ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1217

术语表: /attack/glossary

浏览器书签披露

攻击者可以会枚举浏览器书签以了解更多关于被攻击主机的信息。 浏览器书签可能会显示用户的个人信息(例如:银行站点、兴趣、社交媒体等),以及关于内部网络资源的详细信息,例如服务器、工具/仪表板 (dashboard) 或其他相关基础设施。 在攻击者获得有效凭据的访问权之后,浏览器书签还可以突出其他目标,特别是与浏览器登录缓存的相关联的文件中的凭据 (Credentials in Files)。 特定存储位置因平台和/或应用程序而异,但是浏览器书签通常存储在本地文件/数据库中。

缓解

文件系统活动是操作系统的常见部分,因此不太适合缓解此技术。 例如,减少对浏览器书签文件的访问可能会产生意想不到的副作用,比如阻止合法软件正常运行。 应该集中精力防止攻击者工具在活动链中更早地运行以及识别后续恶意行为。 在适当的情况下使用白名单工具(如 AppLocker、 或软件限制策略 ) 来识别和拦截不必要的系统实用程序或潜在的恶意软件仍然是有用的。

检测

监视进程和命令行参数,以查找可用于收集浏览器书签信息的操作。 具有内置功能的远程访问工具可以直接使用 API 交互来收集信息。 也可以通过系统管理工具获取信息,如 Windows 管理规范和 PowerShell。 由于攻击者了解环境,系统和网络披露技术通常发生在整个操作过程中。 不应孤立地看待数据和事件,而应将其视为可能导致基于所获得的信息的其他活动的行为链的一部分,例如收集信息(Collection)和数据渗漏(Exfiltration)。