T1083: Изучение файлов и каталогов
Злоумышленники могут получать списки файлов и каталогов, а также осуществлять поиск определенной информации в конкретных расположениях на хосте или сетевом ресурсе. Злоумышленники могут использовать информацию, полученную при изучении файлов и каталогов в ходе автоматического обнаружения, для определения дальнейшего поведения — например, следует ли осуществить полное заражение цели и (или) предпринять какие-то конкретные действия.
Для получения этой информации могут использоваться различные утилиты командной оболочки, например dir
, tree
, ls
, find
и locate
. Для сбора информации о файлах и каталогах и взаимодействия с нативным API также могут использоваться специально разработанные инструменты. Для сбора подробной информации о файлах и каталогах, размещенных на сетевых устройствах, злоумышленники могут также воспользоваться командами интерпретаторов командной строки сетевых устройств (например, dir
, show flash
или nvram
).
Для доступа к некоторым файлам и каталогам могут потребоваться повышенные или особые пользовательские права.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mssql_database: PT-CR-556: MSSQL_Backup_Location_Discovery: Попытка получить информацию о расположении резервных копий базы данных mssql_database: PT-CR-416: MSSQL_File_System_Discovery: Попытка получить информацию из файловой системы через базу данных mysql_database: PT-CR-613: MySQL_Structure_Discovery: Выполнение некоторых SQL-команд может свидетельствовать о разведке внутренней структуры базы данных MySQL, что может быть признаком активности злоумышленника mitre_attck_discovery: PT-CR-322: File_Directory_Discovery: Обнаружена попытка получить список файлов и папок, существующих в системе mitre_attck_discovery: PT-CR-2117: Windows_Mass_Recon: Большое количество действий, связанных с разведкой на узле dnsmasq: PT-CR-2149: Dnsmasq_TFTP_File_Recon: Множество неудачных попыток доступа к файлу через TFTP clickhouse: PT-CR-1565: ClickHouse_Backup_directory_discovery: Обнаружена попытка получения информации о расположении резервных копий объектов СУБД clickhouse: PT-CR-1564: ClickHouse_Users_Directory_Discovery: Обнаружена попытка получения информации о расположении файлов пользователей СУБД microsoft_exchange: PT-CR-2503: Exchange_NTLM_Scan: Сканирование NTLM-каталогов postgresql_database: PT-CR-1829: PostgreSQL_Structure_Discovery: Выполнение некоторых SQL-команд может свидетельствовать о разведке внутренней структуры базы данных PostgreSQL, что может быть признаком активности злоумышленника
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут получать списки файлов и каталогов, а также осуществлять поиск определенной информации в конкретных расположениях на узле или сетевом ресурсе. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API, с помощью которых можно получать списки файлов и каталогов, а также осуществлять поиск определенной информации в конкретных местах узла или сетевого ресурса. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения списков файлов и каталогов, а также для поиска определенной информации в конкретных местоположениях на хосте или сетевом ресурсе. На сетевых устройствах отслеживайте выполнение команд в журналах аутентификации, авторизации и аудита (ААА), особенно их запуск неавторизованными пользователями или пользователями, которые обычно этого не делают. |
---|