Техника на mitre.org

T1070.009: Удаление следов закрепления

Злоумышленники могут удалять артефакты, указывающие на их закрепление на хосте, чтобы скрыть следы своей активности. Для этого они могут использовать различные техники, такие как удаление служб, удаление исполняемых файлов, изменение реестра и изменение файла plist, чтобы помешать специалистам по безопасности собрать доказательства закрепления злоумышленников в системе. Злоумышленники могут удалить учетные записи, созданные ими ранее для закрепления в системе с помощью техники Создание учетной записи.

В некоторых случаях артефакты, свидетельствующие о закреплении в системе, могут удаляться после закрепления во избежание ошибок при использовании нового экземпляра вредоносного ПО.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

oracle_database: PT-CR-279: Oracle_Audit_Entry_Delete: Удаление записей из таблицы аудита oracle_database: PT-CR-278: Oracle_Audit_Drop: Удаление таблицы аудита oracle_database: PT-CR-282: Oracle_Audit_Truncate: Очистка таблицы аудита oracle_database: PT-CR-1278: Oracle_Unified_Audit_Clean: Очищен единый журнал аудита vmware_aria: PT-CR-2378: AOFL_Data_Partition_Remove: Удаление раздела с данными журналов может свидетельствовать о попытке злоумышленника удалить артефакты работы на узлах мониторинга Aria Operations for Logs security_code_secret_net_lsp: PT-CR-1888: SecretNet_LSP_Remove_Log_From_Database: Удаление журналов событий Secret Net LSP

Способы обнаружения

ID	DS0022	Источник и компонент данных	Файл: Изменение файла	Описание	Отслеживайте изменения в файлах, с помощью которых злоумышленники могут удалять или изменять созданные артефакты, указывающие на закрепление злоумышленников в системе.

ID	DS0003	Источник и компонент данных	Запланированное задание: Изменения в запланированном задании	Описание	Отслеживайте изменения в запланированных заданиях, с помощью которых злоумышленники могут пытаться удалить свои артефакты из системы.

ID	DS0022	Источник и компонент данных	Файл: Удаление файла	Описание	Отслеживайте файлы, которые могут удалять или изменять созданные артефакты, указывающие на закрепление злоумышленников в системе.

ID	DS0002	Источник и компонент данных	Учетная запись пользователя: Удаление учетной записи	Описание	Отслеживайте нетипичные случаи удаления учетных записей пользователей. В журналах событий Windows могут фиксироваться действия, связанные с попытками злоумышленника удалить учетную запись, например события с идентификатором 4726 (учетная запись пользователя удалена). Оповещения по этим идентификаторам событий зачастую являются ложными срабатываниями, поэтому их нужно сравнивать с базовыми данными о нормальной эксплуатации систем и по возможности соотносить события изменения учетных записей с другими признаками вредоносной активности.

ID	DS0024	Источник и компонент данных	Реестр Windows: Изменение ключа реестра Windows	Описание	Отслеживайте изменения в ключах и значениях реестра Windows, с помощью которых злоумышленники могут удалять или изменять созданные артефакты, указывающие на закрепление злоумышленников в системе.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, которые могут удалять или изменять артефакты, указывающие на закрепление злоумышленников в системе.

ID	DS0024	Источник и компонент данных	Реестр Windows: Удаление ключа реестра Windows	Описание	Отслеживайте ключи реестра Windows, которые могут быть удалены или могут изменять созданные артефакты, указывающие на закрепление злоумышленников в системе.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для удаления или изменения созданных артефактов, связанных с закреплением на узле.

ID	Источник и компонент данных	Описание
DS0022	Файл: Изменение файла	Отслеживайте изменения в файлах, с помощью которых злоумышленники могут удалять или изменять созданные артефакты, указывающие на закрепление злоумышленников в системе.
DS0003	Запланированное задание: Изменения в запланированном задании	Отслеживайте изменения в запланированных заданиях, с помощью которых злоумышленники могут пытаться удалить свои артефакты из системы.
DS0022	Файл: Удаление файла	Отслеживайте файлы, которые могут удалять или изменять созданные артефакты, указывающие на закрепление злоумышленников в системе.
DS0002	Учетная запись пользователя: Удаление учетной записи	Отслеживайте нетипичные случаи удаления учетных записей пользователей. В журналах событий Windows могут фиксироваться действия, связанные с попытками злоумышленника удалить учетную запись, например события с идентификатором 4726 (учетная запись пользователя удалена). Оповещения по этим идентификаторам событий зачастую являются ложными срабатываниями, поэтому их нужно сравнивать с базовыми данными о нормальной эксплуатации систем и по возможности соотносить события изменения учетных записей с другими признаками вредоносной активности.
DS0024	Реестр Windows: Изменение ключа реестра Windows	Отслеживайте изменения в ключах и значениях реестра Windows, с помощью которых злоумышленники могут удалять или изменять созданные артефакты, указывающие на закрепление злоумышленников в системе.
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, которые могут удалять или изменять артефакты, указывающие на закрепление злоумышленников в системе.
DS0024	Реестр Windows: Удаление ключа реестра Windows	Отслеживайте ключи реестра Windows, которые могут быть удалены или могут изменять созданные артефакты, указывающие на закрепление злоумышленников в системе.
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для удаления или изменения созданных артефактов, связанных с закреплением на узле.

Меры противодействия

ID	M1022	Название	Ограничение разрешений для файлов и каталогов	Описание	Защитите сгенерированные файлы событий, которые хранятся локально с надлежащими разрешениями и аутентификацией, и ограничьте возможности злоумышленников по повышению привилегий, предотвратив возможность эскалации привилегий.

ID	M1029	Название	Удаленное хранение данных	Описание	Автоматическая пересылка событий на сервер журналов или в хранилище данных для предотвращения условий, в которых злоумышленник может найти данные в локальной системе и манипулировать ими. По возможности минимизируйте временную задержку при создании отчетов о событиях, чтобы избежать длительного хранения данных в локальной системе.

ID	Название	Описание
M1022	Ограничение разрешений для файлов и каталогов	Защитите сгенерированные файлы событий, которые хранятся локально с надлежащими разрешениями и аутентификацией, и ограничьте возможности злоумышленников по повышению привилегий, предотвратив возможность эскалации привилегий.
M1029	Удаленное хранение данных	Автоматическая пересылка событий на сервер журналов или в хранилище данных для предотвращения условий, в которых злоумышленник может найти данные в локальной системе и манипулировать ими. По возможности минимизируйте временную задержку при создании отчетов о событиях, чтобы избежать длительного хранения данных в локальной системе.