T1614: Изучение местоположения системы
Злоумышленники могут собирать информацию с целью определить географическое расположение целевого узла. Злоумышленники могут использовать информацию, полученную при изучении местоположения системы в ходе автоматического обнаружения, для определения дальнейшего поведения — например, следует ли осуществить полное заражение цели и (или) предпринять какие-то конкретные действия.
Злоумышленники могут пытаться определить местоположение системы по таким ее параметрам, как часовой пояс, раскладка клавиатуры и (или) язык. Некоторые функции Windows API, такие как GetLocaleInfoW
, также позволяют определить региональные настройки узла. В облачных средах можно определить зону доступности экземпляра, обратившись к службе метаданных из самого экземпляра.
Также злоумышленники могут попробовать определить местоположение целевого узла по IP-адресу, например, используя онлайн-сервисы геолокации IP-адресов.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
Подтехники
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для вычисления географического положения целевого узла. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Средства удаленного доступа со встроенными функциями могут напрямую взаимодействовать с API Windows, например вызывать функцию |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов, которые могут собирать информацию для вычисления географического положения целевого узла. |
---|