ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1005

术语表: /attack/glossary

本地系统的数据

可以从本地系统源收集敏感数据,例如文件系统或在数据渗漏 (Exfiltration) 之前在系统上的信息数据库。 攻击者通常会在他们已经入侵的计算机上搜索文件系统,以查找感兴趣的文件。他们可以使用命令行界面(例如 cmd](https://attack.mitre.org/software/S0106))执行此操作,该界面与文件系统交互以收集信息。一些攻击者还可能在本地系统上使用自动化收集 (Automated Collection)。

缓解

识别可能用于从本地系统收集数据的不必要的系统实用程序或潜在的恶意软件,并在适当的情况下[51]使用白名单 [47] 工具审核和/或拦截它们,如 AppLocker, [48] [49] 或软件限制策略 [50]

检测

监视可用于从系统收集文件的操作的进程和命令行参数。具有内置功能的远程访问工具可以直接与 Windows API 交互以收集数据。也可以通过 Windows 系统管理工具(如 Windows 管理规范PowerShell )获取数据。