T1016.002: Изучение сетей Wi-Fi

Злоумышленники могут искать на скомпрометированных системах информацию о сетях Wi-Fi, например имена сетей и пароли. Злоумышленники могут использовать информацию о Wi-Fi, например, для изучения учетных записей, изучения удаленных систем или других ресурсов, а также для получения учетных данных. Полученная информация может использоваться как в текущей кампании, так и в последующих.

Злоумышленники могут собирать различную информацию о сетях Wi-Fi с хостов. Например, в Windows имена и пароли всех сетей Wi-Fi, к которым ранее подключалось устройство, могут быть получены с помощью двух команд: сначала netsh wlan show profiles для получения имен сетей Wi-Fi, а затем netsh wlan show profile <имя сети Wi-Fi> key=clear для отображения соответствующих паролей этих сетей. Кроме того, имена и другие сведения о локально доступных сетях Wi-Fi можно узнать путем вызова функций нативного API wlanAPI.dll.

В Linux имена и пароли всех Wi-Fi-сетей, к которым ранее подключалось устройство, могут быть доступны в файлах каталога /etc/NetworkManager/system-connections/. В macOS пароль известной сети Wi-Fi можно определить с помощью команды security find-generic-password -wa wifiname (требуются имя и пароль администратора).

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_discovery: PT-CR-2429: WiFi_Networks_Configuration_Discovery: Выполнены специфичные команды на узлах под управлением ОС Windows, или получен доступ к файлам в каталоге /etc/NetworkManager/system-connections/ на узлах под управлением ОС Linux или файлам в папке C:\programdata\Microsoft\Wlansvc\Profiles\Interfaces на узлах под управлением ОС Windows. Это свидетельствует о попытках получить сохраненные профили Wi-Fi или просмотреть пароль определенной точки Wi-Fi в открытом виде

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте команды с аргументами, которые могут использоваться для сбора информации о подключениях Wi-Fi на скомпрометированных системах.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API (например, из wlanAPI.dll), с помощью которых можно собирать информацию о локальных сетях Wi-Fi.