跳转至

T1124-系统时间发现

来自ATT&CK的描述

Windows时间服务在域中设置和存储系统时间,以维护企业网络中系统和服务之间的时间同步。

攻击者可能会从本地或远程系统收集系统时间或时区。可以通过多种方式来收集此信息,例如,通过在Windows上的Net程序上通过执行net time相关命令来进行收集远程系统上的系统时间。也可以从当前系统时间推断受害人的时区,使用收集w32tm /tz。该信息可能对执行其他技术很有用,例如使用计划任务执行文件等。

测试案例

windows下利用net time相关命令查看本地主机当前时间。

- 查看域时间及域服务器的名字:net time /domain
- Nslookup -type=SRV _ldap._tcp.

检测日志

windows 安全日志

测试复现

C:\Windows\system32>net time \\ICBC
\\ICBC 的当前时间是 2019/11/10 20:09:50

命令成功完成。

Microsoft Windows [版本 10.0.14393]
(c) 2016 Microsoft Corporation。保留所有权利。

C:\Users\Administrator>w32tm /tz
时区: 当前:TIME_ZONE_ID_UNKNOWN 偏量: -480分 (UTC=本地时间+Bias)
  [标准名称:"中国标准时间" 偏量:0分 日期:(未指定)]
  [夏时制名称:"中国夏令时" 偏量:-60分 日期:(未指定)]

测试留痕

windows日志、4688、4689、命令行参数

检测规则/思路

sigma规则

title: windows 系统服务发现
description: windows server 2016
references:
tags: T1124
status: experimental
author: 12306Bro
logsource:
    product: windows
    service: security
detection:
    selection1:
        EventID: 4688 #已创建新的进程。
        Newprocessname: 'C:\Windows\System32\net.exe' #进程信息>新进程名称
        Creatorprocessname: 'C:\windows\system32\cmd.exe' #进程信息>创建者进程名称
        Processcommandline: net  time * #进程信息>进程命令行
    selection2:
        EventID: 4688 #已创建新的进程。
        Newprocessname: 'C:\Windows\System32\net1.exe' #进程信息>新进程名称
        Creatorprocessname: 'C:\Windows\System32\net.exe' #进程信息>创建者进程名称
        Processcommandline: C:\Windows\system32\net1  time * #进程信息>进程命令行
    selection3:
        EventID: 4689 #已退出进程
        ProcessName: 'C:\Windows\System32\net1.exe' #进程信息>进程名
    selection4:
        EventID: 4689 #已退出进程
        ProcessName: 'C:\Windows\System32\net.exe' #进程信息>进程名
    timeframe: last 1m #可根据实际情况调整
    condition: all of them
level: medium

title: windows 系统服务发现
description: windows server 2016
references:
tags: T1124
status: experimental
author: 12306Bro
logsource:
    product: windows
    service: security
detection:
    selection1:
        EventID: 4688 #已创建新的进程。
        Newprocessname: 'C:\Windows\System32\w32tm.exe' #进程信息>新进程名称
        Creatorprocessname: 'C:\windows\system32\cmd.exe' #进程信息>创建者进程名称
        Processcommandline: w32tm  /tz #进程信息>进程命令行
    selection2:
        EventID: 4689 #已退出进程
        ProcessName: 'C:\Windows\System32\w32tm.exe' #进程信息>进程名
    timeframe: last 5s #可根据实际情况调整
    condition: all of them
level: medium

建议

暂无

参考推荐

MITRE-ATT&CK-T1124

https://attack.mitre.org/techniques/T1124/