Техники: T1070 , T1070.001 , T1070.002 , T1070.003 , T1070.004 , T1070.005 , T1070.006 , T1070.007 , T1070.008 , T1070.009 , T1070.010
Злоумышленники могут очищать или удалять свидетельства вредоносных сетевых подключений, чтобы очистить следы своих операций. Параметры конфигурации, а также различные артефакты, отражающие историю подключений, могут быть созданы в системе и/или в журналах приложений в результате действий, требующих сетевых подключений, таких как Удаленные службы или Внешние удаленные службы. Защитники могут использовать эти артефакты для мониторинга или иного анализа сетевых соединений, созданных Злоумышленниками.
История сетевых подключений может храниться в различных местах. Например, история соединений RDP может храниться в значениях реестра Windows в следующих разделах (Цитата: Microsoft RDP Removal):
* HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default
* HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers
Windows также может хранить информацию о последних RDP соединениях в таких файлах, как C:\Users\\\%username%\Documents\Default.rdp и `C:\Users\%username%\AppData\Local\Microsoft\Terminal
Server Client\Cache\`.(Цитата: Moran RDPieces) Аналогично, хосты macOS и Linux могут хранить информацию об истории соединений в системных журналах (например, в `/Library/Logs` и/или `/var/log/`).(Цитата: Apple Culprit Access)(Цитата: FreeDesktop Journal)(Цитата: Apple Unified Log Analysis Remote Login and Screen Sharing)
Вредоносные сетевые подключения могут также требовать изменения сторонних приложений или параметров конфигурации сети, например Disable or Modify System Firewall или вмешательства для включения Proxy.Злоумышленники могут удалять или изменять эти данные, чтобы скрыть индикаторы и/или затруднить защитный анализ.
https://attack.mitre.org/techniques/T1070/007
Визуализация смежных техник для T1070.007
| № | Техника |
|---|
