T1070.006
Timestomp
Timestompتوضیحات
مهاجمان timestampهای فایلها را تغییر میدهند تا تحلیل forensics را دشوارتر کنند. با تغییر زمان ایجاد، تغییر و دسترسی فایل، مهاجمان میتوانند timeline حمله را مخدوش کنند.
روشهای شناسایی
بررسی ناسازگاری بین timestampهای MFT و Standard Information. نظارت بر تغییرات timestamp. استفاده از forensics tools. بررسی $STANDARD_INFORMATION و $FILE_NAME.
روشهای مقابله
استفاده از forensics tools برای تشخیص timestomping. ارسال لاگها به SIEM. نظارت بر تغییرات timestamp. پیادهسازی File Integrity Monitoring. استفاده از EDR.
تکنیک اصلی
T1070Indicator Removal
حذف شاخص
مهاجمان آثار و شاخصهای فعالیت خود را حذف یا تغییر میدهند تا از شناسایی جلوگیری کنند. این تکنیک شامل پاک کردن لاگها، حذف فایلها، تغییر timestampها و حذف مکانیزمهای پایداری میشود.