T1564

پنهان کردن آثار

Hide Artifacts

توضیحات

مهاجمان آثار فعالیت خود را پنهان می‌کنند تا از شناسایی جلوگیری کنند. این تکنیک شامل پنهان کردن فایل‌ها، فرآیندها، کاربران و سایر آثار از ابزارهای امنیتی و کاربران می‌شود.

زیرتکنیک‌ها (4)

شناسهنام

T1564.001

فایل‌ها و دایرکتوری‌های پنهانHidden Files and Directories

مهاجمان فایل‌ها و دایرکتوری‌ها را با استفاده از ویژگی‌های سیستم‌عامل پنهان می‌کنند. در ویندوز از attrib +h و در لینوکس/macOS از پیشوند نقطه استفاده می‌شود.

T1564.003

پنجره پنهانHidden Window

مهاجمان پنجره‌های برنامه‌های مخرب را پنهان می‌کنند تا از دید کاربر مخفی بمانند. در PowerShell از پارامتر -WindowStyle Hidden و در VBScript از CreateObject('WScript.Shell').Run با پارامتر 0 استفاده می‌شود.

T1564.004

ویژگی‌های فایل NTFSNTFS File Attributes

مهاجمان از Alternate Data Stream (ADS) در NTFS برای پنهان کردن داده‌های مخرب استفاده می‌کنند. ADS به فایل‌ها اجازه می‌دهد داده‌های اضافی را در stream‌های جداگانه ذخیره کنند که در explorer قابل مشاهده نیستند.

T1564.008

قوانین پنهان‌سازی ایمیلEmail Hiding Rules

مهاجمان قوانین ایمیل را تنظیم می‌کنند تا ایمیل‌های خاص را به صورت خودکار حذف یا به پوشه‌های پنهان منتقل کنند. این می‌تواند برای پنهان کردن هشدارهای امنیتی یا ارتباطات C2 از طریق ایمیل استفاده شود.

روش‌های شناسایی

نظارت بر فایل‌های پنهان. شناسایی فرآیندهای پنهان. بررسی کاربران پنهان. استفاده از ابزارهای forensics.

روش‌های مقابله

نظارت بر فایل‌های پنهان. استفاده از ابزارهای forensics. پیاده‌سازی EDR. بررسی منظم سیستم. استفاده از File Integrity Monitoring.