ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1069

术语表: /attack/glossary

权限组披露

攻击者可能会尝试查找本地系统或域级别组和权限设置。

Windows

可以列出组的命令示例包括使用 Net 实用程序的 net group /domainnet localgroup

Mac

在 Mac 上,dscacheutil -q group 用于域, dscl . -list /Groups 用于本地组 。

Linux

在 Linux 上,可以使用 groups 命令枚举本地组,通过 ldapsearch 命令枚举域组。

缓解

识别可能用于获取组和权限信息的不必要的系统实用程序或潜在的恶意软件,并在适当的情况下使用白名单 工具(如 AppLocker、 或软件限制策略 ) 审计和/或拦截它们。

检测

由于攻击者了解环境,系统和网络披露技术通常发生在整个操作过程中。 不应孤立地看待数据和事件,而应将其视为可能导致基于所获得的信息的其他活动的行为链的一部分,例如横向移动。 监视可以收集系统和网络信息的进程和命令行参数的操作。 具有内置功能的远程访问工具可以直接与 Windows API 交互以收集信息。 也可以通过 Windows 系统管理工具获取信息,如 Windows 管理规范和 PowerShell。