T1070-004-linux-文件删除

来自ATT&CK的描述

攻击者在系统上删除或创建恶意软件、工具或其他非本机文件，可能会留下关于在主机上执行的操作以及操作方式的痕迹。作为入侵后清理过程的一部分，攻击者可能会在入侵过程中删除这些文件以保持其隐蔽性。

主机操作系统提供了可用于执行清理的工具，但攻击者也可以使用其他工具。示例包括本机cmd功能（如del），安全删除工具（如Windows Sysinternals SDelete）或其他第三方文件删除工具。

rm -rf abc. text #强制删除abc.txt

rm -f abc.txt #强制删除abc.txt

shred -u abc.txt #彻底粉碎删除文件abc.txt

linux audit日志（值得注意的是：Ubuntu默认情况下没有audit，需要下载安装并配置相关策略）

bash历史记录

icbc@icbc:~$ rm -r abc.txt

icbc@icbc:~$ shred -u abc.txt

基于audit日志

暂无

基于bash历史记录

icbc@icbc:~$ history

650 rm -r abc.txt

654 shred -u abc.txt

index=linux sourcetype=linux_audit syscall=59 comm=shred | table host,auid,msg

index=linux sourcetype=linux_audit type=execve shred .bash_history | table host,msg,a0,a2

index=linux sourcetype=linux_audit syscall=263 | table host,auid,uid,eid,exe

index=linux sourcetype=linux_audit syscall=82 exe=/usr/bin/shred | table host,auid,uid,eid,exe

index=linux sourcetype="bash_history" bash_command="rm " OR bash_command="shred -u "

暂无

MITRE-ATT&CK-T1070-004

linux下rm命令详解