ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1039

术语表: /attack/glossary

网络共享驱动器中的数据

可以通过共享网络驱动器(主机共享目录,网络文件服务器等)从远程系统收集敏感数据,在窃取数据(Exfiltration)之前可以从当前操作系统访问这些驱动器。

攻击者可以在他们已经入侵的计算机上搜索网络共享文件以查找感兴趣的文件。可以使用交互式命令终端和 cmd 的常见功能来收集信息。

缓解

识别可能用于从网络共享收集数据的不必要的系统实用程序或潜在的恶意软件,并在适当情况下使用白名单 工具(如 AppLocker, 或软件限制策略 审核和/或拦截它们)。

检测

监视可用于从网络共享收集文件的操作的进程和命令行参数。 具有内置功能的远程访问工具可以直接与 Windows API 交互以收集数据。 也可以通过 Windows 系统管理工具获取数据,如 Windows 管理规范和 PowerShell。