SlideShare uma empresa Scribd logo

Mitre T1070 #INDICAOTR REMOVAL ON HOST

S
shuna roo

Mitre T1070 #INDICAOTR REMOVAL ON HOST

Apresentações e oratória
1 de 14
Baixar para ler offline
MITRE_T1070 # INDICATOR REMOVAL ON HOST @shunaroo
概要(Indicator Removal on Host) 攻撃の発見を遅らせるために、攻撃に関連する証跡を削除または変更する技術 Victim Villain Related logs Delete!! After attacking victim… Sysadmin umm.. there is no evidence of attack. LGTM!
参考:MITRE MATRIX上の配置(Defense Evasion) xxxxxxxxxxxxxxxxxxxxxx
MITRE上の定義 意訳: 攻撃者は、攻撃時のログや隔離されたマルウェアのファイルなど、被害者のシステム上にある 証跡を削除または変更する可能性があります。ログの場所やフォーマットは、プラットフォーム や製品で固有ですが、標準のOSを使用していれば、Windowsの場合はWindowsイベ ント, Linux/macOSの場合はBash Historyと/var/log/*に保存されます。 これらの操作は、侵入を検知するための情報収集やレポーティングなどを妨害する可能性が あります。また、本来注目されるはずのイベントが検知されなくなることで、セキュリティソリュー ションの整合性が損なわれる可能性があります。また、何が起きたかを確定するための十分 な情報が収集できなくなるため、フォレンジックやインシデントレスポンスなども妨げる可能性 があります。
MITRE上の定義 原文: Adversaries may delete or alter generated artifacts on a host system, including logs or captured files such as quarantined malware. Locations and format of logs are platform or product-specific, however standard operating system logs are captured as Windows events or Linux/macOS files such as Bash History and /var/log/*. These actions may interfere with event collection, reporting, or other notifications used to detect intrusion activity. This that may compromise the integrity of security solutions by causing notable events to go unreported. This activity may also impede forensic analysis and incident response, due to lack of sufficient data to determine what occurred.
サブテクニック T1070.001 Clear Windows Event Logs T1070.002 Clear Linux or Mac System Logs T1070.003 Clear Command History T1070.004 File Deletion T1070.005 Network Share Connection Removal T1070.006 Timestomp
T1070.001 Clear Windows Event Logs Windowsのイベントログを削除する技術 Windowsのイベントログとは コンピュータのアラートや通知の履歴
T1070.001 Clear Windows Event Logs Windowsのイベントログを削除方法(イベントビューアから)
T1070.001 Clear Windows Event Logs Windowsのイベントログを削除方法(コマンドから) wevtutil cl <ソース> 例) wevtutil cl system wevtutil cl application wevtutil cl security
T1070.002 Clear Linux or Mac System Logs Linux/Macのログを削除する 主な削除対象 /var/log/messages :General and system-related messages /var/log/secure or /var/log/auth.log: Authentication logs /var/log/utmp or /var/log/wtmp : Login records /var/log/kern.log : Kernel logs /var/log/cron.log : Crond logs /var/log/maillog : Mail server logs /var/log/httpd/ : Web server access and error logs
T1070.003 Clear Command History コマンドの履歴を削除する Linuxの場合 コマンド:history –c コマンド:rm ~/.bash_history Windowsの場合 コマンド:Clear-History ファイルの削除:$env:APPDATA¥Microsoft¥Windows ¥PowerShell¥PSReadLine¥ConsoleHost_history.txt
T1070.004 File Deletion 攻撃者が攻撃に使用したマルウェアやツールなど、もともと被害端末になかったファイルを削 除する 単純な削除でなく、サードパーティ製品でファイルそのものを削除する場合もある 例)SDELETE Windowsの場合、単純な削除では、ファイルの位置情報を削除しただけで、情報そのも のは保存領域を再利用されるまで、残存していることがある。SDELTEでは、位置情報の 削除したうえで、情報は0埋めする。
T1070.005 Network Share Connection Removal ネットワークの共有接続を削除する Windowsの場合のコマンド net use ¥system¥share /delete
T1070.006 Timestomp ファイルの作成・更新時間(Timestamp)を変更する 例)Windowsの場合 TimeStomer https://github.com/slyd0g/TimeStomper

