V
Сканер-ВСкаталог уязвимостей · v4.2
ENRU
T1070Enterprise
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Удаление индикаторов

Злоумышленники могут удалять или изменять артефакты, созданные в системах, чтобы скрыть доказательства своего присутствия или затруднить защиту. Различные артефакты могут быть созданы злоумышленником или могут быть отнесены к действиям злоумышленника. Обычно эти артефакты используются в качестве оборонительных индикаторов, связанных с отслеживаемыми событиями, такими как строки из загруженных файлов, журналы, которые генерируются из действий пользователя, и другие данные, анализируемые защитниками. Расположение, формат и тип артефакта (например, командная история или история входов в систему) часто специфичны для каждой платформы. Удаление этих индикаторов может помешать сбору событий, отчетности или другим процессам, используемым для обнаружения активности вторжения. Это может поставить под угрозу целостность решений безопасности, приводя к тому, что заметные события остаются незарегистрированными. Эта деятельность также может препятствовать судебному анализу и реагированию на инциденты из-за отсутствия достаточных данных для определения того, что произошло.

Тактики

Предотвращение обнаружения

Подтехники

T1070.003
Очистка истории команд
T1070.004
Удаление файлов
T1070.005
Удаление подключения к сетевой общей папке
T1070.006
Подмена временных меток
T1070.007
Очистка истории и конфигурации сетевого подключения
T1070.008
Очистка данных почтового ящика
T1070.009
Очистка закрепления
T1070.010
Перемещение вредоносного ПО

Платформы

ContainersESXiLinuxmacOSNetwork DevicesOffice SuiteWindows

Меры защиты

M1022
Ограничение прав доступа к файлам и каталогам
M1029
Удалённое хранение данных
M1041
Шифрование чувствительных данных
Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

CAPEC-268
Манипуляция журналом аудита

Затронутые уязвимости (выводимые)

