译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1049
术语表: /attack/glossary
攻击者可能试图通过查询网络上的信息,从而获得当前正在访问的受攻击系统或远程系统的网络连接列表。
获取这些信息的实用程序和命令包括 netstat、"net use"和"net session"。
在 Mac 和 Linux 中,netstat
和 lsof
可列出当前连接。who -a
和 w
可显示当前登录的用户,与"net session"类似。
识别可能用于获取网络连接信息的不必要的系统实用程序或潜在的恶意软件,并在适当的情况下使用白名单工具(如 AppLocker、 或软件限制策略 ) 审计和/或拦截它们。
由于攻击者了解环境,系统和网络披露技术通常可以发生在整个操作过程中。不应孤立地查看数据和事件,而应将其视为可能导致其他活动的行为链的一部分,例如基于所获得的信息的横向移动。 监视可以收集系统和网络信息的进程和命令行参数的操作。 具有内置功能的远程访问工具可以直接与 Windows API 交互以收集信息。 也可以通过 Windows 系统管理工具获取信息,如 Windows 管理规范和 PowerShell。