Подмена временных меток

Злоумышленники могут изменять атрибуты времени файлов, чтобы скрыть новые файлы или изменения существующих файлов. Подмена временных меток — это техника, которая изменяет временные метки файла (время изменения, доступа, создания и изменения), часто для имитации файлов, находящихся в той же папке, и маскировки вредоносных файлов под легитимные. В системах Windows как атрибут `$STANDARD_INFORMATION` (`$SI`), так и атрибут `$FILE_NAME` (`$FN`) записывают время в файле главной файловой таблицы (MFT). `$SI` (метки даты/времени) отображается конечному пользователю, в том числе в представлении файловой системы, в то время как `$FN` обрабатывается ядром. Изменение атрибута `$SI` является наиболее распространенным методом подмены временных меток, поскольку он может быть изменен на уровне пользователя с помощью вызовов API. Однако подмена временных меток `$FN` обычно требует взаимодействия с ядром системы или перемещения или переименования файла. Злоумышленники изменяют временные метки файлов, чтобы они не выглядели подозрительными для судебных следователей или инструментов анализа файлов. Чтобы уклониться от обнаружений, которые основаны на выявлении расхождений между атрибутами `$SI` и `$FN`, злоумышленники также могут использовать "двойную подмену временных меток", одновременно изменяя время в обоих атрибутах. В системах Linux и на серверах ESXi злоумышленники могут пытаться выполнить подмену временных меток, используя команды, такие как `touch -a -m -t <timestamp> <filename>` (которая устанавливает время доступа и изменения на определенное значение) или `touch -r <filename> <filename>` (которая устанавливает время доступа и изменения в соответствии с временем другого файла). Подмена временных меток может использоваться вместе с Маскировкой имени файла для сокрытия вредоносного ПО и инструментов.