Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1070 , T1070.001 , T1070.002 , T1070.003 , T1070.004 , T1070.005 , T1070.006 , T1070.007 , T1070.008 , T1070.009 , T1070.010
Злоумышленники могут очищать журналы событий Windows, чтобы скрыть следы вторжения. Журналы событий Windows - это запись предупреждений и уведомлений компьютера. Существует три определенных системой источника событий: Система, Приложение и Безопасность, а также пять типов событий: Ошибка, Предупреждение, Информация, Аудит успеха и Аудит неудачи.
С правами администратора журналы событий можно очистить с помощью следующих команд:
* wevtutil cl system
* wevtutil cl application
* wevtutil cl security
Эти журналы также могут быть очищены с помощью других механизмов, таких как графический интерфейс просмотра событий или PowerShell. Например, злоумышленники могут использовать команду PowerShell Remove-EventLog -LogName Security для удаления Security EventLog и после перезагрузки отключить дальнейшее ведение журнала.Примечание: события могут по-прежнему генерироваться и регистрироваться в файле .evtx в период между выполнением команды и перезагрузкой.(Цитата: disable_win_evt_logging)
Злоумышленники также могут попытаться очистить журналы, непосредственно удалив сохраненные файлы журналов в `C:\Windows\System32\winevt\logs\`.
https://attack.mitre.org/techniques/T1070/001
Визуализация смежных техник для T1070.001
| № | Техника |
|---|
