跳转至

T1049-系统网络连接发现

来自ATT&CK的描述

攻击者可能会通过查询网络上的信息来尝试获取与他们当前正在访问的受感染系统之间或从远程系统获得的网络连接的列表。

获得对基于云环境一部分的系统的访问权的攻击者可能会规划出虚拟私有云或虚拟网络,以便确定连接了哪些系统和服务。取决于操作系统,所执行的操作可能是相同类型的发现技术,但是所得信息可能包括有关与攻击者目标相关的联网云环境的详细信息。云提供商可能具有不同的虚拟网络操作方式。

测试案例

windows

获取此信息的实用程序和命令包括netstat,“net use”和与“net session”。

Mac和linux

在Mac和Linux,netstat并且lsof可以用来列表当前连接。who -a并且w可以用来显示当前登录的用户,类似于“网络会话”。

检测日志

windows 安全日志

linux日志

测试复现

C:\Users\Administrator>netstat

活动连接

  协议  本地地址          外部地址        状态
C:\Users\Administrator>net use
会记录新的网络连接。

列表是空的。
C:\Users\Administrator>net session
列表是空的。

测试留痕

windows 安全日志

linux日志

检测规则/思路

sigma规则

title: windows 系统网络链接发现
description: windows server 2016
references:
      - https://github.com/redcanaryco/atomic-red-team/blob/910a2a764a66b0905065d8bdedb04b37049a85db/atomics/T1049/T1049.md
tags: T1049
status: experimental
author: 12306Bro
logsource:
    product: windows
    service: security/sysmon
detection:
    selection1:
        EventID: 4688 #已创建新的进程。
        Commandline: 
                - netstat
                - net use
                - net sessions
    selection2: 
        keywords:   
                - Get-NetTCPConnection #powershell
    condition: all of them
level: medium
title: linux网络信息发现
description: ubuntu 18.0.4
references:
      - https://github.com/redcanaryco/atomic-red-team/blob/910a2a764a66b0905065d8bdedb04b37049a85db/atomics/T1049/T1049.md
tags: T1049
status: experimental
author: 12306Bro
logsource:
    product: windows
    service: security
detection:
    selection1:
       keywords:
               - netstat
               - who -a
    condition: all of them
level: medium

建议

暂无

参考推荐

MITRE-ATT&CK-T1049

https://attack.mitre.org/techniques/T1222/