删除工具中的指示器

如果恶意工具被检测到并隔离或以其他方式限制，攻击者或许可以确定恶意工具被检测到的原因（指示器）, 攻击者通过删除指示器来修改工具，并使用更新后的版本，该版本不再被当前目标或随后的可能使用类似系统的目标的防御系统检测到。

一个恰当的例子是，恶意软件的文件签名被检测到并被防病毒软件隔离。确定恶意软件因为其文件签名而被隔离的攻击者可以使用软件打包或以其他方式修改文件，使其具有不同的签名，然后重用该恶意软件。

缓解

在这种情况下很难缓解，因为攻击者可能通过另一个通道访问系统，并可以了解哪些技术或工具被常驻防御系统拦截。运用配置和安全方面的最佳实践，并确保在调查潜在威胁时遵循合适的流程，这对于通过离散告警检测大型的入侵至关重要。 使用诸如 AppLocker 或软件限制策略 的白名单 工具识别和拦截可能攻击者可能使用的潜在恶意软件。

检测

首次检测到恶意工具可能会触发杀毒或其他安全工具告警。类似的事件也可能通过网络 IDS、电子邮件扫描设备等在边界发生。初始检测应被视为潜在更具入侵性的入侵的指示。告警系统应该在初始告警之外对未检测到的活动进行彻查。如果像杀毒检测这样的单个事件不被调查，或者分析人员无法将该事件与网络上发生的其他活动联系起来，攻击者可以继续操作。