Техника на mitre.org

T1564.001: Скрытые файлы и каталоги

Злоумышленники могут скрывать файлы и каталоги, чтобы обойти механизмы обнаружения. Чтобы предотвратить случайные изменения системных файлов пользователями, в большинстве операционных систем применяется концепция скрытых файлов. Эти файлы не отображаются при просмотре файловой системы через графический интерфейс и выполнении стандартных команд в командной строке. Пользователи должны сами включить показ скрытых файлов либо через графический интерфейс, либо с помощью параметров командной строки (dir /a для Windows и ls –a для Linux и macOS).

В Linux и Mac пользователи могут пометить определенные файлы как скрытые, просто добавив . в качестве первого символа в имени файла или папки. Файлы и каталоги, начинающиеся с точки ., по умолчанию скрыты от просмотра в приложении Finder и стандартных утилитах командной строки, таких как ls. Пользователям необходимо изменить настройки, чтобы сделать эти файлы видимыми.

Файлы в macOS также могут быть помечены флагом UF_HIDDEN, который предотвращает их просмотр в приложении Finder, но оставляет видимыми в приложении Terminal. В Windows пользователи могут помечать определенные файлы как скрытые с помощью исполняемого файла attrib.exe. Многие приложения хранят информацию в скрытых файлах и каталогах, чтобы не загромождать рабочее пространство пользователя. Например, утилиты SSH создают скрытую папку .ssh, содержащую известные хосты и ключи пользователя.

Злоумышленники могут воспользоваться этим, чтобы скрыть файлы и каталоги в системе и избежать обнаружения при обычном пользовательском или системном анализе, который не включает проверку скрытых файлов.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

unix_mitre_attck_defense_evasion: PT-CR-1656: Unix_Suspicious_Hidden_Files: Подозрительные действия, связанные с созданием или запуском скрытых файлов

Способы обнаружения

ID	DS0022	Источник и компонент данных	Файл: Создание файла	Описание	Отслеживайте файлы с точкой в начале имени, созданные в файловой системе и с помощью команд оболочки.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, которые могут скрывать файлы и каталоги, чтобы обойти механизмы обнаружения.

ID	DS0022	Источник и компонент данных	Файл: Метаданные файла	Описание	Отслеживайте контекстные данные файла, которые могут включать его имя, содержимое (подпись, заголовки, данные или встроенные объекты), имя пользователя/владельца, разрешения и другую информацию. Злоумышленники могут скрывать файлы и каталоги, чтобы обойти средства обнаружения.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте файлы с точкой в начале имени, созданные в файловой системе и с помощью команд оболочки, а также запуск процесса attrib.exe через командную строку Windows для добавления скрытого атрибута.

ID	Источник и компонент данных	Описание
DS0022	Файл: Создание файла	Отслеживайте файлы с точкой в начале имени, созданные в файловой системе и с помощью команд оболочки.
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, которые могут скрывать файлы и каталоги, чтобы обойти механизмы обнаружения.
DS0022	Файл: Метаданные файла	Отслеживайте контекстные данные файла, которые могут включать его имя, содержимое (подпись, заголовки, данные или встроенные объекты), имя пользователя/владельца, разрешения и другую информацию. Злоумышленники могут скрывать файлы и каталоги, чтобы обойти средства обнаружения.
DS0017	Команда: Выполнение команд	Отслеживайте файлы с точкой в начале имени, созданные в файловой системе и с помощью команд оболочки, а также запуск процесса attrib.exe через командную строку Windows для добавления скрытого атрибута.