CVE-2024-0987Критическая уязвимость была обнаружена в Sichuan Yougou Technology KuERP до версии 1.0.4. Уязвимой является неизвестная функция файла /runtime/log. Манипуляция приводит к неправильной нейтрализации выходных данных для журналов. Эксплойт был обнародован и может быть использован. Идентификатором этой уязвимости является VDB-252252. ПРИМЕЧАНИЕ: С поставщиком связывались по поводу этого раскрытия, но он никак не отреагировал.
CVE-2023-46322iTermSessionLauncher.m в iTerm2 до версии 3.5.0beta12 не выполняет очистку имен хостов ssh в URL-адресах. Начальный символ имени хоста может быть не буквенно-цифровым. Другие символы имени хоста могут выходить за пределы набора буквенно-цифровых символов, тире и точки.
CVE-2023-46321iTermSessionLauncher.m в iTerm2 до версии 3.5.0beta12 не выполняет очистку путей в URL-адресах x-man-page. Они могут содержать shell-метасимволы для командной строки /usr/bin/man.
CVE-2015-10011В OpenDNS OpenResolve обнаружена уязвимость, классифицированная как проблематичная. Это затрагивает неизвестную часть файла resolverapi/endpoints.py. Манипуляция приводит к неправильной нейтрализации вывода для журналов. Идентификатор патча — 9eba6ba5abd89d0e36a008921eb307fcef8c5311. Рекомендуется применить патч для устранения этой проблемы. Этой уязвимости был присвоен идентификатор VDB-217197.
CVE-2025-55754Выполнение произвольного кода в Apache Tomcat
CVE-2024-47083Power Platform Terraform Provider позволяет управлять средами и другими ресурсами в Power Platform. Версии до 3.0.0 имеют проблему в Power Platform Terraform Provider, когда конфиденциальная информация, в частности `client_secret`, используемый в аутентификации субъекта-службы, может быть раскрыт в журналах. Это раскрытие происходит из-за ошибки в коде ведения журнала, из-за которой `client_secret` не маскируется должным образом при сохранении или просмотре журналов. Пользователям следует обновиться до версии 3.0.0, чтобы получить исправленную версию провайдера, которая удаляет все ведение журнала конфиденциального содержимого. Пользователи, которые использовали этого провайдера с затронутыми версиями, должны предпринять следующие дополнительные шаги для снижения риска: Немедленно смените `client_secret` для любого субъекта-службы, который был настроен с помощью этого провайдера Terraform. Это сделает недействительными все потенциально раскрытые секреты. Тем, кто установил переменную среды `TF_LOG_PATH` или настроил Terraform для сохранения журналов в файл или внешнюю систему, следует рассмотреть возможность отключения этого параметра до тех пор, пока они не обновятся до исправленной версии провайдера. Тем, у кого есть существующие журналы, которые могут содержать `client_secret`, следует удалить или очистить эти журналы, чтобы предотвратить несанкционированный доступ. Сюда входят журналы на диске, в системах мониторинга или в службах ведения журнала.
CVE-2024-25047IBM Cognos Analytics 11.2.0 до 11.2.4 и 12.0.0 до 12.0.2 уязвимы к инъекционным атакам в журнале приложений из-за неочистки данных, предоставленных пользователем. Это может привести к дальнейшим атакам на систему. IBM X-Force ID: 282956.
CVE-2023-4571В Splunk IT Service Intelligence (ITSI) версий ниже 4.13.3, 4.15.3 или 4.17.1 злоумышленник может внедрить escape-последовательности American National Standards Institute (ANSI) в файлы журналов Splunk ITSI, которые, когда уязвимое терминальное приложение считывает их, могут выполнять вредоносный код в уязвимом приложении. Для этой атаки требуется, чтобы пользователь использовал терминальное приложение, которое преобразует escape-последовательности ANSI для чтения вредоносного файла журнала локально в уязвимом терминале. Для успешного завершения атаки также требуется дополнительное взаимодействие с пользователем. Уязвимость не влияет напрямую на Splunk ITSI. Косвенное влияние на Splunk ITSI может значительно различаться в зависимости от разрешений в уязвимом терминальном приложении, а также от того, где и как пользователь считывает вредоносный файл журнала. Например, пользователи могут скопировать вредоносный файл из Splunk ITSI и прочитать его на своем локальном компьютере.
CVE-2025-57564CubeAPM nightly-2025-08-01-1 allow unauthenticated attackers to inject arbitrary log entries into production systems via the /api/logs/insert/elasticsearch/_bulk endpoint. This endpoint accepts bulk log data without requiring authentication or input validation, allowing remote attackers to perform unauthorized log injection. Exploitation may lead to false log entries, log poisoning, alert obfuscation, and potential performance degradation of the observability pipeline. The issue is present in the core CubeAPM platform and is not limited to specific deployment configurations.
CVE-2022-22151CAMS for HIS Log Server, содержащийся в следующих продуктах Yokogawa Electric, не обеспечивает надлежащую нейтрализацию выходных данных журнала: CENTUM CS 3000 версий от R3.08.10 до R3.09.00, CENTUM VP версий от R4.01.00 до R4.03.00, от R5.01.00 до R5.04.20 и от R6.01.00 до R6.08.00, и Exaopc версий от R3.72.00 до R3.79.00.
CVE-2023-3997Splunk SOAR версий ниже 6.1.0 косвенно подвержены потенциальной уязвимости, доступ к которой осуществляется через терминал пользователя. Третья сторона может отправить Splunk SOAR вредоносный веб-запрос, содержащий специальные символы ANSI, чтобы вызвать отравление файла журнала. Когда пользователь терминала пытается просмотреть отравленные журналы, это может привести к несанкционированному изменению терминала и возможному выполнению вредоносного кода из действия пользователя терминала.
CVE-2025-3942В Tridium Niagara Framework на Windows, Linux, QNX, Tridium Niagara Enterprise Security на Windows, Linux, QNX обнаружена уязвимость, связанная с неправильной нейтрализацией вывода для журналов, что может привести к манипуляции входными данными [1]. Злоумышленник может воспользоваться этой уязвимостью для внедрения вредоносного HTML-кода. Tridium рекомендует обновить Niagara Framework и Enterprise Security до версий 4.14.2u2, 4.15.u1 или 4.10u.11. Более подробную информацию можно найти на сайте производителя [1]. Источники: - [1] https://www.tridium.com/us/en/product-security - [2] https://www.honeywell.com/us/en/product-security#security-notices
CVE-2024-9606В berriai/litellm до версии 1.44.12 файл `litellm/litellm_core_utils/litellm_logging.py` содержит уязвимость, при которой код маскирования ключа API маскирует только первые 5 символов ключа. Это приводит к утечке почти всего ключа API в журналах, что делает значительную часть секретного ключа доступной. Проблема затрагивает версию v1.44.9.
CVE-2020-36567Неочищенный ввод в стандартном регистраторе в github.com/gin-gonic/gin до v1.6.0 позволяет удаленным злоумышленникам внедрять произвольные строки журнала.
CVE-2020-25646Обнаружена уязвимость в Ansible Collection community.crypto. openssl_privatekey_info раскрывает закрытый ключ в журналах. Это напрямую влияет на конфиденциальность.
Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.