T1018-win-远程系统发现
来自ATT&CK的描述
攻击者可能会试图通过IP地址、主机名或网络上的其他逻辑标识符获取其他系统的列表,该列表可用于从当前系统进行横向移动。在远程访问工具中可以存在功能以实现这一点,但也可以使用操作系统上可用的实用工具。攻击者还可以使用本地主机文件来发现远程系统的主机名到IP地址的映射。
windows
获取此信息的工具和命令示例包括使用net的“ping”或“net view”。可以查看 C:\Windows\System32\Drivers\etc\hosts的内容,以了解系统上现有的主机名到IP映射。
MacOS
特定于Mac,在同一广播域内发现其他基于Mac的系统的bonjour协议。诸如“ping”等实用程序可用于收集有关远程系统的信息。可以查看/ETC/HOST文件的内容,以了解系统上现有的主机名到IP映射。
Linux
诸如“ping”等实用程序可用于收集有关远程系统的信息。可以查看/ETC/HOST文件的内容,以了解系统上现有的主机名到IP映射。
云
在云环境中,上述技术可用于根据主机操作系统发现远程系统。此外,云环境通常为api提供有关远程系统和服务的信息。
测试案例
查看共享资料
net view获取当前组的计算机名(一般remark有Dc可能是域控),但一般情况下,无法单独使用net view;
查看arp表
arp -a
查看host文件
linux:
cat /etc/hosts
windows:
type c:\Windows\system32\drivers\etc\hosts
查看DNS缓存
ipconfig /displaydns
当然,利用一些工具也可以,比如nmap、nbtscan
检测日志
windows 安全日志
测试复现
C:\Users\administrator.0DAY>net view \\ICBC.0day.org
列表是空的。
测试留痕
windows 安全日志,事件创建4688、子父进程、进程命令行参数(windows server 2016以上)
检测规则/思路
sigma规则
title: windows执行net view命令
description: windows server 2016
references: 暂无
tags: T1018
status: experimental
author: 12306Bro
logsource:
product: windows
service: security
detection:
selection:
EventID: 4688 #进程创建
Newprocessname: 'C:\windows\System32\net.exe' #进程信息>新进程名称
Creatorprocessname: 'C:\windows\system32\cmd.exe' #进程信息>创建者进程名称
Processcommandline: net view * #进程信息>进程命令行
condition: selection
level: low
建议
高版本操作系统可以根据子父进程以及命令行参数进行检测,但是,多数情况下某些命令正常管理员也会去用,所以需要根据具体情况具体分析,排除误报。
系统和网络发现技术通常发生在攻击者了解环境的整个行动中。不应孤立地看待数据和事件,而应根据获得的信息,将其视为可能导致其他活动(如横向运动)的行为链的一部分。 与合法远程系统发现相关的正常、良性系统和网络事件可能不常见,具体取决于环境和使用方式。监视进程和命令行参数,以了解为收集系统和网络信息而可能采取的操作。具有内置功能的远程访问工具可以直接与Windows API交互以收集信息。还可以通过Windows系统管理工具(如Windows management Instrumentation和PowerShell)获取信息。
参考推荐
MITRE-ATT&CK-T1018
https://attack.mitre.org/techniques/T1018/
红蓝对抗之Windows内网渗透