MITRE ATT&CK - Техника Удаление подключений к общим сетевым ресурсам

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Indicator Removal: Удаление подключений к общим сетевым ресурсам

Other sub-techniques of Indicator Removal (9)

ID	Название
.001	Очистка журналов событий Windows
.002	Очистка системных журналов Linux или Mac
.003	Очистка истории команд
.004	Удаление файлов
.005	Удаление подключений к общим сетевым ресурсам
.006	Изменение временных меток
.007	Очистка истории сетевых соединений и конфигураций
.008	Очистка почтового ящика
.009	Удаление индикаторов компрометации

Adversaries may remove share connections that are no longer useful in order to clean up traces of their operation. Windows shared drive and SMB/Windows Admin Shares connections can be removed when no longer needed. Net is an example utility that can be used to remove network share connections with the net use \\system\share /delete command. (Citation: Technet Net Use)

ID: T1070.005

Относится к технике: T1070

Тактика(-и): Defense Evasion

Платформы: Windows

Требуемые разрешения: Administrator, User

Источники данных: Command: Command Execution, Network Traffic: Network Traffic Content, Process: Process Creation, User Account: User Account Authentication

Версия: 1.0

Дата создания: 31 Jan 2020

Последнее изменение: 09 Feb 2021

Название	Описание
Примеры процедур
Net	The `net use \\system\share /delete` command can be used in Net to remove an established connection to a network share.(Citation: Technet Net Use)
RobbinHood	RobbinHood disconnects all network shares from the computer with the command `net use * /DELETE /Y`.(Citation: CarbonBlack RobbinHood May 2019)
InvisiMole	InvisiMole can disconnect previously connected remote drives.(Citation: ESET InvisiMole June 2018)
Threat Group-3390	Threat Group-3390 has detached network shares after exfiltrating files, likely to evade detection.(Citation: SecureWorks BRONZE UNION June 2017)

Контрмера	Описание
Контрмеры
Network Share Connection Removal Mitigation	Follow best practices for mitigation of activity related to establishing Windows Admin Shares. Identify unnecessary system utilities or potentially malicious software that may be used to leverage network shares, and audit and/or block them by using whitelisting (Citation: Beechey 2010) tools, like AppLocker, (Citation: Windows Commands JPCERT) (Citation: NSA MS AppLocker) or Software Restriction Policies (Citation: Corio 2008) where appropriate. (Citation: TechNet Applocker vs SRP)

Обнаружение

Network share connections may be common depending on how an network environment is used. Monitor command-line invocation of net use commands associated with establishing and removing remote shares over SMB, including following best practices for detection of Windows Admin Shares. SMB traffic between systems may also be captured and decoded to look for related network share session and file transfer activity. Windows authentication logs are also useful in determining when authenticated network shares are established and by which account, and can be used to correlate network share activity to other events to investigate potentially malicious activity.

Ссылки

Связанные риски

Ничего не найдено

Каталоги

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.