T1083-win-文件和目录发现

来自ATT&CK的描述

攻击者可以枚举文件和目录，也可以在主机或网络共享的特定位置搜索文件系统中的某些信息。攻击者可以在自动发现期间使用文件和目录发现中的信息来塑造后续行为，包括攻击者是否完全感染目标和/或尝试特定操作。

测试案例

windows 用于获取此信息的示例实用程序有dir和tree。还可以使用自定义工具收集文件和目录信息，并与Windows API交互。

Mac和Linux 在Mac和Linux中，这种发现是通过ls、find和locate命令完成的。

检测日志

windows安全日志

测试复现

这里主要演示windows主机下执行dir命令以及tree命令。

测试留痕

模拟测试：windows server 2016 下对dir命令不做记录

检测规则/思路

sigma规则

title: 在windows文件和目录发现
description: windows server 2016
tags: T1083
status: experimental
author: 12306Bro
logsource:
    product: windows
    service: security
detection:
    selection:
        EventID: 4688 #已创建新的进程。
        Newprocessname: 'C:\windows\system32\tree.com' #进程信息>进程名称
        Creatorprocessname: 'C:\windows\system32\cmd.exe' #进程信息>创建者进程名称
        Processcommandline: tree #进程信息>进程命令行
    condition: selection
level: medium

建议

暂无

参考推荐

MITRE-ATT&CK-T1083

https://attack.mitre.org/techniques/T1083/