T1070.001
پاک کردن لاگهای رویداد ویندوز
Clear Windows Event Logsتوضیحات
مهاجمان لاگهای رویداد ویندوز را پاک میکنند تا آثار فعالیت خود را حذف کنند. با استفاده از wevtutil، PowerShell یا APIهای ویندوز، مهاجمان میتوانند لاگهای Security، System و Application را پاک کنند.
روشهای شناسایی
نظارت بر رویداد 1102 (پاک شدن Security log). بررسی رویداد 104 (پاک شدن System log). شناسایی استفاده از wevtutil با پارامتر cl. ارسال لاگها به SIEM مرکزی.
روشهای مقابله
ارسال لاگها به SIEM مرکزی. محدود کردن دسترسی به پاک کردن لاگ. استفاده از immutable logging. نظارت بر رویدادهای پاک شدن لاگ. پیادهسازی log integrity.
تکنیک اصلی
T1070Indicator Removal
حذف شاخص
مهاجمان آثار و شاخصهای فعالیت خود را حذف یا تغییر میدهند تا از شناسایی جلوگیری کنند. این تکنیک شامل پاک کردن لاگها، حذف فایلها، تغییر timestampها و حذف مکانیزمهای پایداری میشود.