译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1016
术语表: /attack/glossary
攻击者可能会查找有关其访问的系统的网络配置和设置的详细信息,或远程系统的完整信息披露。多个操作系统管理工具可以用来收集此类信息。包括 Arp,ipconfig / ifconfig,nbtstat 和 route。
识别可能用于获取系统网络配置信息的不必要的系统实用程序或潜在的恶意软件,并使用白名单 工具(如 AppLocker, 或合适的软件限制策略)审核和/或拦截它们
由于攻击者了解环境,系统和网络披露技术通常发生在整个操作过程中。不应孤立地看待数据和事件,而应将其视为可能导致其他基于所获得的信息的活动的行为链的一部分,例如横向移动。监视可以收集系统和网络信息的进程和命令行参数的操作。具有内置功能的远程访问工具可以直接与 Windows API 交互以收集信息。也可以通过 Windows 系统管理工具获取信息,如 Windows 管理规范 和 PowerShell 。