تشخیص File Deletion توسط رول تشخیص Splunk

0 79

ممکن است بدافزارها، ابزارها یا سایر فایل های غیر اصلی که توسط مهاجم در سیستم ساخته شده اند از کارهایی که در شبکه انجام داده اند و نحوه ی اجرای خود، ردپاهایی باقی بگذارند. مهاجمین ممکن است این فایل ها را به منظور کمتر کردن ردپا (footprint)  در طول فرایند نفوذ حذف کننند یا ان ها را در اخرکار به عنوان بخشی از فرایند پاکسازی(clean up) پس از نفوذ (post-intrusion) حذف کنند.

ابزارهایی در سیستم عامل میزبان برای انجام clan up در دسترس هستند اما مهاجمین ممکن است از ابزارهای دیگر نیز استفاده کنند. برای مثال،  توابع و پارامترهای  cmd مانند DEL، ابزارهای حذف ایمن مانند Windows Sysinternals SDelete ، یا سایر ابزارهای حذف فایل third-party می شود.

مثال هایی از رویه ها:

APT18:عوامل APT18 ابزارها و فایل های دسته ای (batch files) را از سیستم های قربانی  حذف میکنند.

APT28 :APT28 برای پوشش دادن ردپا ها، عمدا فایل های کامپیوتر را توسط برنامه  CCleaner حذف می کند .

APT29 :APT29 برای حذف کردن artifactها از سیستم  قربانیان از SDelete  استفاده می کند .

APT3 :APT3 دارای ابزاری است که می تواند فایل ها را پاک کند .

APT32: درب پشتی APT32  در macOS می تواند فرمان “delete” دریافت کند .

APT38 :APT38 از ابزاری به نام CLOSESHAVE برای حذف ایمن فایل از سیستم استفاده می کند .

ID:T1070.004

Tactic:Defense Evasion

Platform:Linux,macOS,Windows

Permissions Required:User

Data Source: File monitoring, Process command-line parameters, Binary file metadata 

Defense Bypassed: Host forensic analysis

کاهش اثر

این نوع تکنیک حمله به سادگی توسط کنترل های بازدارنده کاهش نمی یابد زیرا بر مبنای سوء استفاده از ویژگی های سیستم هستند.

تشخیص

بسته به مبنای کاربر و این که سیستم ها معمولا چگونه مورد استفاده قرار می گیرند، دیدن رویدادهایی (event) مربوط به توابع و پارامترهای  command line  مانند DEL یا برنامه های third party  یا ابزارها در یک محیط شناخته شده  غیرنرمال است.

 برای درک حذف باینری ها یا سایر فایل هایی که مهاجم ممکن است ان ها را حذف کند، پارامترهای  حذف command-line را نظارت کنید زیرا ممکن است منجر به تشخیص فعالیت های مخرب شود. یک روش خوب دیگر ،پایش ابزارهای شناخته شده ی حذف و ابزارهای حذف ایمن است که در حال حاضر در شبکه ی سازمان وجود ندارد.  ممکن است برخی از ابزارهای مانیتورینگ آرگومان های خط فرمان را جمع آوری کنند، اما ممکن نیست که فرمان های DELL را ثبت کنند زیرا DEL یک ساختار بومی (native) در cmd.exe است .

index=windows source=”WinEventLog:Microsoft-Windows-Sysmon/Operational” (EventCode=1 Image IN (“*\\sdelete.exe” , “*\\vssadmin.exe” , “*\\wmic.exe” , “*\\bcdedit.exe” , “*\\wbadmin.exe”)) index=windows source=”WinEventLog:Microsoft-Windows-Sysmon/Operational” (EventCode=1 Image=”*\\vssadmin.exe” CommandLine=”*Delete Shadows*”)
       
index=windows source=”WinEventLog:Microsoft-Windows-Sysmon/Operational” (EventCode=1 Image=”*\\wmic.exe” CommandLine=”*shadowcopy delete*”)
       
index=windows source=”WinEventLog:Microsoft-Windows-Sysmon/Operational” (EventCode=1 Image=”*\\bcdedit.exe” CommandLine IN (“*bootstatuspolicy ignoreallfailures*” , “*recoveryenabled no*”))

index=windows source=”WinEventLog:Microsoft-Windows-Sysmon/Operational” (EventCode=1 Image=”*\\wbadmin.exe” CommandLine=”*Delete*”

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.