Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1562.006 - Блокирование сбора индикаторов активности

Примеры обнаружения с помощью продуктов "Кода Безопасности":

Техники:  T1562 , T1562.001 , T1562.002 , T1562.003 , T1562.004 , T1562.006 , T1562.007 , T1562.008 , T1562.009 , T1562.010 , T1562.011 , T1562.012

Злоумышленник может попытаться заблокировать индикаторы или события, обычно фиксируемые датчиками, от сбора и анализа. Это может включать в себя злонамеренное перенаправление (Цитата: Microsoft Lamin Sept 2017) или даже отключение датчиков на хосте, таких как Event Tracing for Windows (ETW) (Цитата: Microsoft About Event Tracing 2018), путем изменения настроек, контролирующих сбор и поток телеметрии событий.(Цитата: Medium Event Tracing Tampering 2018) Эти настройки могут храниться в системе в файлах конфигурации и/или в реестре, а также быть доступны через административные утилиты, такие как PowerShell или Windows Management Instrumentation.

Например, злоумышленники могут изменить значение `File` в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security, чтобы скрыть свои вредоносные действия в новом или другом файле журнала .evtx.Это действие не требует перезагрузки системы и вступает в силу немедленно.(Цитата: disable_win_evt_logging)

Прерывание ETW может быть достигнуто несколькими способами, но наиболее непосредственно путем определения условий с помощью команды PowerShell Set-EtwTraceProvider или путем прямого взаимодействия с реестром для внесения изменений.

В случае сетевых сообщений об индикаторах Злоумышленник может блокировать трафик, связанный с сообщениями, чтобы предотвратить централизованный анализ. Это может быть достигнуто различными способами, например, остановкой локального процесса, отвечающего за пересылку телеметрии, и/или созданием правила брандмауэра на базе хоста для блокирования трафика на определенные хосты, отвечающие за агрегирование событий, например, продукты управления информацией и событиями безопасности (SIEM).

В среде Linux злоумышленники могут отключить или перенастроить средства обработки журналов, такие как syslog или nxlog, чтобы подавить возможности обнаружения и мониторинга, что облегчает последующее поведение (цит. по: LemonDuck).

https://attack.mitre.org/techniques/T1562/006

← Назад

Визуализация смежных техник для T1562.006

Отрасль:
 с подтехниками
Техника

Закрыть