译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1124
术语表: /attack/glossary
系统时间由 Windows 时间服务在域中设置和存储,以维护企业网络中系统和服务之间的时间同步。
攻击者可以从本地或远程系统收集系统时间和/或时区的信息。
可以通过多种方式收集这些信息,例如在 Windows 上使用 Net,执行net time \hostname
来收集远程系统上的系统时间信息。
也可以从当前系统时间推断或使用w32tm /tz
收集受害者的时区信息。
这些信息可用于执行其他技术,例如执行带有计划任务 (Scheduled Task) 的文件,或者基于时区获取位置信息以帮助锁定目标。
良性软件使用合法进程来收集系统时间。 应该集中精力阻止不必要的或未知的代码在系统上执行。 可以使用策略阻止某些常用工具(如 net.exe),以拦截获取远程系统时间的常用手段。 识别可能用于获取系统时间信息的不必要的系统实用程序或潜在的恶意软件,并在适当的情况下使用白名单 工具(如 AppLocker、 或软件限制策略 ) 审计和/或拦截它们。
监视命令行接口可能有助于检测 net.exe 实例或其他用于收集系统时间或时区的或命令行实用程序。 检测用于收集此信息的 API 使用情况的方法可能不太有用,因为合法软件会经常使用这些方法。