удалена). Оповещения по этим идентификаторам событий зачастую являются ложными срабатываниями, поэтому их нужно сравнивать с базовыми данными о нормальной эксплуатации систем и по возможности соотносить события изменения учетных записей с другими признаками вредоносной активности. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте изменения в ключах и значениях реестра Windows, с помощью которых злоумышленники могут удалять или изменять созданные артефакты, указывающие на закрепление злоумышленников в системе. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут удалять или изменять артефакты, указывающие на закрепление злоумышленников в системе. |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Удаление ключа реестра Windows | Описание | Отслеживайте ключи реестра Windows, которые могут быть удалены или могут изменять созданные артефакты, указывающие на закрепление злоумышленников в системе. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для удаления или изменения созданных артефактов, связанных с закреплением на узле. |
---|
Меры противодействия
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Защитите сгенерированные файлы событий, которые хранятся локально с надлежащими разрешениями и аутентификацией, и ограничьте возможности злоумышленников по повышению привилегий, предотвратив возможность эскалации привилегий. |
---|
ID | M1029 | Название | Удаленное хранение данных | Описание | Автоматическая пересылка событий на сервер журналов или в хранилище данных для предотвращения условий, в которых злоумышленник может найти данные в локальной системе и манипулировать ими. По возможности минимизируйте временную задержку при создании отчетов о событиях, чтобы избежать длительного хранения данных в локальной системе. |
---|