ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1082

术语表: /attack/glossary

系统信息披露

攻击者可能会尝试获取有关操作系统和硬件的详细信息,包括版本,补丁,热修复(hotfixes),服务包和体系结构。

Windows

获取此信息的示例命令和实用程序包括 cmd 中的 ver、Systeminfo 和 dir,用于基于当前文件和目录识别信息。

Mac

在 Mac 上,systemsetup 命令给出了系统的详细分类,但它需要管理员权限。此外,system_profiler 提供了非常详细的配置、防火墙规则、挂载卷、硬件和许多其他内容的详细分类,不需要提升权限。

缓解

识别可能用于获取操作系统和底层硬件信息的不必要的系统实用程序或潜在的恶意软件,并在适当的情况下使用白名单工具(如 AppLocker、 或软件限制策略 ) 审计和/或拦截它们。

检测

由于攻击者了解环境,系统和网络披露技术通常发生在整个操作过程中。 不应孤立地看待数据和事件,而应将其视为可能导致其他基于所获得的信息的活动的行为链的一部分。 监视可以收集系统和网络信息的进程和命令行参数的操作。 具有内置功能的远程访问工具可以直接与 Windows API 交互以收集信息。 也可以通过 Windows 系统管理工具获取信息,如 Windows 管理规范和 PowerShell。