T1564: Сокрытие артефактов
Злоумышленники могут попытаться скрыть артефакты, связанные с их действиями, для предотвращения обнаружения. Операционные системы поддерживают скрытие различных артефактов, например важных системных файлов и признаков выполнения административных задач, чтобы не мешать работе пользователей и не давать им изменять важные данные или функции системы. Злоумышленники могут злоупотреблять этими возможностями и скрывать свои артефакты, такие как файлы, каталоги и учетные записи пользователей, а также другую системную активность, чтобы избежать обнаружения.
Злоумышленники также могут пытаться скрыть артефакты своей вредоносной активности путем создания изолированных областей вычислений, таких как виртуальные машины, чтобы избежать обнаружения средствами безопасности.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_execution: PT-CR-777: Hidden_Scheduled_Task: Обнаружено создание скрытой запланированной задачи или скрытное изменение уже существующей запланированной задачи без записи в журнал событий Windows. Создание задачи или ее изменение может выполняться непосредственно напрямую в реестре, без использования Планировщика заданий Windows
mysql_database: PT-CR-619: MySQL_audit_table_modify: Обнаружена попытка изменить таблицу аудита
mysql_database: PT-CR-621: MySQL_audit_table_rename: Обнаружена попытка переименовать таблицу аудита
Способы обнаружения
ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Метаданные учетной записи | Описание | Отслеживайте контекстные данные учетных записей (имя и идентификатор пользователя, данные о среде и т. п.), с помощью которых злоумышленники могут маскировать создаваемые или изменяемые ими учетные записи пользователей. В macOS отслеживайте пользователей, у которых значение идентификатора пользователя меньше 500 и значение ключа |
---|
ID | DS0001 | Источник и компонент данных | Прошивка: Изменение прошивки | Описание | Отслеживайте изменения в прошивке на предмет появления неожиданных модификаций настроек и (или) данных, которые могут использовать скрытую файловую систему, чтобы замаскировать вредоносную активность от пользователей и средств безопасности. Буткит |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на использование правил электронной почты для скрытия входящих писем в почтовом ящике скомпрометированного пользователя. Отслеживайте подозрительную активность почтовых клиентов и приложений, например исчезновение сообщений, аномальные конфигурации и (или) записи журналов. В средах с Exchange отслеживайте записи журналов, указывающие на создание или изменение правил обработки потоков почты. |
---|
ID | DS0012 | Источник и компонент данных | Сценарий: Выполнение сценария | Описание | Отслеживайте различия между исходным кодом VBA и p-кодом. Код VBA можно извлечь из p-кода до его выполнения с помощью дизассемблера pcodedmp и аналогичных инструментов. Дизассемблер pcodedmp используется в составе инструментария oletools для обнаружения техники сокрытия в скомпилированном VBA-коде путем сопоставления ключевых слов из исходного кода VBA с p-кодом. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте недавно созданные процессы на предмет таких артефактов, как |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы функций Windows API |
---|
ID | DS0024 | Источник и компонент данных | Реестр Windows: Изменение ключа реестра Windows | Описание | Отслеживайте изменения в ключах реестра Windows и (или) значениях, с помощью которых злоумышленники могут выполнять операции в пределах виртуального экземпляра, чтобы избежать обнаружения. Например, через реестр можно попытаться обнаружить ПО для виртуализации, установленное злоумышленником. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | В системах Windows и Exchange отслеживайте изменение или создание подозрительных правил для папки "Входящие" с помощью таких командлетов PowerShell, как |
---|
ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Создание учетной записи | Описание | Отслеживайте в macOS недавно созданные учетные записи пользователей, особенно те, у которых идентификатор пользователя меньше 500. Они могут маскировать присутствие учетных записей пользователей, которые создаются или изменяются с их помощью. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | В системах macOS отслеживайте модификации файлов |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте недавно созданные файлы, с помощью которых злоумышленники могут использовать ветви ресурсов, чтобы скрыть вредоносный код или исполняемые файлы с целью избежать обнаружения и обойти средства безопасности. |
---|
ID | DS0019 | Источник и компонент данных | Служба: Создание службы | Описание | Отслеживайте недавно созданные службы/демоны, которые могут выполнять вредоносные операции в пределах виртуального экземпляра, чтобы избежать обнаружения. По возможности отслеживайте новые службы Windows, учитывая при этом программное обеспечение для виртуализации. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Если документ будет открыт через графический интерфейс (GUI), вредоносный p-код будет декомпилирован и отображен. Но если в поток |
---|
Меры противодействия
ID | M1033 | Название | Ограничение установки программного обеспечения | Описание | Ограничьте установку программного обеспечения, которое может быть использовано для создания скрытых рабочих столов, например hVNC, группами пользователей, которым это необходимо. |
---|
ID | M1013 | Название | Руководство для разработчиков приложений | Описание | Настраивайте приложения на использование структуры пакетов приложений, в которой используется папка |
---|
ID | M1049 | Название | Антивирус или ПО для защиты от вредоносных программ | Описание | Просматривайте и проверяйте списки файлов- и папок-исключений и по возможности ограничивайте объем исключений только тем, что необходимо. |
---|