Техники: T1070 , T1070.001 , T1070.002 , T1070.003 , T1070.004 , T1070.005 , T1070.006 , T1070.007 , T1070.008 , T1070.009 , T1070.010
Злоумышленники могут очистить артефакты, связанные с ранее установленной персистентностью на хост-системе, чтобы удалить доказательства своей деятельности. Это может включать различные действия, такие как удаление служб, удаление исполняемых файлов, Изменение реестра, Изменение файла Plist или другие методы очистки, чтобы помешать защитникам собрать доказательства их постоянного присутствия.(Цитата: Cylance Dust Storm) Злоумышленники также могут удалять учетные записи, ранее созданные для поддержания постоянства (т. е.Например, Create Account).(Цит. по: Talos - Cisco Attack 2022)
В некоторых случаях артефакты персистентности могут быть удалены после выполнения персистентности Злоумышленника, чтобы предотвратить ошибки с новым экземпляром вредоносного ПО.(Цит. по: NCC Group Team9 June 2020)
https://attack.mitre.org/techniques/T1070/009
Визуализация смежных техник для T1070.009
| № | Техника |
|---|
