Техники: T1562 , T1562.001 , T1562.002 , T1562.003 , T1562.004 , T1562.006 , T1562.007 , T1562.008 , T1562.009 , T1562.010 , T1562.011 , T1562.012
Злоумышленники могут подделывать оповещения о безопасности, поступающие от инструментов, представляя ложные свидетельства, чтобы помешать защитникам распознать вредоносную активность.(Цитата: BlackBasta) Сообщения, выдаваемые защитными инструментами, содержат информацию о потенциальных событиях безопасности, а также о состоянии функционирования программного обеспечения безопасности и системы. Сообщения о безопасности важны для мониторинга нормальной работы системы и выявления важных событий, которые могут сигнализировать об инциденте безопасности.
Вместо или в дополнение к Indicator Blocking Злоумышленник может подделать положительные подтверждения того, что средства защиты продолжают функционировать даже после того, как законные средства защиты были отключены (например, Disable or Modify Tools). Злоумышленник также может представить "здоровый" статус системы даже после заражения. Этим можно злоупотреблять, чтобы обеспечить дальнейшую вредоносную деятельность, задерживая реакцию защитника.
Например, злоумышленники могут показывать поддельный графический интерфейс Windows Security и значок в трее с "здоровым" состоянием системы после отключения Windows Defender и других системных инструментов.(Цит. по: BlackBasta)
https://attack.mitre.org/techniques/T1562/011
Визуализация смежных техник для T1562.011
| № | Техника |
|---|
