T1016-win-系统网络配置发现
来自ATT&CK的描述
攻击者可能会寻找有关其访问的系统或通过远程系统的信息发现的网络配置和设置的详细信息。存在几个可用于收集此信息的操作系统管理实用程序。示例包括Arp,ipconfig /ifconfig,nbtstat和route。
测试案例
windows下执行Arp,ipconfig,nbtstat和route命令
检测日志
windows 安全日志
测试复现
暂无
测试留痕
暂无
检测规则/思路
sigma规则
title: windows 系统网络配置发现
description: windows server 2016
references:
- https://github.com/redcanaryco/atomic-red-team/blob/910a2a764a66b0905065d8bdedb04b37049a85db/atomics/T1016/T1016.md
tags: T1016
status: experimental
author: 12306Bro
logsource:
product: windows
service: security/sysmon
detection:
selection:
EventID: 4688 #已创建新的进程。
CommandLine:
- ipconfig /all
- netsh interface show interface
- arp -a
- nbtstat -n
- net config
- netsh advfirewall firewall show rule name=all
level: medium
建议
如果你部署了sysmon,你也可以通过sysmon日志进行监控,当然,其他具备记录命令行参数的功能的EDR也可以。
参考推荐
MITRE-ATT&CK-T1016