T1518-win-软件发现
来自ATT&CK的描述
攻击者可能试图获取系统上安装的非安全相关软件的列表。攻击者可以在自动发现过程中使用来自软件发现的信息来制定后续行为计划,包括攻击者是否完全感染目标或尝试特定操作。
测试案例
暂无,根据MITRE ATT&CK矩阵图介绍,使用此技战术的组织较少,故不作详细测试,可参考T1057-win-进程发现。
检测日志
Windows安全日志、sysmon日志
测试复现
暂无,可参考T1057-win-进程发现
测试留痕
暂无,可参考T1057-win-进程发现
检测规则/思路
sigma规则
暂无,可参考T1057-win-进程发现
建议
系统和网络发现技术通常发生在攻击者了解环境的整个行动中。不应孤立地看待数据和事件,而应根据获得的信息,将其视为可能导致其他活动(如横向运动)的行为链的一部分。 监视进程和命令行参数,以了解为收集系统和网络信息而可能采取的操作。具有内置功能的远程访问工具可以直接与Windows API交互以收集信息。还可以通过Windows系统管理工具(如Windows management Instrumentation和PowerShell)获取信息。
参考推荐
MITRE-ATT&CK-T1518
https://attack.mitre.org/techniques/T1518/
MITRE-ATT&CK-T1057