T1083: Изучение файлов и каталогов

Злоумышленники могут получать списки файлов и каталогов, а также осуществлять поиск определенной информации в конкретных расположениях на хосте или сетевом ресурсе. Злоумышленники могут использовать информацию, полученную при изучении файлов и каталогов в ходе автоматического обнаружения, для определения дальнейшего поведения — например, следует ли осуществить полное заражение цели и (или) предпринять какие-то конкретные действия.

Для получения этой информации могут использоваться различные утилиты командной оболочки, например dir, tree, ls, find и locate. Для сбора информации о файлах и каталогах и взаимодействия с нативным API также могут использоваться специально разработанные инструменты. Для сбора подробной информации о файлах и каталогах, размещенных на сетевых устройствах, злоумышленники могут также воспользоваться командами интерпретаторов командной строки сетевых устройств (например, dir, show flash или nvram).

Для доступа к некоторым файлам и каталогам могут потребоваться повышенные или особые пользовательские права.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mssql_database: PT-CR-556: MSSQL_Backup_Location_Discovery: Попытка получить информацию о расположении резервных копий базы данных mssql_database: PT-CR-416: MSSQL_File_System_Discovery: Попытка получить информацию из файловой системы через базу данных mysql_database: PT-CR-613: MySQL_Structure_Discovery: Выполнение некоторых SQL-команд может свидетельствовать о разведке внутренней структуры базы данных MySQL, что может быть признаком активности злоумышленника mitre_attck_discovery: PT-CR-322: File_Directory_Discovery: Обнаружена попытка получить список файлов и папок, существующих в системе mitre_attck_discovery: PT-CR-2117: Windows_Mass_Recon: Большое количество действий, связанных с разведкой на узле dnsmasq: PT-CR-2149: Dnsmasq_TFTP_File_Recon: Множество неудачных попыток доступа к файлу через TFTP clickhouse: PT-CR-1565: ClickHouse_Backup_directory_discovery: Обнаружена попытка получения информации о расположении резервных копий объектов СУБД clickhouse: PT-CR-1564: ClickHouse_Users_Directory_Discovery: Обнаружена попытка получения информации о расположении файлов пользователей СУБД microsoft_exchange: PT-CR-2503: Exchange_NTLM_Scan: Сканирование NTLM-каталогов postgresql_database: PT-CR-1829: PostgreSQL_Structure_Discovery: Выполнение некоторых SQL-команд может свидетельствовать о разведке внутренней структуры базы данных PostgreSQL, что может быть признаком активности злоумышленника

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые могут получать списки файлов и каталогов, а также осуществлять поиск определенной информации в конкретных расположениях на узле или сетевом ресурсе.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API, с помощью которых можно получать списки файлов и каталогов, а также осуществлять поиск определенной информации в конкретных местах узла или сетевого ресурса.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения списков файлов и каталогов, а также для поиска определенной информации в конкретных местоположениях на хосте или сетевом ресурсе. На сетевых устройствах отслеживайте выполнение команд в журналах аутентификации, авторизации и аудита (ААА), особенно их запуск неавторизованными пользователями или пользователями, которые обычно этого не делают.