T1070

حذف شاخص

Indicator Removal

توضیحات

مهاجمان آثار و شاخص‌های فعالیت خود را حذف یا تغییر می‌دهند تا از شناسایی جلوگیری کنند. این تکنیک شامل پاک کردن لاگ‌ها، حذف فایل‌ها، تغییر timestamp‌ها و حذف مکانیزم‌های پایداری می‌شود.

زیرتکنیک‌ها (5)

شناسهنام

T1070.001

پاک کردن لاگ‌های رویداد ویندوزClear Windows Event Logs

مهاجمان لاگ‌های رویداد ویندوز را پاک می‌کنند تا آثار فعالیت خود را حذف کنند. با استفاده از wevtutil، PowerShell یا API‌های ویندوز، مهاجمان می‌توانند لاگ‌های Security، System و Application را پاک کنند.

T1070.003

پاک کردن تاریخچه دستورClear Command History

مهاجمان تاریخچه دستورات shell را پاک می‌کنند تا آثار فعالیت خود را حذف کنند. در لینوکس، فایل .bash_history و در PowerShell، تاریخچه PSReadLine هدف هستند.

T1070.004

حذف فایلFile Deletion

مهاجمان فایل‌های مخرب را پس از اجرا حذف می‌کنند تا آثار خود را پنهان کنند. این شامل حذف payload‌ها، ابزارها و سایر فایل‌های مرتبط با حمله می‌شود.

T1070.006

TimestompTimestomp

مهاجمان timestamp‌های فایل‌ها را تغییر می‌دهند تا تحلیل forensics را دشوارتر کنند. با تغییر زمان ایجاد، تغییر و دسترسی فایل، مهاجمان می‌توانند timeline حمله را مخدوش کنند.

T1070.009

پاک کردن پایداریClear Persistence

مهاجمان مکانیزم‌های پایداری را پس از اتمام عملیات حذف می‌کنند تا آثار خود را پنهان کنند. این شامل حذف scheduled task‌ها، سرویس‌ها، کلیدهای رجیستری Run و سایر مکانیزم‌های پایداری می‌شود.

روش‌های شناسایی

نظارت بر پاک شدن لاگ‌ها. شناسایی تغییرات timestamp. بررسی حذف فایل‌های مشکوک. تحلیل رویدادهای امنیتی.

روش‌های مقابله

ارسال لاگ‌ها به SIEM مرکزی. محدود کردن دسترسی به پاک کردن لاگ. استفاده از immutable logging. نظارت بر تغییرات لاگ. پیاده‌سازی log integrity.