T1562

اختلال در دفاع

Impair Defenses

توضیحات

مهاجمان قابلیت‌های دفاعی را غیرفعال یا تضعیف می‌کنند تا از شناسایی جلوگیری کنند. این تکنیک شامل غیرفعال کردن آنتی‌ویروس، EDR، فایروال، logging و سایر ابزارهای امنیتی می‌شود. مهاجمان اغلب این کار را قبل از اجرای مرحله اصلی حمله انجام می‌دهند.

زیرتکنیک‌ها (4)

شناسهنام

T1562.001

غیرفعال یا تغییر ابزارهاDisable or Modify Tools

مهاجمان ابزارهای امنیتی مانند آنتی‌ویروس، EDR و سایر نرم‌افزارهای امنیتی را غیرفعال یا تغییر می‌دهند. این شامل توقف سرویس‌های امنیتی، تغییر تنظیمات آن‌ها یا حذف فایل‌های آن‌ها می‌شود.

T1562.002

غیرفعال کردن Windows Event LoggingDisable Windows Event Logging

مهاجمان Windows Event Logging را غیرفعال می‌کنند تا از ثبت فعالیت‌های مخرب جلوگیری کنند. این شامل توقف سرویس Windows Event Log، تغییر تنظیمات audit و غیرفعال کردن کانال‌های logging خاص می‌شود.

T1562.004

غیرفعال یا تغییر فایروال سیستمDisable or Modify System Firewall

مهاجمان فایروال سیستم را غیرفعال یا قوانین آن را تغییر می‌دهند تا ارتباطات مخرب را امکان‌پذیر کنند. با غیرفعال کردن فایروال، مهاجمان می‌توانند ترافیک C2 را بدون محدودیت برقرار کنند.

T1562.008

غیرفعال یا تغییر لاگ‌های ابریDisable or Modify Cloud Logs

مهاجمان logging در محیط‌های ابری را غیرفعال یا تغییر می‌دهند تا فعالیت‌های مخرب ثبت نشوند. این شامل غیرفعال کردن CloudTrail در AWS، Azure Monitor و سایر سرویس‌های logging ابری می‌شود.

روش‌های شناسایی

نظارت بر وضعیت ابزارهای امنیتی. شناسایی غیرفعال شدن آنتی‌ویروس. بررسی تغییرات تنظیمات فایروال. تحلیل لاگ‌های امنیتی.

روش‌های مقابله

نظارت مرکزی بر وضعیت ابزارهای امنیتی. پیاده‌سازی tamper protection. استفاده از SIEM. محدود کردن دسترسی به تغییر تنظیمات امنیتی. پیاده‌سازی چندین لایه دفاعی.