T1562.001
غیرفعال یا تغییر ابزارها
Disable or Modify Toolsتوضیحات
مهاجمان ابزارهای امنیتی مانند آنتیویروس، EDR و سایر نرمافزارهای امنیتی را غیرفعال یا تغییر میدهند. این شامل توقف سرویسهای امنیتی، تغییر تنظیمات آنها یا حذف فایلهای آنها میشود.
روشهای شناسایی
نظارت مرکزی بر وضعیت ابزارهای امنیتی. شناسایی توقف سرویسهای امنیتی. بررسی تغییرات تنظیمات امنیتی. استفاده از tamper protection.
روشهای مقابله
فعالسازی tamper protection. نظارت مرکزی بر ابزارهای امنیتی. محدود کردن دسترسی به تغییر تنظیمات امنیتی. پیادهسازی چندین لایه دفاعی. استفاده از SIEM.
تکنیک اصلی
T1562Impair Defenses
اختلال در دفاع
مهاجمان قابلیتهای دفاعی را غیرفعال یا تضعیف میکنند تا از شناسایی جلوگیری کنند. این تکنیک شامل غیرفعال کردن آنتیویروس، EDR، فایروال، logging و سایر ابزارهای امنیتی میشود. مهاجمان اغلب این کار را قبل از اجرای مرحله اصلی حمله انجام میدهند.