T1049-系统网络连接发现
来自ATT&CK的描述
攻击者可能会通过查询网络上的信息来尝试获取与他们当前正在访问的受感染系统之间或从远程系统获得的网络连接的列表。
获得对基于云环境一部分的系统的访问权的攻击者可能会规划出虚拟私有云或虚拟网络,以便确定连接了哪些系统和服务。取决于操作系统,所执行的操作可能是相同类型的发现技术,但是所得信息可能包括有关与攻击者目标相关的联网云环境的详细信息。云提供商可能具有不同的虚拟网络操作方式。
测试案例
windows
获取此信息的实用程序和命令包括netstat,“net use”和与“net session”。
Mac和linux
在Mac和Linux,netstat并且lsof可以用来列表当前连接。who -a并且w可以用来显示当前登录的用户,类似于“网络会话”。
检测日志
windows 安全日志
linux日志
测试复现
C:\Users\Administrator>netstat
活动连接
协议 本地地址 外部地址 状态
C:\Users\Administrator>net use
会记录新的网络连接。
列表是空的。
C:\Users\Administrator>net session
列表是空的。
测试留痕
windows 安全日志
linux日志
检测规则/思路
sigma规则
title: windows 系统网络链接发现
description: windows server 2016
references:
- https://github.com/redcanaryco/atomic-red-team/blob/910a2a764a66b0905065d8bdedb04b37049a85db/atomics/T1049/T1049.md
tags: T1049
status: experimental
author: 12306Bro
logsource:
product: windows
service: security/sysmon
detection:
selection1:
EventID: 4688 #已创建新的进程。
Commandline:
- netstat
- net use
- net sessions
selection2:
keywords:
- Get-NetTCPConnection #powershell
condition: all of them
level: medium
title: linux网络信息发现
description: ubuntu 18.0.4
references:
- https://github.com/redcanaryco/atomic-red-team/blob/910a2a764a66b0905065d8bdedb04b37049a85db/atomics/T1049/T1049.md
tags: T1049
status: experimental
author: 12306Bro
logsource:
product: windows
service: security
detection:
selection1:
keywords:
- netstat
- who -a
condition: all of them
level: medium
建议
暂无
参考推荐
MITRE-ATT&CK-T1049