T1057-win-进程发现
来自ATT&CK的描述
攻击者可能试图获取有关在系统上运行进程的信息。获得的信息可用于了解网络内系统上运行的通用软件。攻击者可以在自动发现过程中使用来自过程发现的信息来塑造后续行为,包括攻击者是否完全感染目标和/或尝试特定操作。
windows 使用tasklist实用程序获得进程详细信息的示例命令是“tasklist”。
Mac和Linux 在Mac和Linux中,这是通过ps命令完成的。
类似于T1603-win-安全软件发现,具体测试案例及详细信息可参考T1063。
测试案例
windows本地执行Tasklist
检测日志
windows 安全日志
linux日志
测试复现
暂无
测试留痕
windows安全日志、子父进程、进程命令行参数(windows server 2016)
检测规则/思路
sigma-win规则
title: windows本地执行Tasklist
description: windows server 2016
references:
- https://github.com/redcanaryco/atomic-red-team/blob/910a2a764a66b0905065d8bdedb04b37049a85db/atomics/T1057/T1057.md
tags: T1057
status: experimental
author: 12306Bro
logsource:
product: windows
service: security
detection:
selection:
EventID: 4688 #进程创建
Newprocessname: 'C:\windows\system32\tasklist.exe' #进程信息>新进程名称
Creatorprocessname: 'C:\windows\system32\cmd.exe' #进程信息>创建者进程名称
Processcommandline: tasklist #进程信息>进程命令行
condition: selection
level: low
sigma-linux规则
title: linux本地进程发现
description: linux ps命令实现本地进程发现
references:
- https://github.com/redcanaryco/atomic-red-team/blob/910a2a764a66b0905065d8bdedb04b37049a85db/atomics/T1057/T1057.md
tags: T1057
status: experimental
author: 12306Bro
logsource:
product: linux
detection:
selection:
keywords:
- ps
- ps aux
condition: selection
level: low
建议
高版本操作系统可以根据子父进程以及命令行参数进行检测,但是,多数情况下某些命令正常管理员也会去用,所以需要根据具体情况具体分析,排除误报。
系统和网络发现技术通常发生在攻击者了解环境的整个行动中。不应孤立地看待数据和事件,而应根据获得的信息,将其视为可能导致其他活动(如横向运动)的行为链的一部分。 看起来像进程发现的正常、良性的系统和网络事件可能并不常见,这取决于环境和它们的使用方式。监视进程和命令行参数,以了解为收集系统和网络信息而可能采取的操作。具有内置功能的远程访问工具可以直接与Windows API交互以收集信息。还可以通过Windows系统管理工具(如Windows management Instrumentation和PowerShell)获取信息。
参考推荐
MITRE-ATT&CK-T1057
https://attack.mitre.org/techniques/T1057/
MITRE-ATT&CK-T1063