T1070.004
حذف فایل
File Deletionتوضیحات
مهاجمان فایلهای مخرب را پس از اجرا حذف میکنند تا آثار خود را پنهان کنند. این شامل حذف payloadها، ابزارها و سایر فایلهای مرتبط با حمله میشود.
روشهای شناسایی
نظارت بر حذف فایلهای مشکوک. استفاده از File Integrity Monitoring. بررسی لاگهای فایل سیستم. استفاده از forensics tools.
روشهای مقابله
استفاده از File Integrity Monitoring. ارسال لاگها به SIEM. نظارت بر حذف فایل. استفاده از forensics tools. پیادهسازی immutable logging.
تکنیک اصلی
T1070Indicator Removal
حذف شاخص
مهاجمان آثار و شاخصهای فعالیت خود را حذف یا تغییر میدهند تا از شناسایی جلوگیری کنند. این تکنیک شامل پاک کردن لاگها، حذف فایلها، تغییر timestampها و حذف مکانیزمهای پایداری میشود.