T1016.002: Изучение сетей Wi-Fi
Злоумышленники могут искать на скомпрометированных системах информацию о сетях Wi-Fi, например имена сетей и пароли. Злоумышленники могут использовать информацию о Wi-Fi, например, для изучения учетных записей, изучения удаленных систем или других ресурсов, а также для получения учетных данных. Полученная информация может использоваться как в текущей кампании, так и в последующих.
Злоумышленники могут собирать различную информацию о сетях Wi-Fi с хостов. Например, в Windows имена и пароли всех сетей Wi-Fi, к которым ранее подключалось устройство, могут быть получены с помощью двух команд: сначала netsh wlan show profiles
для получения имен сетей Wi-Fi, а затем netsh wlan show profile <имя сети Wi-Fi> key=clear
для отображения соответствующих паролей этих сетей. Кроме того, имена и другие сведения о локально доступных сетях Wi-Fi можно узнать путем вызова функций нативного API wlanAPI.dll
.
В Linux имена и пароли всех Wi-Fi-сетей, к которым ранее подключалось устройство, могут быть доступны в файлах каталога /etc/NetworkManager/system-connections/
. В macOS пароль известной сети Wi-Fi можно определить с помощью команды security find-generic-password -wa wifiname
(требуются имя и пароль администратора).
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_discovery: PT-CR-2429: WiFi_Networks_Configuration_Discovery: Выполнены специфичные команды на узлах под управлением ОС Windows, или получен доступ к файлам в каталоге /etc/NetworkManager/system-connections/ на узлах под управлением ОС Linux или файлам в папке C:\programdata\Microsoft\Wlansvc\Profiles\Interfaces на узлах под управлением ОС Windows. Это свидетельствует о попытках получить сохраненные профили Wi-Fi или просмотреть пароль определенной точки Wi-Fi в открытом виде
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте команды с аргументами, которые могут использоваться для сбора информации о подключениях Wi-Fi на скомпрометированных системах. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API (например, из |
---|