MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1016: Изучение конфигурации сети

Злоумышленники могут получить подробную информацию о конфигурации и параметрах сети (например, IP- и MAC-адресах), изучая информацию из доступных локально или удаленно систем. Существуют различные утилиты администрирования операционных систем, которые могут использоваться для сбора этой информации. К ним относятся arp, ipconfig/ifconfig, nbtstat и route.

На сетевых устройствах злоумышленники также могут использовать интерпретаторы командной строки сетевых устройств для сбора информации о конфигурациях и настройках, например IP-адресов настроенных интерфейсов и статических/динамических маршрутов (например, show ip route, show ip interface).

Злоумышленники могут использовать информацию, полученную при изучении конфигурации сети в ходе автоматического обнаружения, для определения дальнейшего поведения — например, выяснения возможностей доступа в атакуемой сети или других действий.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_discovery: PT-CR-333: System_Network_Configuration_Discovery: Обнаружена попытка получить информацию о конфигурации сети
unix_mitre_attck_discovery: PT-CR-1682: Unix_System_Network_Configuration_Discovery: Выполнение команды разведки по сетевым настройкам и соединениям Unix-узла
mitre_attck_discovery: PT-CR-1081: Domain_Dump_Tools_via_LDAP: Из контроллера домена выгружена информация
unix_mitre_attck_discovery: PT-CR-480: Unix_Local_Mass_Recon: Выполнено большое количество команд для сбора информации о системе. Возможен автоматизированный сбор
mitre_attck_discovery: PT-CR-1378: PowerView_Recon: Запуск скриптов из набора PowerView, используемых для получения информации о домене, доменных и локальных группах и пользователях
mitre_attck_discovery: PT-CR-2117: Windows_Mass_Recon: Большое количество действий, связанных с разведкой на узле
mitre_attck_discovery: PT-CR-659: Dnszone_Export: Пользователь выгрузил зоны DNS через процесс

Подтехники

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте команды с аргументами, которые могут использоваться для получения подробной информации о конфигурации и параметрах сети (например, IP- и MAC-адресах) и изучения информации из доступных локально или удаленно систем. На сетевых устройствах отслеживайте выполнение команд в журналах аутентификации, авторизации и аудита (ААА), особенно их запуск неавторизованными пользователями или пользователями, которые обычно этого не делают.

IDDS0012Источник и компонент данныхСценарий: Выполнение сценарияОписание

Отслеживайте попытки включить поддержку сценариев в системе и рассматривайте их как подозрительные. Если использование сценариев в системе допустимо, но не является типичным, их выполнение вне цикла обновлений или других административных задач должно рассматриваться как подозрительное. По возможности сохраняйте сценарии, записанные в файловой системе, для последующего анализа действий и целей злоумышленников.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запущенные процессы (такие как ipconfig/ifconfig и arp) с аргументами, которые могут использоваться для поиска данных о конфигурации и параметрах сети, например IP- и (или) MAC-адреса.

Примечание. Данный анализ отслеживает создание процессов ipconfig, route и nbtstat, каждый из которых является утилитой системного администрирования и может использоваться для изучения конфигурации сети. Системные администраторы могут часто пользоваться такими инструментами, что может привести к ложным срабатываниям; чтобы этого избежать, следует изменить строку соответствующим образом.

Анализ 1. Подозрительный процесс

(source="*WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="*WinEventLog:Security" EventCode="4688") AND (Image="C:\Windows\System32\ipconfig.exe" OR Image="C:\Windows\System32\route.exe" OR Image="C:\Windows\System32\nbtstat.exe")

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API (такие как GetAdaptersInfo() и GetIpNetTable()), с помощью которых можно получить подробную информацию о конфигурации и настройках сети, например IP- и (или) MAC-адреса.