Отключение или модификация инструментов

Злоумышленники могут отключать, ухудшать или изменять инструменты или приложения безопасности (например, инструменты обнаружения и реагирования на конечных точках (EDR), системы обнаружения вторжений (IDS), антивирусы, агенты ведения журнала, датчики и т.д.), чтобы ухудшить или уменьшить видимость защитных возможностей. Это может включать остановку определенных служб, завершение процессов, изменение или удаление конфигурационных файлов инструментов и ключей реестра, или предотвращение обновления инструментов. Это также может включать более широкое ослабление защиты путем нарушения превентивных механизмов, механизмов обнаружения и реагирования в хостовых, сетевых и облачных средах. Помимо непосредственного нацеливания на инструменты, злоумышленники могут блокировать или манипулировать индикаторами и телеметрией, используемыми для обнаружения. Это включает злонамеренное отключение или перенаправление датчиков, таких как отслеживание событий для Windows (ETW), изменение конфигураций журнала событий (например, перенаправление журналов безопасности) или вмешательство в конвейеры ведения журналов и механизмы пересылки (например, прием SIEM). Более продвинутые методы включают использование законных драйверов или механизмов отладки, чтобы сделать инструменты нефункциональными, обход средств защиты от несанкционированного доступа и нацеливание на конкретные средства защиты, такие как Sysmon или агенты облачного мониторинга. Злоумышленники также могут нарушить более широкие защитные операции, включая механизмы обновления, инфраструктуру логирования (например, syslog) или агрегацию событий, что еще больше снижает способность организации обнаруживать и реагировать на вредоносную активность.