禁用或修改工具

对手可能会修改和/或禁用安全工具，以避免其恶意软件/工具和活动被检测到。这可能采取多种形式，例如终止安全软件进程或服务，修改/删除注册表键或配置文件，使工具无法正常运行，或其他干扰安全工具扫描或报告信息的方法。对手还可能禁用更新，防止最新的安全补丁到达受害者系统上的工具。(引用: SCADAfence_ransomware) 对手还可能篡改安全工具部署和使用的工件。安全工具可能会对系统组件进行动态更改，以保持对特定事件的可见性。类似于指标阻断，对手可能取消挂钩或以其他方式修改工具添加的这些功能（尤其是那些存在于用户态或对手可能访问的功能），以避免检测。(引用: OutFlank System Calls)(引用: MDSec System Calls) 对手还可能专注于特定应用程序，如Sysmon。例如，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Microsoft-Windows-Sysmon-Operational中的“Start”和“Enable”值可能被修改，以篡改和可能禁用Sysmon日志记录。(引用: disable_win_evt_logging) 在网络设备上，对手可能尝试通过更改启动配置文件跳过数字签名验证检查，从而有效地禁用通常在启动时进行的固件验证。(引用: Fortinet Zero-Day and Custom Malware Used by Suspected Chinese Actor in Espionage Operation)(引用: Analysis of FG-IR-22-369) 在云环境中，对手禁用的工具可能包括向AWS CloudWatch或Google Cloud Monitor等服务报告的云监控代理。 此外，尽管防御工具可能具有防篡改机制，对手可能滥用合法的rootkit移除工具来削弱和/或禁用这些工具。(引用: chasing_avaddon_ransomware)(引用: dharma_ransomware)(引用: demystifying_ryuk)(引用: doppelpaymer_crowdstrike) 例如，对手已使用GMER等工具查找并关闭受感染系统上的隐藏进程和防病毒软件。(引用: demystifying_ryuk) 此外，对手可能利用防病毒软件的合法驱动程序访问内核空间（即利用权限提升），这可能导致绕过防篡改功能。(引用: avoslocker_ransomware)