T1119-win-自动收集
来自ATT&CK的描述
一旦在系统或网络中建立立足点,攻击者就可以使用自动化技术来收集内部数。执行此技术的方法可以包括使用命令和脚本解释器来搜索和复制适合标准的信息(指符合攻击者收集的数据),例如在特定时间间隔的文件类型,位置或名称。此功能也可以内置到远程访问工具中。
该技术可以结合使用其他技术,例如文件和目录发现以及横向工具传输,以识别和移动文件。
测试案例
暂无,可参考相关自动化收集powershell脚本
检测日志
Windows安全日志、sysmon日志
测试复现
暂无,可参考相关自动化收集powershell脚本
测试留痕
暂无
检测规则/思路
splunk规则
根据所使用的方法,操作可能包括批处理文件或脚本中命令行界面上的公用文件系统命令和参数。取决于系统和网络环境,类似的一系列操作可能会很不正常。自动收集可能会与其他技术(例如数据暂存)一起发生。这样,文件访问监视显示了执行顺序文件打开的异常过程,并且有可能一次将动作复制到多个文件的文件系统上的另一个位置,这可能表示自动收集行为。具有内置功能的远程访问工具可以直接与Windows API交互以收集数据。也可以通过Windows系统管理工具(例如Windows Management Instrumentation和PowerShell)来获取数据。
“index=windows source=””WinEventLog:Microsoft-Windows-Sysmon/Operational”” (EventCode=1 Image=””*\\findstr.exe”” CommandLine=””*/e*””) //findstr used to search for a specefic file extension index=windows SourceName=””Microsoft-Windows-PowerShell”” Message=””*get-childitem*”” //search for specefic file with get-childitem in powershell
index=windows SourceName=””Microsoft-Windows-PowerShell”” Message=””*Get-ChildItem -Recurse *”” //search for specefic file recursivly with get-childitem in powershell
index=windows SourceName=””Microsoft-Windows-PowerShell”” Message=””*Get-Service*”” //get service information with powershell
index=windows SourceName=””Microsoft-Windows-PowerShell”” Message=””*Get-process*”” //get process information with powershell
index=windows source=””WinEventLog:Microsoft-Windows-Sysmon/Operational”” (EventCode=1 Image=””*\\sc.exe”” CommandLine=””*query*””) //get service list with sc.exe
index=windows source=””WinEventLog:Microsoft-Windows-Sysmon/Operational”” (EventCode=1 Image=””*\\wmic.exe”” CommandLine=*Process list*) //get process list with wmic.exe
index=windows source=””WinEventLog:Microsoft-Windows-Sysmon/Operational”” (EventCode=1 Image=””*\\wmic.exe”” CommandLine=*service list*) //get service list with wmic.exe
建议
如果你对windows以及powershell比较了解的话,你可以使用Windows日志以及powershell日志来完成监视检测,当然最好的方法是使用Sysmon日志。
相关TIP
[[T1119-win-Seatbelt自动收集信息]]
参考推荐
MITRE-ATT&CK-T1119