ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1119

术语表: /attack/glossary

自动化收集

一旦在系统或网络中立足,攻击者就可以使用自动化技术收集内部数据。 执行此技术的方法包括以特定时间间隔使用脚本搜索并拷贝符合设置标准的信息,如文件类型、位置或名称。此功能也可以内置到远程访问工具中。 这种技术可以与其他技术结合使用,如文件和目录披露以及远程文件复制来识别和移动文件。

缓解

敏感信息的加密和系统外存储可能是缓解文件收集的一种方法,但如果入侵持续很长时间且攻击者能够通过其他方式发现和访问数据,则该方法可能无法阻止攻击者获取信息。 在系统安装上的键盘记录器可以通过输入捕获截获密码,并用来解密攻击者收集的受保护文档。 应该使用强密码来防止离线爆破加密文档。 识别可能用于收集文件的不必要的系统实用程序、第三方工具或潜在的恶意软件,并在适当的情况下通过使用白名单 工具(如 AppLocker 和软件限制策略 ) 审计和/或拦截它们。

检测

操作可以包括批处理文件或脚本中的命令行界面上的常见文件系统命令和参数,具体取决于使用的方法。 这样的一系列操作可能是异常的,具体取决于系统和网络环境。 自动化收集可能与其他技术一起出现,如数据暂存。 因此,如果文件访问监视查看到打开顺序文件的异常进程,并该进程可能同时将多个文件复制到文件系统上的另一个位置,则这可能表明自动化收集行为。 具有内置功能的远程访问工具可以直接与 Windows API 交互来收集数据。 也可以通过 Windows 系统管理工具获取数据,如 Windows 管理规范和 PowerShell。