MITRE ATT&CK - Техника Очистка системных журналов Linux или Mac

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Indicator Removal: Очистка системных журналов Linux или Mac

Other sub-techniques of Indicator Removal (9)

ID	Название
.001	Очистка журналов событий Windows
.002	Очистка системных журналов Linux или Mac
.003	Очистка истории команд
.004	Удаление файлов
.005	Удаление подключений к общим сетевым ресурсам
.006	Изменение временных меток
.007	Очистка истории сетевых соединений и конфигураций
.008	Очистка почтового ящика
.009	Удаление индикаторов компрометации

Adversaries may clear system logs to hide evidence of an intrusion. macOS and Linux both keep track of system or user-initiated actions via system logs. The majority of native system logging is stored under the /var/log/ directory. Subfolders in this directory categorize logs by their related functions, such as:(Citation: Linux Logs) * /var/log/messages:: General and system-related messages * /var/log/secure or /var/log/auth.log: Authentication logs * /var/log/utmp or /var/log/wtmp: Login records * /var/log/kern.log: Kernel logs * /var/log/cron.log: Crond logs * /var/log/maillog: Mail server logs * /var/log/httpd/: Web server access and error logs

ID: T1070.002

Относится к технике: T1070

Тактика(-и): Defense Evasion

Платформы: Linux, macOS

Источники данных: Command: Command Execution, File: File Deletion, File: File Modification

Версия: 1.0

Дата создания: 28 Jan 2020

Последнее изменение: 29 Mar 2020

Название	Описание
Примеры процедур
MacMa	MacMa can clear possible malware traces such as application logs.(Citation: ESET DazzleSpy Jan 2022)
TeamTNT	TeamTNT has removed system logs from `/var/log/syslog`.(Citation: Aqua TeamTNT August 2020)
Rocke	Rocke has cleared log files within the /var/log/ folder.(Citation: Anomali Rocke March 2019)
Proton	Proton removes logs from `/var/logs` and `/Library/logs`.(Citation: objsee mac malware 2017)

Контрмера	Описание
Контрмеры
Remote Data Storage	Use remote security log and sensitive file storage where access can be controlled better to prevent exposure of intrusion detection log data or sensitive information.
Indicator Removal on Host Mitigation	Automatically forward events to a log server or data repository to prevent conditions in which the adversary can locate and manipulate data on the local system. When possible, minimize time delay on event reporting to avoid prolonged storage on the local system. Protect generated event files that are stored locally with proper permissions and authentication and limit opportunities for adversaries to increase privileges by preventing Privilege Escalation opportunities. Obfuscate/encrypt event files locally and in transit to avoid giving feedback to an adversary.
Restrict File and Directory Permissions	Restrict access by setting directory and file permissions that are not specific to users or privileged accounts.
Encrypt Sensitive Information	Protect sensitive information with strong encryption.

Обнаружение

File system monitoring may be used to detect improper deletion or modification of indicator files. Also monitor for suspicious processes interacting with log files.

Ссылки

Связанные риски

Ничего не найдено

Каталоги

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.