Техники: T1562 , T1562.001 , T1562.002 , T1562.003 , T1562.004 , T1562.006 , T1562.007 , T1562.008 , T1562.009 , T1562.010 , T1562.011 , T1562.012
Злоумышленник может отключить или модифицировать функции и интеграции облачных журналов, чтобы ограничить сбор данных о своей деятельности и избежать обнаружения. Облачные среды позволяют собирать и анализировать журналы аудита и приложений, которые дают представление о действиях пользователя в среде. Если злоумышленник обладает достаточными полномочиями, он может отключить или изменить журнал, чтобы избежать обнаружения своих действий.
Например, в AWS злоумышленник может отключить интеграцию CloudWatch/CloudTrail перед тем, как приступить к дальнейшей вредоносной деятельности.(Цит. По следу CloudTrail: Генерирование сильных сигналов безопасности AWS с помощью Sumo Logic) В качестве альтернативы они могут подделать функции ведения журнала - например, удалить все связанные с SNS темы, отключить ведение журнала в нескольких регионах или отключить настройки, проверяющие и/или шифрующие файлы журнала.(Цитата: AWS Update Trail)(Цитата: Pacu Detection Disruption Module) В Office 365 злоумышленник может отключить ведение журнала действий по сбору почты для определенных пользователей с помощью команды `Set-MailboxAuditBypassAssociation`, отключив M365 Advanced Auditing для пользователя или понизив лицензию пользователя с Enterprise E5 до Enterprise E3.(Цитата: Dark Reading Microsoft 365 Attacks 2021)
https://attack.mitre.org/techniques/T1562/008
Визуализация смежных техник для T1562.008
| № | Техника |
|---|
