系统网络配置披露
攻击者可能会查找有关其访问的系统的网络配置和设置的详细信息,或远程系统的完整信息披露。多个操作系统管理工具可以用来收集此类信息。包括 Arp,ipconfig / ifconfig,nbtstat 和 route。
缓解
识别可能用于获取系统网络配置信息的不必要的系统实用程序或潜在的恶意软件,并使用白名单 工具(如 AppLocker, 或合适的软件限制策略)审核和/或拦截它们
检测
由于攻击者了解环境,系统和网络披露技术通常发生在整个操作过程中。不应孤立地看待数据和事件,而应将其视为可能导致其他基于所获得的信息的活动的行为链的一部分,例如横向移动。监视可以收集系统和网络信息的进程和命令行参数的操作。具有内置功能的远程访问工具可以直接与 Windows API 交互以收集信息。也可以通过 Windows 系统管理工具获取信息,如 Windows 管理规范 和 PowerShell 。
- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论