Техники: T1070 , T1070.001 , T1070.002 , T1070.003 , T1070.004 , T1070.005 , T1070.006 , T1070.007 , T1070.008 , T1070.009 , T1070.010
Злоумышленники могут удалять или изменять артефакты, создаваемые в системах, чтобы удалить доказательства своего присутствия или помешать защите. Различные артефакты могут быть созданы Злоумышленником или чем-то, что может быть приписано его действиям. Обычно эти артефакты используются в качестве защитных индикаторов, связанных с отслеживаемыми событиями, такими как строки из загруженных файлов, журналы, генерируемые в результате действий пользователя, и другие данные, анализируемые защитниками. Расположение, формат и тип артефакта (например, история команд или входа в систему) часто специфичны для каждой платформы.
Удаление этих индикаторов может помешать сбору событий, созданию отчетов и другим процессам, используемым для обнаружения вторжений. Это может нарушить целостность решений безопасности, поскольку заметные события останутся незарегистрированными.Такая деятельность также может затруднить криминалистический анализ и реагирование на инциденты из-за отсутствия достаточных данных для определения того, что произошло.
https://attack.mitre.org/techniques/T1070
Визуализация смежных техник для T1070
| № | Техника |
|---|
