ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1083

术语表: /attack/glossary

文件和目录披露

攻击者可以枚举文件和目录,或在主机或网络共享的特定位置搜索文件系统内的某些信息。

Windows

用于获取此信息的示例实用程序是 dir 和 tree。 也可以用自定义工具来收集文件和目录信息,并与 Windows API 交互。

Mac 和 Linux

在 Mac 和 Linux 中,通过 ls、find 和 locate 命令获取信息。

缓解

文件系统活动是操作系统的常见部分,因此不太适合缓解此技术。 在适当的情况下使用白名单 工具(如 AppLocker、 或软件限制策略 ) 来识别和拦截不必要的系统实用程序或潜在的恶意软件仍然是有用的。

检测

由于攻击者了解环境,系统和网络披露技术通常发生在整个操作过程中。 不应孤立地看待数据和事件,而应将其视为可能导致基于所获得的信息的其他活动的行为链的一部分,例如收集信息(Collection)和数据渗漏(Exfiltration)。 监视可以收集系统和网络信息的进程和命令行参数的操作。 具有内置功能的远程访问工具可以直接与 Windows API 交互以收集信息。 也可以通过 Windows 系统管理工具获取信息,如 Windows 管理规范和 PowerShell。