T1564.001: Скрытые файлы и каталоги
Злоумышленники могут скрывать файлы и каталоги, чтобы обойти механизмы обнаружения. Чтобы предотвратить случайные изменения системных файлов пользователями, в большинстве операционных систем применяется концепция скрытых файлов. Эти файлы не отображаются при просмотре файловой системы через графический интерфейс и выполнении стандартных команд в командной строке. Пользователи должны сами включить показ скрытых файлов либо через графический интерфейс, либо с помощью параметров командной строки (dir /a
для Windows и ls –a
для Linux и macOS).
В Linux и Mac пользователи могут пометить определенные файлы как скрытые, просто добавив .
в качестве первого символа в имени файла или папки. Файлы и каталоги, начинающиеся с точки .
, по умолчанию скрыты от просмотра в приложении Finder и стандартных утилитах командной строки, таких как ls
. Пользователям необходимо изменить настройки, чтобы сделать эти файлы видимыми.
Файлы в macOS также могут быть помечены флагом UF_HIDDEN, который предотвращает их просмотр в приложении Finder, но оставляет видимыми в приложении Terminal. В Windows пользователи могут помечать определенные файлы как скрытые с помощью исполняемого файла attrib.exe. Многие приложения хранят информацию в скрытых файлах и каталогах, чтобы не загромождать рабочее пространство пользователя. Например, утилиты SSH создают скрытую папку .ssh, содержащую известные хосты и ключи пользователя.
Злоумышленники могут воспользоваться этим, чтобы скрыть файлы и каталоги в системе и избежать обнаружения при обычном пользовательском или системном анализе, который не включает проверку скрытых файлов.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
unix_mitre_attck_defense_evasion: PT-CR-1656: Unix_Suspicious_Hidden_Files: Подозрительные действия, связанные с созданием или запуском скрытых файлов
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor newly executed processes that may set files and directories to be hidden to evade detection mechanisms. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor the file system and shell commands for files being created with a leading ".” and the Windows command-line use of attrib.exe to add the hidden attribute. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Monitor the file system and shell commands for files being created with a leading ".” |
---|
ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Monitor for contextual data about a file, which may include information such as name, the content (ex: signature, headers, or data/media), user/owner, permissions may set files and directories to be hidden to evade detection mechanisms. |
---|