跳转至

T1018-win-远程系统发现

来自ATT&CK的描述

攻击者可能会试图通过IP地址、主机名或网络上的其他逻辑标识符获取其他系统的列表,该列表可用于从当前系统进行横向移动。在远程访问工具中可以存在功能以实现这一点,但也可以使用操作系统上可用的实用工具。攻击者还可以使用本地主机文件来发现远程系统的主机名到IP地址的映射。

windows

获取此信息的工具和命令示例包括使用net的“ping”或“net view”。可以查看 C:\Windows\System32\Drivers\etc\hosts的内容,以了解系统上现有的主机名到IP映射。

MacOS

特定于Mac,在同一广播域内发现其他基于Mac的系统的bonjour协议。诸如“ping”等实用程序可用于收集有关远程系统的信息。可以查看/ETC/HOST文件的内容,以了解系统上现有的主机名到IP映射。

Linux

诸如“ping”等实用程序可用于收集有关远程系统的信息。可以查看/ETC/HOST文件的内容,以了解系统上现有的主机名到IP映射。

在云环境中,上述技术可用于根据主机操作系统发现远程系统。此外,云环境通常为api提供有关远程系统和服务的信息。

测试案例

windows下执行net view相关命令参数

net view获取当前组的计算机名(一般remark有Dc可能是域控),但一般情况下,无法单独使用net view;

检测日志

windows 安全日志

测试复现

C:\Users\administrator.0DAY>net view \\ICBC.0day.org
列表是空的。

测试留痕

windows 安全日志,事件创建4688、子父进程、进程命令行参数(windows server 2016以上)

检测规则/思路

sigma规则

title: windows执行net view命令
description: windows server 2016
references: 暂无
tags: T1018
status: experimental
author: 12306Bro
logsource:
    product: windows
    service: security
detection:
    selection:
        EventID: 4688 #进程创建
        Newprocessname: 'C:\windows\System32\net.exe' #进程信息>新进程名称
        Creatorprocessname: 'C:\windows\system32\cmd.exe' #进程信息>创建者进程名称
        Processcommandline: net  view *  #进程信息>进程命令行
    condition: selection
level: low

建议

高版本操作系统可以根据子父进程以及命令行参数进行检测,但是,多数情况下某些命令正常管理员也会去用,所以需要根据具体情况具体分析,排除误报。

系统和网络发现技术通常发生在攻击者了解环境的整个行动中。不应孤立地看待数据和事件,而应根据获得的信息,将其视为可能导致其他活动(如横向运动)的行为链的一部分。 与合法远程系统发现相关的正常、良性系统和网络事件可能不常见,具体取决于环境和使用方式。监视进程和命令行参数,以了解为收集系统和网络信息而可能采取的操作。具有内置功能的远程访问工具可以直接与Windows API交互以收集信息。还可以通过Windows系统管理工具(如Windows management Instrumentation和PowerShell)获取信息。

参考推荐

MITRE-ATT&CK-T1018

https://attack.mitre.org/techniques/T1018/