MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1564.001: Скрытые файлы и каталоги

Злоумышленники могут скрывать файлы и каталоги, чтобы обойти механизмы обнаружения. Чтобы предотвратить случайные изменения системных файлов пользователями, в большинстве операционных систем применяется концепция скрытых файлов. Эти файлы не отображаются при просмотре файловой системы через графический интерфейс и выполнении стандартных команд в командной строке. Пользователи должны сами включить показ скрытых файлов либо через графический интерфейс, либо с помощью параметров командной строки (dir /a для Windows и ls –a для Linux и macOS).

В Linux и Mac пользователи могут пометить определенные файлы как скрытые, просто добавив . в качестве первого символа в имени файла или папки. Файлы и каталоги, начинающиеся с точки ., по умолчанию скрыты от просмотра в приложении Finder и стандартных утилитах командной строки, таких как ls. Пользователям необходимо изменить настройки, чтобы сделать эти файлы видимыми.

Файлы в macOS также могут быть помечены флагом UF_HIDDEN, который предотвращает их просмотр в приложении Finder, но оставляет видимыми в приложении Terminal. В Windows пользователи могут помечать определенные файлы как скрытые с помощью исполняемого файла attrib.exe. Многие приложения хранят информацию в скрытых файлах и каталогах, чтобы не загромождать рабочее пространство пользователя. Например, утилиты SSH создают скрытую папку .ssh, содержащую известные хосты и ключи пользователя.

Злоумышленники могут воспользоваться этим, чтобы скрыть файлы и каталоги в системе и избежать обнаружения при обычном пользовательском или системном анализе, который не включает проверку скрытых файлов.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_defense_evasion: PT-CR-1656: Unix_Suspicious_Hidden_Files: Подозрительные действия, связанные с созданием или запуском скрытых файлов

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor newly executed processes that may set files and directories to be hidden to evade detection mechanisms.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor the file system and shell commands for files being created with a leading ".” and the Windows command-line use of attrib.exe to add the hidden attribute.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Monitor the file system and shell commands for files being created with a leading ".”

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

Monitor for contextual data about a file, which may include information such as name, the content (ex: signature, headers, or data/media), user/owner, permissions may set files and directories to be hidden to evade detection mechanisms.