Техника на mitre.org

T1614.001: Изучение системного языка

Злоумышленники могут попытаться собрать информацию о языке системы жертвы, чтобы определить ее географическое расположение. Эта информация может повлиять на дальнейшие действия злоумышленника, включая решение о заражении цели и (или) выполнении других действий. Разработчики и операторы вредоносного ПО могут использовать эту информацию, чтобы снизить риск привлечения внимания правоохранительных органов или других организаций либо избежать судебного преследования в соответствующих юрисдикциях.

Существуют разные источники данных, на основе которых можно определить язык системы, такие как системные настройки по умолчанию и раскладки клавиатуры. Разные злоумышленники могут выполнять разные проверки в зависимости от цели и других факторов, в частности использовать запросы к реестру и вызовы функций нативного API.

Например, в Windows злоумышленники могут попробовать определить язык системы, проверив ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\Language или проанализировав данные, возвращаемые функциями API Windows GetUserDefaultUILanguage, GetSystemDefaultUILanguage, GetKeyboardLayoutList и GetUserDefaultLangID.

В macOS или Linux злоумышленники могут выполнить команду locale, чтобы получить значение переменной окружения $LANG.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

postgresql_database: PT-CR-1829: PostgreSQL_Structure_Discovery: Выполнение некоторых SQL-команд может свидетельствовать о разведке внутренней структуры базы данных PostgreSQL, что может быть признаком активности злоумышленника

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора информации о языке системы целевого узла, чтобы определить его географическое положение.

ID	DS0024	Источник и компонент данных	Реестр Windows: Доступ к ключу реестра Windows	Описание	Отслеживайте попытки доступа к ключам реестра Windows, с помощью которых злоумышленники могут пытаться собирать информацию о языке системы целевого узла, чтобы определить его географическое положение.

ID	DS0009	Источник и компонент данных	Процесс: Вызовы API ОС	Описание	Отслеживайте вызовы API, которые могут пытаться собирать информацию о языке системы целевого узла, чтобы определить его географическое положение.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов, которые могут пытаться собирать информацию о языке системы целевого узла, чтобы определить его географическое положение.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте выполнение команд с аргументами, которые могут использоваться для сбора информации о языке системы целевого узла, чтобы определить его географическое положение.
DS0024	Реестр Windows: Доступ к ключу реестра Windows	Отслеживайте попытки доступа к ключам реестра Windows, с помощью которых злоумышленники могут пытаться собирать информацию о языке системы целевого узла, чтобы определить его географическое положение.
DS0009	Процесс: Вызовы API ОС	Отслеживайте вызовы API, которые могут пытаться собирать информацию о языке системы целевого узла, чтобы определить его географическое положение.
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов, которые могут пытаться собирать информацию о языке системы целевого узла, чтобы определить его географическое положение.