ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1049

术语表: /attack/glossary

系统网络连接披露

攻击者可能试图通过查询网络上的信息,从而获得当前正在访问的受攻击系统或远程系统的网络连接列表。

Windows

获取这些信息的实用程序和命令包括 netstat、"net use"和"net session"。

Mac 和 Linux

在 Mac 和 Linux 中,netstatlsof 可列出当前连接。who -aw 可显示当前登录的用户,与"net session"类似。

缓解

识别可能用于获取网络连接信息的不必要的系统实用程序或潜在的恶意软件,并在适当的情况下使用白名单工具(如 AppLocker、 或软件限制策略 ) 审计和/或拦截它们。

检测

由于攻击者了解环境,系统和网络披露技术通常可以发生在整个操作过程中。不应孤立地查看数据和事件,而应将其视为可能导致其他活动的行为链的一部分,例如基于所获得的信息的横向移动。 监视可以收集系统和网络信息的进程和命令行参数的操作。 具有内置功能的远程访问工具可以直接与 Windows API 交互以收集信息。 也可以通过 Windows 系统管理工具获取信息,如 Windows 管理规范和 PowerShell。