T1614: Изучение местоположения системы

Злоумышленники могут собирать информацию с целью определить географическое расположение целевого узла. Злоумышленники могут использовать информацию, полученную при изучении местоположения системы в ходе автоматического обнаружения, для определения дальнейшего поведения — например, следует ли осуществить полное заражение цели и (или) предпринять какие-то конкретные действия.

Злоумышленники могут пытаться определить местоположение системы по таким ее параметрам, как часовой пояс, раскладка клавиатуры и (или) язык. Некоторые функции Windows API, такие как GetLocaleInfoW, также позволяют определить региональные настройки узла. В облачных средах можно определить зону доступности экземпляра, обратившись к службе метаданных из самого экземпляра.

Также злоумышленники могут попробовать определить местоположение целевого узла по IP-адресу, например, используя онлайн-сервисы геолокации IP-адресов.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Подтехники

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для вычисления географического положения целевого узла.

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Средства удаленного доступа со встроенными функциями могут напрямую взаимодействовать с API Windows, например вызывать функцию GetLocaleInfoW, для сбора информации.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов, которые могут собирать информацию для вычисления географического положения целевого узла.