系统服务披露

攻击者可能会尝试获取有关已注册服务的信息。使用操作系统实用程序获取有关服务的信息的命令有：使用 Tasklist 的 “sc”和“tasklist / svc” ，使用 Net 的 “net start” ，攻击者也可以使用其他工具。

缓解

识别不必要的系统实用程序或可用于获取关于服务的信息的潜在恶意软件，并在适当的情况下使用白名单工具（如 AppLocker，或软件限制策略 ）审核和/或拦截他们。

检测

由于攻击者了解环境，系统和网络披露技术通常可以发生在整个操作过程中。不应孤立地查看数据和事件，而应将其视为可能导致其他活动的行为链的一部分，例如基于所获得的信息的横向移动。

监视可用于收集与服务相关的系统信息的操作的进程和命令行参数。具有内置功能的远程访问工具可以直接与 Windows API 交互以收集信息。还可以通过 Windows 系统管理工具（如 Windows 管理规范 和 PowerShell）获取信息。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn