ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1070

术语表: /attack/glossary

删除主机上的指示器

攻击者可能会删除或更改主机系统上生成的工件,包括日志和可能被捕获的文件,如隔离的恶意软件。 日志的位置和格式会有所不同,但典型的有机系统日志会作为 Windows 事件或 Linux/macOS 文件被捕获,如 Bash History 和/var/log/*。 干扰事件和其他可用于检测入侵活动的通知的操作可能会损害安全解决方案的完整性,导致无法报告事件。 这些操作也可能使取证分析和事件响应更加困难,因为缺乏足够的数据来确定发生了什么。

清除 Windows 事件日志

Windows 事件日志记录计算机告警和通知。 Microsoft 将事件定义为“系统或程序中需要通知用户或向日志添加条目的任何重要事件”。 有三种系统定义的事件源: 系统、应用程序和安全性。 执行与帐户管理、帐户登录和目录服务访问等相关操作的攻击者可以选择清除事件以隐藏其活动。 可以使用以下实用程序命令清除事件日志:

  • wevtutil cl system
  • wevtutil cl application
  • wevtutil cl security 也可以通过其他机制清除日志,比如 PowerShell。

缓解

自动将事件转发到日志服务器或数据存储库,以防止攻击者在本地系统上查找并操作数据。 尽可能减少事件报告的时间延迟,以避免在本地系统上长时间存储。 使用适当的权限和身份验证保护在本地存储的生成的事件文件,并通过阻止特权提升 (Privilege Escalation)限制攻击者提升权限。 在本地和传输中混淆/加密事件文件,以避免向攻击者提供反馈。

检测

文件系统监控可用于检测指示器文件的不正确删除或修改。 例如,删除 Windows 事件日志(通过本机二进制文件 ,API 函数 或 PowerShell )可以生成可变事件(事件 ID 1102:“审核日志已清除”)对于未存储在文件系统上的事件,可能需要不同的检测机制。