Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1070.003 - Очистить историю команд

Техники:  T1070 , T1070.001 , T1070.002 , T1070.003 , T1070.004 , T1070.005 , T1070.006 , T1070.007 , T1070.008 , T1070.009 , T1070.010

Помимо очистки системных журналов, злоумышленник может очистить историю команд взломанной учетной записи, чтобы скрыть действия, предпринятые во время вторжения. Различные командные интерпретаторы отслеживают команды, которые пользователи вводят в терминале, чтобы пользователи могли проследить, что они сделали.

В Linux и macOS доступ к истории команд можно получить несколькими способами. При входе в систему история команд хранится в файле, на который указывает переменная окружения HISTFILE. Когда пользователь выходит из системы, эта информация сбрасывается в файл в домашнем каталоге пользователя под названием ~/.bash_history. Это позволяет пользователям возвращаться к командам, которые они использовали ранее в разных сессиях.

Злоумышленники могут удалить свои команды из этих журналов, очистив историю вручную (history -c) или удалив файл истории bash rm ~/.bash_history.

Злоумышленники также могут использовать Network Device CLI на сетевых устройствах для очистки данных истории команд (clear logging и/или clear history).(Цитата: US-CERT-TA18-106A)

На Windows-хостах PowerShell имеет два различных поставщика истории команд: встроенная история и история команд, управляемая модулем PSReadLine. Встроенная история отслеживает только команды, используемые в текущем сеансе. Эта история команд недоступна для других сессий и удаляется при завершении сессии.

История команд PSReadLine отслеживает команды, использованные во всех сеансах PowerShell, и записывает их в файл ($env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt по умолчанию).Этот файл истории доступен для всех сеансов и содержит всю прошлую историю, поскольку файл не удаляется при завершении сеанса.(Цитата: Microsoft PowerShell Command History)

Злоумышленники могут выполнить команду PowerShell Clear-History, чтобы удалить всю историю команд из текущего сеанса PowerShell. Однако это не приведет к удалению/промывке файла ConsoleHost_history.txt.Злоумышленники также могут удалить файл ConsoleHost_history.txt или отредактировать его содержимое, чтобы скрыть запущенные ими команды PowerShell.(Цитата: Sophos PowerShell command audit)(Цитата: Sophos PowerShell Command History Forensics)

https://attack.mitre.org/techniques/T1070/003

← Назад

Визуализация смежных техник для T1070.003

Отрасль:
 с подтехниками
Техника

Закрыть