Technique - T1107-

T1107 - File Deletion

概要

Adversaries may delete files left behind by the actions of their intrusion activity. Malware, tools, or other non-native files dropped or created on a system by an adversary may leave traces to indicate to what was done within a network and how. Removal of these files can occur during an intrusion, or as part of a post-intrusion process to minimize the adversary's footprint.

There are tools available from the host operating system to perform cleanup, but adversaries may use other tools as well. Examples include native cmd functions such as DEL, secure deletion tools such as Windows Sysinternals SDelete, or other third-party file deletion tools. (Citation: Trend Micro APT Attack Tools)

管理者によるコメント

T1107「File Deletion」（ファイル削除） は、攻撃者が自身の活動によって生成された証拠や、目的達成後に不要となったツールを削除し、防御側による検知やフォレンジック調査を妨害するテクニックです。

1. 概要

この手法で攻撃者は、ホスト上に残された「悪意ある活動の物理的な痕跡」を消去します。

何を実現できるのか:

*   **検知の回避:** アンチウイルスやEDRがスキャンを行う前に、攻撃に使用したマルウェアやスクリプトを削除する。
*   **調査の妨害:** 攻撃者が作成した一時ファイル、盗み出したデータのバックアップ、実行ログなどを消し、侵入経路や被害範囲の特定を困難にする。
*   **証拠隠滅:** 攻撃の最終段階で、自身をシステムから「掃除」して立ち去る。

2. 攻撃の流れ

攻撃者は目的を果たした後、あるいはステルス性を維持するために、標準的なシステムコマンドを使用してファイルを削除します。

ツールの使用: 侵入に使用した実行ファイル（例：mimikatz.exe）やスクリプトを削除します。
- Windows: del /f /q filename
- Linux: rm -rf filename
一時データの消去: データの窃取（エクスフィルトレーション）のために作成したアーカイブ（zipファイルなど）や、中間ファイルを削除します。
セルフデリート（自己削除）: マルウェアが実行を終えた後、自身を削除するバッチファイルを作成・実行して消滅します。
セクタレベルの消去: 単なる削除（ゴミ箱に入れる、インデックスを消す）ではなく、復元を不可能にするためにデータをゼロやランダムな値で上書きするツール（SDelete など）を使用する場合もあります。

3. 防御・対策

ファイルが消された後では調査が難しいため、「消される前」のログ収集と「不自然な削除」の検知が重要です。

コマンドラインの監視: del や rm コマンドが、プログラムのインストールディレクトリやシステムディレクトリに対して不自然に実行されていないか監視します。
ファイルシステム監査: Windowsの「オブジェクトアクセス監査」を有効にし、ファイルが「いつ」「誰によって」削除されたかのログを保持します。
EDRによる振る舞い検知: 特定のプロセス（ブラウザやWordなど）が実行ファイルを生成し、その直後に削除するといった「使い捨て」の挙動を検知します。
集中ログ管理: ファイルが削除される前に、そのファイルに関連するプロセス実行ログやネットワーク接続ログを外部のSIEMに転送しておきます。

4. 重要ポイント

「隠蔽」ではなく「抹消」: T1096（NTFS属性での隠蔽）などはファイルを残しますが、T1107は完全に消し去ることを目的とします。
検知のジレンマ: ファイル削除は日常的な運用（一時ファイルの自動削除など）でも頻繁に行われるため、悪意ある削除のみを正確に抽出するには、プロセスの親子関係などのコンテキスト分析が不可欠です。

5. 関連する主なCWE

CWE-459: Incomplete Cleanup (不完全なクリーンアップ): 本来はアプリケーションが終了時に自身を適切に消去すべきところ、攻撃者がそれを悪用したり、逆に消し忘れたりすることに関連します。
CWE-73: External Control of File Name or Path: 攻撃者が削除対象のファイルパスを操作できる脆弱性。

6. 関連する代表的なCVE

ファイル削除そのものはOSの基本機能ですが、特定の脆弱性を利用して「本来消せないはずのファイル」を消去する攻撃があります。

CVE-2022-26925: Windows LSAの脆弱性。権限昇格と組み合わせて、通常はアクセス制限されているシステムログや重要な証拠ファイルを削除するために悪用される可能性があります。
CVE-2021-41379: Windowsインストーラーの脆弱性。制限を回避してファイルを削除・置換できる特権昇格に関連します。
ランサムウェア全般: 多くのランサムウェアは、データの暗号化が終わった後に自身の実行バイナリを削除してフォレンジックを逃れようとします。

調査のヒント

T1107（ファイル削除）によって実体が消されても、Windowsの $MFT（マスターファイルテーブル）や $UsnJrnl（USNジャーナル）には、そのファイルが存在していた記録が残ります。専門的な調査では、これらを使って「消された証拠」を掘り起こすことができます。

分析

この攻撃手法を利用する脅威アクター

この攻撃手法を利用する脅威アクターは登録されていません。

攻撃手法 – 脅威アクター Graph

← Technique一覧に戻る ← Tactics一覧に戻る

Trusted Design