T1564.004
ویژگیهای فایل NTFS
NTFS File Attributesتوضیحات
مهاجمان از Alternate Data Stream (ADS) در NTFS برای پنهان کردن دادههای مخرب استفاده میکنند. ADS به فایلها اجازه میدهد دادههای اضافی را در streamهای جداگانه ذخیره کنند که در explorer قابل مشاهده نیستند.
روشهای شناسایی
اسکن Alternate Data Streamها. نظارت بر ایجاد ADS. شناسایی اجرای کد از ADS. استفاده از ابزارهای forensics.
روشهای مقابله
اسکن منظم ADS. استفاده از File Integrity Monitoring. نظارت بر ADS. استفاده از EDR. بررسی فایلهای با ADS مشکوک.
تکنیک اصلی
T1564Hide Artifacts
پنهان کردن آثار
مهاجمان آثار فعالیت خود را پنهان میکنند تا از شناسایی جلوگیری کنند. این تکنیک شامل پنهان کردن فایلها، فرآیندها، کاربران و سایر آثار از ابزارهای امنیتی و کاربران میشود.