Recomendados

Sec017 なぜ windows_10_は史上最も
Sec017 なぜ windows_10_は史上最もSec017 なぜ windows_10_は史上最も
Sec017 なぜ windows_10_は史上最もTech Summit 2016
 
Sesearch
SesearchSesearch
SesearchHiroki Ishikawa
 
Sec013 その資格情報、簡
Sec013 その資格情報、簡Sec013 その資格情報、簡
Sec013 その資格情報、簡Tech Summit 2016
 
プラットフォームセキュリティin Windows ブートタイム保護 概要編
プラットフォームセキュリティin Windows ブートタイム保護 概要編プラットフォームセキュリティin Windows ブートタイム保護 概要編
プラットフォームセキュリティin Windows ブートタイム保護 概要編Yurika Kakiuchi
 
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender ATP
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender ATPIT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender ATP
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender ATPTAKUYA OHTA
 
[Japan Tech summit 2017] DEP 003
[Japan Tech summit 2017] DEP 003[Japan Tech summit 2017] DEP 003
[Japan Tech summit 2017] DEP 003Microsoft Tech Summit 2017
 
LSMの壁
LSMの壁LSMの壁
LSMの壁guest6cf6c1
 
IT エンジニアのための 流し読み Windows - Microsoft Defender Exploit Guard
IT エンジニアのための 流し読み Windows - Microsoft Defender Exploit GuardIT エンジニアのための 流し読み Windows - Microsoft Defender Exploit Guard
IT エンジニアのための 流し読み Windows - Microsoft Defender Exploit GuardTAKUYA OHTA
 

Recomendados

Sec017 なぜ windows_10_は史上最も
Sec017 なぜ windows_10_は史上最もSec017 なぜ windows_10_は史上最も
Sec017 なぜ windows_10_は史上最もTech Summit 2016
 
Sesearch
SesearchSesearch
SesearchHiroki Ishikawa
 
Sec013 その資格情報、簡
Sec013 その資格情報、簡Sec013 その資格情報、簡
Sec013 その資格情報、簡Tech Summit 2016
 
プラットフォームセキュリティin Windows ブートタイム保護 概要編
プラットフォームセキュリティin Windows ブートタイム保護 概要編プラットフォームセキュリティin Windows ブートタイム保護 概要編
プラットフォームセキュリティin Windows ブートタイム保護 概要編Yurika Kakiuchi
 
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender ATP
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender ATPIT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender ATP
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender ATPTAKUYA OHTA
 
[Japan Tech summit 2017] DEP 003
[Japan Tech summit 2017] DEP 003[Japan Tech summit 2017] DEP 003
[Japan Tech summit 2017] DEP 003Microsoft Tech Summit 2017
 
LSMの壁
LSMの壁LSMの壁
LSMの壁guest6cf6c1
 
IT エンジニアのための 流し読み Windows - Microsoft Defender Exploit Guard
IT エンジニアのための 流し読み Windows - Microsoft Defender Exploit GuardIT エンジニアのための 流し読み Windows - Microsoft Defender Exploit Guard
IT エンジニアのための 流し読み Windows - Microsoft Defender Exploit GuardTAKUYA OHTA
 
オープンソースソフトウェアのお話
オープンソースソフトウェアのお話オープンソースソフトウェアのお話
オープンソースソフトウェアのお話shuna roo
 
MITRE ATT&CKマッピングのペストプラクティスでたよ
MITRE ATT&CKマッピングのペストプラクティスでたよMITRE ATT&CKマッピングのペストプラクティスでたよ
MITRE ATT&CKマッピングのペストプラクティスでたよshuna roo
 
MITRE ATT&CK t1071 Application Layer Protocol
MITRE ATT&CK t1071 Application Layer ProtocolMITRE ATT&CK t1071 Application Layer Protocol
MITRE ATT&CK t1071 Application Layer Protocolshuna roo
 
TryHackMeに学ぶハッキングスキル
TryHackMeに学ぶハッキングスキルTryHackMeに学ぶハッキングスキル
TryHackMeに学ぶハッキングスキルshuna roo
 
