T1120: Изучение периферийных устройств
Злоумышленники могут попытаться получить информацию о подключенных периферийных устройствах и компонентах системы. Периферийные устройства могут включать в себя вспомогательные аппаратные ресурсы с различными функциями (например, клавиатуры, принтеры, камеры, устройства чтения смарт-карт или съемные накопители). Полученная информация может быть использована злоумышленниками для расширения своих знаний о системе и сетевом окружении или для дальнейших действий.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
Windows: — Мониторинг событий с идентификаторами 4103 и 4104 (PowerShell), в командной строке которых есть команда «Get-WMIObject Win32_PnPEntity». — Мониторинг событий запуска командлета WinPwn.ps1 или его команды «printercheck». — Мониторинг событий запуска процессов, в командной строке которых содержится команда «fsutil fsinfo drives». Linux: — Мониторинг событий запуска процессов, в командной строке которых содержатся команды «lsusb», «dmesg», «usb-devices», «lsblk», «blkid» и «fdisk -l»
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
| ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения информации о подключенных периферийных устройствах и компонентах системы. |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API, с помощью которых можно попытаться получить информацию о подключенных периферийных устройствах и компонентах системы. |
|---|
| ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут попытаться получить информацию о подключенных периферийных устройствах и компонентах системы. |
|---|