T1082: Изучение системы
Злоумышленники могут попытаться получить подробную информацию об операционной системе и аппаратном обеспечении, включая версии, обновления, исправления и архитектуру. Злоумышленники могут использовать информацию, полученную при изучении системы в ходе автоматического обнаружения, для определения дальнейшего поведения — например, следует ли осуществить полное заражение цели и (или) предпринять какие-то конкретные действия.
Для сбора подробных сведений о системе могут использоваться такие инструменты, как systeminfo. В macOS злоумышленники, получившие привилегированный доступ, могут собирать подробные сведения о системе с помощью инструмента настройки systemsetup
. Например, злоумышленники с пользовательскими правами доступа могут выполнить команду df -aH
для получения информации о подключенных дисках и свободном месте на них. Для сбора подробных сведений о системе, установленной на сетевом устройстве, злоумышленники могут также воспользоваться интерпретаторами командной строки сетевых устройств (например, вызвав команду show version
). Сведения, полученные в ходе изучения системы, а также с использованием других техник обнаружения и разведки, могут использоваться для разработки полезной нагрузки и методов ее скрытия.
Поставщики облачных IaaS-сервисов, такие как AWS, GCP и Azure, позволяют получать сведения об экземплярах и виртуальных машинах через API. В случае успешной аутентификации вызовы API могут возвращать данные об операционной системе и статусе отдельного экземпляра или представлении модели виртуальной машины.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_discovery: PT-CR-332: System_Information_Discovery: Обнаружена попытка получить информацию о версиях системы, приложений и включенных компонентах
unix_mitre_attck_discovery: PT-CR-1690: Unix_System_Information_Discovery: Получение информации о системе на Unix-узле
mitre_attck_discovery: PT-CR-1014: USB_Tokens_Discovery: Попытка получить информацию о подключенных токенах или ключах пользователя, хранящихся в реестре
hacking_tools: PT-CR-2118: adPEAS_Usage: Запущен сценарий adPEAS для разведки в домене
sap_suspicious_user_activity: PT-CR-244: SAPASABAP_GW_Reginfo_denied_server: Запрет регистрации внешней программы
sap_suspicious_user_activity: PT-CR-246: SAPASABAP_GW_Secinfo_denied: Запуск внешней программы запрещен
hashicorp: PT-CR-2141: Hashicorp_Vault_Infrastructure_Discovery: Злоумышленники могут выполнять разведку инфраструктуры системы для определения возможных дальнейших действий
solaris_suspicious_network_activity: PT-CR-546: Solaris_detect_local_automatic_recon_by_WWW_user: Обнаружена локальная разведка операционной системы
solaris_suspicious_network_activity: PT-CR-547: Solaris_detect_local_manual_recon_by_WWW_user: Обнаружена локальная разведка операционной системы
unix_mitre_attck_discovery: PT-CR-480: Unix_Local_Mass_Recon: Выполнено большое количество команд для сбора информации о системе. Возможен автоматизированный сбор
hacking_tools: PT-CR-2017: SharpHound_LDAP_Requests: Запуск утилиты SharpHound (BloodHound) с использованием одного из методов сбора: ObjectProps, ACL, Trusts, Container. Метод ObjectProps собирает такие свойства объектов, как LastLogon или PwdLastSet; ACL — разрешения, которыми могут воспользоваться злоумышленники, для объектов в Active Directory; Trusts — доверительные отношения доменов; Container — древовидную структуру OU и ссылки групповой политики
hacking_tools: PT-CR-1978: SharpHound_Sysvol_Access: Запуск утилиты SharpHound (BloodHound), которая применяется для сбора информации об объектах Active Directory, с использованием одного из методов сбора: DCOnly, LocalGroup (--Stealth), ComputerOnly (--Stealth), RDP (--Stealth), DCOM (--Stealth), GPOLocalGroup, LocalAdmin (--Stealth)
hacking_tools: PT-CR-2244: SOAPHound_Usage: Использована утилита SOAPHound, предназначенная для сбора данных Active Directory через протокол веб-служб Active Directory (ADWS)
postgresql_database: PT-CR-2335: PostgreSQL_Func_Discovery: Получение кода всех функций через pg_proc как элемент разведки
postgresql_database: PT-CR-2336: PostgreSQL_SecDef_Function_PrivEsc: Создание и поиск функций Security Definer как потенциальный элемент повышения привилегий
mitre_attck_discovery: PT-CR-2117: Windows_Mass_Recon: Большое количество действий, связанных с разведкой на узле
mssql_database: PT-CR-416: MSSQL_file_system_discovery: Попытка получить информацию из файловой системы через базу данных
clickhouse: PT-CR-1569: ClickHouse_DBMS_version_discovery: Обнаружена попытка получения информации о версии СУБД
clickhouse: PT-CR-1583: ClickHouse_system_info_discovery: Обнаружена попытка получения информации о сервере или СУБД
active_directory_attacks: PT-CR-2125: Untrusted_Terminal_Server_Activity: Использованы команды недоверенного терминального сервера
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут попытаться получить подробную информацию об операционной системе и аппаратном обеспечении, включая версии, исправления, пакеты обновлений и архитектуру. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API, с помощью которых можно получить подробную информацию об операционной системе и аппаратном обеспечении, включая версии, исправления, пакеты обновлений и архитектуру. Средства удаленного доступа со встроенными функциями могут напрямую взаимодействовать с API Windows для сбора информации. Сбор информации также может осуществляться с помощью системных средств администрирования, таких как инструментарий управления Windows и PowerShell. В облачных системах для выявления доступа к определенным API и дашбордам, содержащим информацию о системе, можно использовать встроенные средства журналирования. В зависимости от того, как используется среда, эти данные сами по себе могут оказаться бесполезны, если эти функции применяются в штатном режиме работы. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения подробной информации об операционной системе и аппаратном обеспечении, включая версии, исправления, пакеты обновлений и архитектуру. На сетевых устройствах отслеживайте выполнение команд в журналах аутентификации, авторизации и аудита (ААА), особенно их запуск неавторизованными пользователями или пользователями, которые обычно этого не делают. |
---|