T1070.009
پاک کردن پایداری
Clear Persistenceتوضیحات
مهاجمان مکانیزمهای پایداری را پس از اتمام عملیات حذف میکنند تا آثار خود را پنهان کنند. این شامل حذف scheduled taskها، سرویسها، کلیدهای رجیستری Run و سایر مکانیزمهای پایداری میشود.
روشهای شناسایی
نظارت بر حذف scheduled taskها. بررسی حذف سرویسها. شناسایی حذف کلیدهای رجیستری Run. تحلیل تغییرات در مکانیزمهای پایداری.
روشهای مقابله
ارسال لاگها به SIEM. نظارت بر تغییرات پایداری. استفاده از File Integrity Monitoring. پیادهسازی immutable logging. استفاده از EDR.
تکنیک اصلی
T1070Indicator Removal
حذف شاخص
مهاجمان آثار و شاخصهای فعالیت خود را حذف یا تغییر میدهند تا از شناسایی جلوگیری کنند. این تکنیک شامل پاک کردن لاگها، حذف فایلها، تغییر timestampها و حذف مکانیزمهای پایداری میشود.