T1564-001-win-隐藏的文件和目录
来自ATT&CK的描述
攻击者可能会将文件和目录设置为隐藏,以逃避检测机制。为了防止普通用户意外更改系统上的特殊文件,大多数操作系统都具有“隐藏”文件的功能。当用户使用GUI浏览文件系统或在命令行上使用常规命令时,这些文件不会显示。用户必须通过一系列图形用户界面(GUI)提示或使用命令行开关(对于Windows为dir /a,对于Linux和macOS为ls –a)明确要求显示隐藏文件。
在Linux和Mac上,用户只需将“.”标记为隐藏,即可将其标记为隐藏。作为文件或文件夹名称中的第一个字符。默认情况下,以“.”开头的文件和文件夹在Finder应用程序和标准命令行实用程序(如“ ls”)中不会隐藏。用户必须专门更改设置才能查看这些文件。
macOS上的文件也可以用UF_HIDDEN标志标记,这可以防止在Finder.app中看到它们,但仍然允许在Terminal.app 中看到它们。在Windows上,用户可以使用attrib.exe二进制文件将特定文件标记为隐藏。许多应用程序都会创建这些隐藏的文件和文件夹来存储信息,以免使用户的工作空间变得混乱。例如,SSH实用程序会创建一个.ssh文件夹,该文件夹处于隐藏状态,其中包含用户的已知主机和密钥。
攻击者可以利用此优势来隐藏系统上任何位置的文件和文件夹,并逃避不包含对隐藏文件的调查的典型用户或系统分析。
测试案例
Attrib.exe是位于C\Windows\System32文件夹中的Windows操作系统文件。它允许您显示或更改文件属性。attrib命令的功能是设置,更改或删除这些文件属性使用attrib命令,可以使文件为只读,归档,系统和隐藏。
什么是文件属性?
A文件属性是与计算机上的任何文件相关联的元数据,描述或跟踪文件创建或修改,文件大小,文件扩展名和文件权限等信息。
检测日志
windows sysmon
测试复现
Attrib命令,可以让文件夹彻底的隐藏起来,就算是在文件夹选项中设置了显示隐藏文件夹,也无法显示出来的。只能通过路径访问的方式打开文件夹。
C:\Users\splaybow>help attrib
显示或更改文件属性。
ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [+I | -I]
[drive:][path][filename] [/S [/D] [/L]]
+ 设置属性。
- 清除属性。
R 只读文件属性。
A 存档文件属性。
S 系统文件属性。
H 隐藏文件属性。
I 无内容索引文件属性。
[drive:][path][filename]
指定 attrib 要处理的文件。
/S 处理当前文件夹及其所有子文件夹中的匹配文件。
/D 也处理文件夹。
/L 处理符号链接和符号链接目标的属性。
测试留痕
windows sysmon/security
检测规则/思路
监视文件系统和Shell命令,以查找以“.”开头的文件。和Windows命令行使用attrib.exe添加隐藏属性。
splunk规则
index=windows source=”WinEventLog:Microsoft-Windows-Sysmon/Operational” (EventCode=1 Image=”*\\attrib.exe” CommandLine=”*+s*”)
index=windows source=”WinEventLog:Microsoft-Windows-Sysmon/Operational” (EventCode=1 Image=”*\\attrib.exe” CommandLine=”*+h*”)
建议
暂无
参考推荐
MITRE-ATT&CK-T1564-001
https://attack.mitre.org/techniques/T1564/001/
CMD中使用attrib命令设置文件只读、隐藏属性详解