跳转至

T1016-win-系统网络配置发现

来自ATT&CK的描述

攻击者可能会寻找有关其访问的系统或通过远程系统的信息发现的网络配置和设置的详细信息。存在几个可用于收集此信息的操作系统管理实用程序。示例包括Arp,ipconfig /ifconfig,nbtstat和route。

测试案例

windows下执行Arp,ipconfig,nbtstat和route命令

检测日志

windows 安全日志

测试复现

暂无

测试留痕

暂无

检测规则/思路

sigma规则

title: windows 系统网络配置发现
description: windows server 2016
references:
        - https://github.com/redcanaryco/atomic-red-team/blob/910a2a764a66b0905065d8bdedb04b37049a85db/atomics/T1016/T1016.md
tags: T1016
status: experimental
author: 12306Bro
logsource:
    product: windows
    service: security/sysmon
detection:
    selection:
        EventID: 4688 #已创建新的进程。
        CommandLine:
               - ipconfig /all
               - netsh interface show interface
               - arp -a
               - nbtstat -n
               - net config
               - netsh advfirewall firewall show rule name=all
level: medium

建议

如果你部署了sysmon,你也可以通过sysmon日志进行监控,当然,其他具备记录命令行参数的功能的EDR也可以。

参考推荐

MITRE-ATT&CK-T1016

https://attack.mitre.org/techniques/T1016/