ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1025

术语表: /attack/glossary

可移动媒体的数据

在进行数据渗漏之前,攻击者可以从与被入侵系统连接的任何可移动媒体(光盘驱动器,USB 存储器等)处收集敏感数据。 攻击者可以在他们已经入侵的计算机上搜索连接的可移动媒体,以查找感兴趣的文件。可以使用交互式命令终端和 cmd 的常见功能来收集信息。一些攻击者还可以在可移动媒体上进行自动收集信息。

缓解

识别可能用于从可移动介质收集数据的不必要的系统实用程序或潜在的恶意软件,并在适当的情况下使用白名单工具(如 AppLocker、或软件限制策略 ) 审计和/或拦截它们。

检测

监视可用于从系统连接的可移动媒体收集文件的操作的进程和命令行参数。 具有内置功能的远程访问工具可以直接与 Windows API 交互以收集数据。 也可以通过 Windows 系统管理工具获取数据,如 Windows 管理规范和 PowerShell。