译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1120
术语表: /attack/glossary
攻击者可能试图收集有关连接到计算机系统的附加外围设备和组件的信息。 这些信息可以提高他们对系统和网络环境的认识,也有助于攻击者进一步的行动。
识别可能用于获取外围设备信息的不必要的系统实用程序或潜在的恶意软件,并在适当的情况下使用白名单工具(如 AppLocker、或软件限制策略) 审计和/或拦截它们。
由于攻击者了解环境,系统和网络披露技术通常发生在整个操作过程中。 不应孤立地看待数据和事件,而应将其视为可能导致基于所获得的信息的其他活动的行为链的一部分。 监视用于收集系统和网络信息的操作的进程和命令行参数。 具有内置功能的远程访问工具可以直接与 Windows API 交互以收集信息。 也可以通过 Windows 系统管理工具获取信息,如 Windows 管理规范和 PowerShell。