5分で分かる(かもしれない)バグバウンティ
5分で分かる(かもしれない)バグバウンティ5分で分かる(かもしれない)バグバウンティ
5分で分かる(かもしれない)バグバウンティshuna roo
 
Cyber Kill Chain サイバーキルチェーン
Cyber Kill Chain サイバーキルチェーンCyber Kill Chain サイバーキルチェーン
Cyber Kill Chain サイバーキルチェーンshuna roo
 
Open xINT CTF Bus Writeup@shunaroo
Open xINT CTF Bus Writeup@shunarooOpen xINT CTF Bus Writeup@shunaroo
Open xINT CTF Bus Writeup@shunarooshuna roo
 
Open Souce Intelligence (OSINT)
Open Souce Intelligence (OSINT)Open Souce Intelligence (OSINT)
Open Souce Intelligence (OSINT)shuna roo
 
ハニーポットはじめてみました
ハニーポットはじめてみましたハニーポットはじめてみました
ハニーポットはじめてみましたshuna roo
 
Capture the flag(CTF)@shunaroo
Capture the flag(CTF)@shunarooCapture the flag(CTF)@shunaroo
Capture the flag(CTF)@shunarooshuna roo
 
DVWAで爆上げWebAppセキュリティスキル@shunaroo
DVWAで爆上げWebAppセキュリティスキル@shunarooDVWAで爆上げWebAppセキュリティスキル@shunaroo
DVWAで爆上げWebAppセキュリティスキル@shunarooshuna roo
 
ざっくり学ぼうあぶないWebアプリの脆弱性
ざっくり学ぼうあぶないWebアプリの脆弱性ざっくり学ぼうあぶないWebアプリの脆弱性
ざっくり学ぼうあぶないWebアプリの脆弱性shuna roo
 
いまさら話題のXML
いまさら話題のXMLいまさら話題のXML
いまさら話題のXMLshuna roo
 
セキュリティ対策は攻撃者視点で考えよう
セキュリティ対策は攻撃者視点で考えようセキュリティ対策は攻撃者視点で考えよう
セキュリティ対策は攻撃者視点で考えようshuna roo
 

Mais conteúdo relacionado

Mais de shuna roo

オープンソースソフトウェアのお話
オープンソースソフトウェアのお話オープンソースソフトウェアのお話
オープンソースソフトウェアのお話shuna roo
 
MITRE ATT&CKマッピングのペストプラクティスでたよ
MITRE ATT&CKマッピングのペストプラクティスでたよMITRE ATT&CKマッピングのペストプラクティスでたよ
MITRE ATT&CKマッピングのペストプラクティスでたよshuna roo
 
MITRE ATT&CK t1071 Application Layer Protocol
MITRE ATT&CK t1071 Application Layer ProtocolMITRE ATT&CK t1071 Application Layer Protocol
MITRE ATT&CK t1071 Application Layer Protocolshuna roo
 
TryHackMeに学ぶハッキングスキル
TryHackMeに学ぶハッキングスキルTryHackMeに学ぶハッキングスキル
TryHackMeに学ぶハッキングスキルshuna roo
 
5分で分かる(かもしれない)バグバウンティ
5分で分かる(かもしれない)バグバウンティ5分で分かる(かもしれない)バグバウンティ
5分で分かる(かもしれない)バグバウンティshuna roo
 
Cyber Kill Chain サイバーキルチェーン
Cyber Kill Chain サイバーキルチェーンCyber Kill Chain サイバーキルチェーン
Cyber Kill Chain サイバーキルチェーンshuna roo
 
Open xINT CTF Bus Writeup@shunaroo
Open xINT CTF Bus Writeup@shunarooOpen xINT CTF Bus Writeup@shunaroo
Open xINT CTF Bus Writeup@shunarooshuna roo
 
Open Souce Intelligence (OSINT)
Open Souce Intelligence (OSINT)Open Souce Intelligence (OSINT)
Open Souce Intelligence (OSINT)shuna roo
 
