Техники: T1070 , T1070.001 , T1070.002 , T1070.003 , T1070.004 , T1070.005 , T1070.006 , T1070.007 , T1070.008 , T1070.009 , T1070.010
Злоумышленники могут изменять временные атрибуты файлов, чтобы скрыть новые файлы или изменения в существующих. Таймстампинг - это техника, которая изменяет временные метки файла (время модификации, доступа, создания и изменения), часто для имитации файлов, находящихся в одной папке, и смешивания вредоносных файлов с легитимными файлами.
Атрибуты `$STANDARD_INFORMATION` (`$SI`) и `$FILE_NAME` (`$FN`) фиксируют время в файле Master File Table (MFT).(Цитата: Inversecos Timestomping 2022) `$SI` (метки даты/времени) отображаются конечному пользователю, в том числе в представлении файловой системы, а `$FN` обрабатывается ядром.(Цитата: Magnet Forensics)
Изменение атрибута `$SI` является наиболее распространенным методом таймстампинга, поскольку его можно изменить на уровне пользователя с помощью вызовов API. Временные метки `$FN`, однако, обычно требуют взаимодействия с ядром системы, перемещения или переименования файла.(Цит. по: Inversecos Timestomping 2022)
Злоумышленники изменяют временные метки в файлах таким образом, чтобы они не бросались в глаза криминалистам или инструментам анализа файлов. Чтобы обойти обнаружение, основанное на выявлении расхождений между атрибутами `$SI` и `$FN`, злоумышленники могут также использовать «двойной таймстамп», изменяя время по обоим атрибутам одновременно.(Цитата: Double Timestomping)
Таймстампинг может использоваться вместе с маскировкой имен файлов Masquerading для сокрытия вредоносных программ и инструментов.(Цитата: WindowsIR Anti-Forensic Techniques)
https://attack.mitre.org/techniques/T1070/006
Визуализация смежных техник для T1070.006
| № | Техника |
|---|
