清除网络连接历史和配置

对手可能会清除或删除恶意网络连接的证据，以清理其操作的痕迹。需要网络连接的行为（例如 远程服务 或 外部远程服务）可能会在系统和/或应用程序日志中创建配置设置以及突出连接历史的各种工件。防御者可以使用这些工件来监控或分析对手创建的网络连接。 网络连接历史可能存储在各种位置。例如，RDP 连接历史可能存储在 Windows 注册表值中 (引用: Microsoft RDP Removal): * HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default * HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers Windows 还可能在 C:\Users\%username%\Documents\Default.rdp 和 C:\Users\%username%\AppData\Local\Microsoft\Terminal Server Client\Cache\ 文件中存储有关最近 RDP 连接的信息。(引用: Moran RDPieces) 类似地，macOS 和 Linux 主机可能会在系统日志中存储突出连接历史的信息（例如存储在 /Library/Logs 和/或 /var/log/ 中的日志）。(引用: Apple Culprit Access)(引用: FreeDesktop Journal)(引用: Apple Unified Log Analysis Remote Login and Screen Sharing) 恶意网络连接还可能需要更改第三方应用程序或网络配置设置，例如 禁用或修改系统防火墙 或篡改以启用 代理。对手可能会删除或修改这些数据以隐藏指标和/或阻碍防御分析。