ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1018

术语表: /attack/glossary

远程系统披露

攻击者可能会尝试通过网络上的 IP 地址,主机名或其他逻辑标识符来获取其他系统的列表,该信息可用于从当前系统进行横向移动。远程访问工具中会存在特定功能来实现这一点,当然也可以使用当前操作系统上可用的工具。

Windows

获取此信息的工具和命令示例包括 使用 Net 的 “ping”或“net view” 。

Mac

对于 Mac,bonjour 协议用于在同一广播域内发现其他基于 Mac 的系统。诸如“ping”等工具用来收集有关远程系统的信息。

Linux

诸如“ping”等工具可用于收集有关远程系统的信息。

缓解

识别可能用于获取远程可用系统信息的不必要的系统实用程序或潜在的恶,并在适当的情况下使用白名单工具(如 AppLocker、 或软件限制策略) 审计和/或拦截它们。

检测

由于攻击者了解环境,系统和网络披露技术通常发生在整个操作过程中。不应孤立地看待数据和事件,而应将其视为可能导致其他基于所获得的信息的活动的行为链的一部分,例如横向移动。与合法远程系统披露相关的正常,良性系统和网络事件可能并不常见,具体取决于环境及其使用方式。 监视可以收集系统和网络信息的进程和命令行参数的操作。 具有内置功能的远程访问工具可以直接与 Windows API 交互以收集信息。 也可以通过 Windows 系统管理工具获取信息,如 Windows 管理规范和 PowerShell。