跳转至

T1082-win-系统信息发现

来自ATT&CK的描述

攻击者可能试图获取有关操作系统和硬件的详细信息,包括版本,补丁,修补程序,服务包和目录结构。攻击者可以在发现过程中使用系统信息中发现的信息来决定后续的操作,包括攻击者是否完全感染了目标或尝试了特定操作。

测试案例

windows

获得此信息例如命令和实用程序包括VER,SYSTEMINFO,dir用于获取基于本文件和目录的信息。

检测日志

windows 安全日志

测试复现

windows下测试systeminfo命令

Microsoft Windows [版本 6.3.9600]
(c) 2013 Microsoft Corporation。保留所有权利。

C:\Users\Administrator>systeminfo
主机名:           ABCC
OS 名称:          Microsoft Windows 10 专业版
OS 版本:          10.0.18362 暂缺 Build 18362
OS 制造商:        Microsoft Corporation
OS 配置:          独立工作站
OS 构件类型:      Multiprocessor Free
注册的所有人:     Windows User
注册的组织:

测试留痕

windows 安全日志/4688/进程名称/进程命令行 值得注意的是:测试环境为windows server 2012需要开启审核策略才能够对进程命令行进行审计。

检测规则/思路

sigma规则

title: 在windows系统信息发现
description: windows server 2012 测试结果
references: https://github.com/0xpwntester/CB-Threat-Hunting/blob/master/ATT%26CK/T1082-%20systeminfo%20executions.md
tags: T1082
status: experimental
author: 12306Bro
logsource:
    product: windows
    service: security
detection:
    selection:
        EventID: 4688 #已创建新的进程。
        Newprocessname: 'C:\Windows\System32\systeminfo.exe' #新进程名称
        Tokenpromotiontype: 'TokenElevationTypeDefault (1)'  #令牌提升类型
        Processcommandline: 'systeminfo'  #进程命令行
    condition: selection
level: medium

建议

暂无

参考推荐

MITRE-ATT&CK-T1082

https://attack.mitre.org/techniques/T1082/