ハニーポットはじめてみました
ハニーポットはじめてみましたハニーポットはじめてみました
ハニーポットはじめてみましたshuna roo
 
Capture the flag(CTF)@shunaroo
Capture the flag(CTF)@shunarooCapture the flag(CTF)@shunaroo
Capture the flag(CTF)@shunarooshuna roo
 
DVWAで爆上げWebAppセキュリティスキル@shunaroo
DVWAで爆上げWebAppセキュリティスキル@shunarooDVWAで爆上げWebAppセキュリティスキル@shunaroo
DVWAで爆上げWebAppセキュリティスキル@shunarooshuna roo
 
ざっくり学ぼうあぶないWebアプリの脆弱性
ざっくり学ぼうあぶないWebアプリの脆弱性ざっくり学ぼうあぶないWebアプリの脆弱性
ざっくり学ぼうあぶないWebアプリの脆弱性shuna roo
 
いまさら話題のXML
いまさら話題のXMLいまさら話題のXML
いまさら話題のXMLshuna roo
 
セキュリティ対策は攻撃者視点で考えよう
セキュリティ対策は攻撃者視点で考えようセキュリティ対策は攻撃者視点で考えよう
セキュリティ対策は攻撃者視点で考えようshuna roo
 

Mais de shuna roo (14)

オープンソースソフトウェアのお話
オープンソースソフトウェアのお話オープンソースソフトウェアのお話
オープンソースソフトウェアのお話
 
MITRE ATT&CKマッピングのペストプラクティスでたよ
MITRE ATT&CKマッピングのペストプラクティスでたよMITRE ATT&CKマッピングのペストプラクティスでたよ
MITRE ATT&CKマッピングのペストプラクティスでたよ
 
MITRE ATT&CK t1071 Application Layer Protocol
MITRE ATT&CK t1071 Application Layer ProtocolMITRE ATT&CK t1071 Application Layer Protocol
MITRE ATT&CK t1071 Application Layer Protocol
 
TryHackMeに学ぶハッキングスキル
TryHackMeに学ぶハッキングスキルTryHackMeに学ぶハッキングスキル
TryHackMeに学ぶハッキングスキル
 
5分で分かる(かもしれない)バグバウンティ
5分で分かる(かもしれない)バグバウンティ5分で分かる(かもしれない)バグバウンティ
5分で分かる(かもしれない)バグバウンティ
 
Cyber Kill Chain サイバーキルチェーン
Cyber Kill Chain サイバーキルチェーンCyber Kill Chain サイバーキルチェーン
Cyber Kill Chain サイバーキルチェーン
 
Open xINT CTF Bus Writeup@shunaroo
Open xINT CTF Bus Writeup@shunarooOpen xINT CTF Bus Writeup@shunaroo
Open xINT CTF Bus Writeup@shunaroo
 
Open Souce Intelligence (OSINT)
Open Souce Intelligence (OSINT)Open Souce Intelligence (OSINT)
Open Souce Intelligence (OSINT)
 
ハニーポットはじめてみました
ハニーポットはじめてみましたハニーポットはじめてみました
ハニーポットはじめてみました
 
Capture the flag(CTF)@shunaroo
Capture the flag(CTF)@shunarooCapture the flag(CTF)@shunaroo
Capture the flag(CTF)@shunaroo
 
DVWAで爆上げWebAppセキュリティスキル@shunaroo
DVWAで爆上げWebAppセキュリティスキル@shunarooDVWAで爆上げWebAppセキュリティスキル@shunaroo
DVWAで爆上げWebAppセキュリティスキル@shunaroo
 
ざっくり学ぼうあぶないWebアプリの脆弱性
ざっくり学ぼうあぶないWebアプリの脆弱性ざっくり学ぼうあぶないWebアプリの脆弱性
ざっくり学ぼうあぶないWebアプリの脆弱性
 
いまさら話題のXML
いまさら話題のXMLいまさら話題のXML
いまさら話題のXML
 
セキュリティ対策は攻撃者視点で考えよう
セキュリティ対策は攻撃者視点で考えようセキュリティ対策は攻撃者視点で考えよう
セキュリティ対策は攻撃者視点で考えよう
 

Mitre T1070 #INDICAOTR REMOVAL ON HOST