T1562.001

غیرفعال یا تغییر ابزارها

Disable or Modify Tools

توضیحات

مهاجمان ابزارهای امنیتی مانند آنتی‌ویروس، EDR و سایر نرم‌افزارهای امنیتی را غیرفعال یا تغییر می‌دهند. این شامل توقف سرویس‌های امنیتی، تغییر تنظیمات آن‌ها یا حذف فایل‌های آن‌ها می‌شود.

روش‌های شناسایی

نظارت مرکزی بر وضعیت ابزارهای امنیتی. شناسایی توقف سرویس‌های امنیتی. بررسی تغییرات تنظیمات امنیتی. استفاده از tamper protection.

روش‌های مقابله

فعال‌سازی tamper protection. نظارت مرکزی بر ابزارهای امنیتی. محدود کردن دسترسی به تغییر تنظیمات امنیتی. پیاده‌سازی چندین لایه دفاعی. استفاده از SIEM.

تکنیک اصلی

T1562Impair Defenses

اختلال در دفاع

مهاجمان قابلیت‌های دفاعی را غیرفعال یا تضعیف می‌کنند تا از شناسایی جلوگیری کنند. این تکنیک شامل غیرفعال کردن آنتی‌ویروس، EDR، فایروال، logging و سایر ابزارهای امنیتی می‌شود. مهاجمان اغلب این کار را قبل از اجرای مرحله اصلی حمله انجام می‌دهند.

سایر زیرتکنیک‌ها (3)

T1562.002 · غیرفعال کردن Windows Event Logging T1562.004 · غیرفعال یا تغییر فایروال سیستم T1562.008 · غیرفعال یا تغییر لاگ‌های ابری