T1518: Изучение установленного ПО
Злоумышленники могут попытаться получить список установленных в системе или облаке программ и их версий. Злоумышленники могут использовать информацию, полученную при изучении установленного ПО в ходе автоматического обнаружения, для определения дальнейшего поведения — например, следует ли осуществить полное заражение цели и (или) предпринять какие-то конкретные действия.
В средах такое программное обеспечение, например средства развертывания ПО, может быть развернуто для управления конфигурацией или в защитных целях, и с его помощью злоумышленники могут получить широкие возможности для заражения устройств или перемещения внутри сети.
Злоумышленники могут попытаться получить список программного обеспечения по разным причинам — например, чтобы выяснить, какие меры безопасности реализованы в системе или присутствует ли в скомпрометированной системе версия программного обеспечения, допускающая эксплуатацию уязвимостей для повышения привилегий.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
unix_mitre_attck_discovery: PT-CR-480: Unix_Local_Mass_Recon: Выполнено большое количество команд для сбора информации о системе. Возможен автоматизированный сбор unix_mitre_attck_discovery: PT-CR-1679: Unix_Software_Discovery: Разведка установленного ПО на Unix-узле oracle_database: PT-CR-284: Oracle_Listener_Version_Check: Выполнение команды VERSION в Oracle Listener mssql_database: PT-CR-424: MSSQL_Version_Detect: Попытка получить информацию о версии базы данных sap_attack_detection: PT-CR-154: SAPASABAP_Gathering_Info: Сбор информации о системе mitre_attck_discovery: PT-CR-331: Software_Discovery: Обнаружена попытка получить список приложений mitre_attck_discovery: PT-CR-2117: Windows_Mass_Recon: Большое количество действий, связанных с разведкой на узле postgresql_database: PT-CR-1829: PostgreSQL_Structure_Discovery: Выполнение некоторых SQL-команд может свидетельствовать о разведке внутренней структуры базы данных PostgreSQL, что может быть признаком активности злоумышленника
Подтехники
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API, с помощью которых можно попытаться получить список установленных в системе или облаке программ и их версий. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для получения списка установленных в системе или облаке программ и их версий. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут попытаться получить список установленных в системе или облаке программ и их версий. |
---|
ID | DS0018 | Источник и компонент данных | Межсетевой экран: Получение списков компонентов межсетевых экранов | Описание | Отслеживайте случаи извлечения списков доступных межсетевых экранов и (или) их параметров и правил (например, с помощью команды Show через интерфейс командной строки межсетевого экрана Azure). |
---|
ID | DS0018 | Источник и компонент данных | Межсетевой экран: Метаданные межсетевого экрана | Описание | Отслеживайте контекстные данные межсетевых экранов, такие как имя, политика и статус, а также связанные с ними действия. |
---|