det0184-behavioral-detection-of-indicator-removal-across-platforms

# DET0184 — Behavioral Detection of Indicator Removal Across Platforms ## Descrição Esta estratégia detecta tentativas de apagar rastros de atividade maliciosa após comprometimento — mapeada para [[T1070 — Indicator Removal]]. Adversários removem logs, deletam artefatos de disco, limpam histórico de shell, modificam timestamps e desabilitam auditoria para dificultar investigações forenses e resposta a incidentes. A detecção é comportamental: monitora exclusão em massa de logs de eventos do Windows (`wevtutil cl`), limpeza de logs do sistema Linux (`> /var/log/auth.log`, `shred`), modificação de timestamps via `touch` ou `timestomp`, e uso de ferramentas especializadas de anti-forense. A correlação temporal é crítica — remoção de logs seguida imediatamente de outras atividades suspeitas eleva significativamente a confiança do alerta. A cobertura multiplataforma requer seis analytics distintos: remoção de logs Windows (wevtutil, PowerShell Clear-EventLog), destruição de arquivos Linux, timestomping, limpeza de prefetch Windows, remoção de bash history e exclusão de arquivos de shadow copy. A presença de ferramentas como `sDelete`, `BleachBit` ou `Eraser` em contextos não-administrativos é indicador relevante. ## Indicadores de Detecção - `wevtutil cl System` ou `wevtutil cl Security` — limpeza de logs de eventos Windows - `Clear-EventLog` executado via PowerShell por processos não-administrativos - Exclusão ou truncamento de `/var/log/auth.log`, `/var/log/syslog` no Linux - Uso de `shred -u` ou `srm` em arquivos de log ou artefatos de ataque - Modificação de timestamps com `touch -t` ou ferramentas de timestomping - Exclusão de shadow copies via `vssadmin delete shadows /all /quiet` - Remoção do histórico de comandos: `history -c`, `unset HISTFILE`, exclusão de `.bash_history` - Limpeza de arquivos Prefetch em `C:\Windows\Prefetch\` ## Técnicas Relacionadas - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1485-data-destruction|T1485 — Data Destruction]] - [[t1006-direct-volume-access|T1006 — Direct Volume Access]] ## Analytics Relacionadas - [[an0520-analytic-0520|AN0520 — Analytic 0520]] - [[an0521-analytic-0521|AN0521 — Analytic 0521]] - [[an0522-analytic-0522|AN0522 — Analytic 0522]] - [[an0523-analytic-0523|AN0523 — Analytic 0523]] - [[an0524-analytic-0524|AN0524 — Analytic 0524]] - [[an0525-analytic-0525|AN0525 — Analytic 0525]] --- *Fonte: [MITRE ATT&CK — DET0184](https://attack.mitre.org/detectionstrategies/DET0184)*