T1070.003

پاک کردن تاریخچه دستور

Clear Command History

توضیحات

مهاجمان تاریخچه دستورات shell را پاک می‌کنند تا آثار فعالیت خود را حذف کنند. در لینوکس، فایل .bash_history و در PowerShell، تاریخچه PSReadLine هدف هستند.

روش‌های شناسایی

نظارت بر پاک شدن تاریخچه shell. شناسایی تنظیم HISTFILE به /dev/null. بررسی تغییرات فایل .bash_history. تحلیل لاگ‌های shell.

روش‌های مقابله

ارسال لاگ‌های shell به SIEM. محدود کردن دسترسی به تغییر تاریخچه. استفاده از auditd. نظارت بر تغییرات .bash_history. پیاده‌سازی log integrity.

تکنیک اصلی

T1070Indicator Removal

حذف شاخص

مهاجمان آثار و شاخص‌های فعالیت خود را حذف یا تغییر می‌دهند تا از شناسایی جلوگیری کنند. این تکنیک شامل پاک کردن لاگ‌ها، حذف فایل‌ها، تغییر timestamp‌ها و حذف مکانیزم‌های پایداری می‌شود.

سایر زیرتکنیک‌ها (4)

T1070.001 · پاک کردن لاگ‌های رویداد ویندوز T1070.004 · حذف فایل T1070.006 · Timestomp T1070.009 · پاک کردن پایداری