ATT&CK - 文件和目录披露

admin 2024年4月15日03:47:27评论6 views字数 513阅读1分42秒阅读模式

文件和目录披露

攻击者可以枚举文件和目录,或在主机或网络共享的特定位置搜索文件系统内的某些信息。

Windows

用于获取此信息的示例实用程序是 dir 和 tree。 也可以用自定义工具来收集文件和目录信息,并与 Windows
API 交互。

Mac 和 Linux

在 Mac 和 Linux 中,通过 ls、find 和 locate 命令获取信息

缓解

文件系统活动是操作系统的常见部分,因此不太适合缓解此技术。
在适当的情况下使用白名单 工具(如 AppLocker、 或软件限制策略 ) 来识别和拦截不必要的系统实用程序或潜在的恶意软件仍然是有用的。

检测

由于攻击者了解环境,系统和网络披露技术通常发生在整个操作过程中。
不应孤立地看待数据和事件,而应将其视为可能导致基于所获得的信息的其他活动的行为链的一部分,例如收集信息(Collection)和数据渗漏(Exfiltration)。
监视可以收集系统和网络信息的进程和命令行参数的操作。
具有内置功能的远程访问工具可以直接与 Windows API 交互以收集信息。
也可以通过 Windows 系统管理工具获取信息,如 Windows 管理规范和 PowerShell。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月15日03:47:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ATT&CK - 文件和目录披露https://cn-sec.com/archives/2658163.html

发表评论

匿名网友 填写信息