ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1135

术语表: /attack/glossary

网络共享披露

网络中通常包含共享的网络驱动器和文件夹,允许用户跨网络访问不同系统上的文件目录。

Windows

在 Windows 网络上,系统通过 SMB 协议进行文件共享。

Net 可用来查询远程系统的可用共享驱动器,具体命令为 net view \remotesystem。 还可以使用 net share查询本地系统上的共享驱动器。 攻击者可以查找远程系统上共享的文件夹和驱动器,作为在收集 (Collection) 之前识别要收集的信息源的一种方式,同时识别可用于横向移动的潜在相关系统。

Mac

在 Mac 上,可以使用 df -aH命令查看本地挂载的共享。

缓解

识别不必要的系统实用程序或可被用于获取网络共享信息的潜在恶意软件,在适当的情况下使用白名单工具审计和/或拦截它们, 如 AppLocker 的, 或软件限制策略

检测

由于攻击者了解环境时,系统和网络披露技术通常在整个操作中发生。不应孤立地查看数据和事件,而应将其视为可能导致其他基于所获得的信息的活动的行为链的一部分,例如横向移动。

与合法远程系统披露相关的正常,良性的系统和网络事件可能并不常见,具体取决于环境及其使用方式。监视可用于收集系统和网络信息的操作的进程和命令行参数。具有内置功能的远程访问工具可以直接与 Windows API 交互以收集信息。还可以通过 Windows 系统管理工具(如 Windows 管理规范和 PowerShell)获取信息。