跳转至

T1518-win-发现安全软件

来自ATT&CK的描述

攻击者可能会试图获取安装在系统或云环境中的软件和软件版本的清单。攻击者可能会在自动发现过程中使用来自软件发现的信息来制定后续行为,包括攻击者是否完全获得目标权限或尝试特定攻击手法。 攻击者可能出于各种原因试图列举软件,例如弄清有哪些安全措施,或者被攻击的系统是否有容易被利用来进行特权升级的软件版本。

测试案例

测试1 Find and Display Internet Explorer Browser Version

查询注册表以确定系统上安装的Internet explorer的版本。执行后,将显示关于Internet explorer的版本信息。 测试命令,使用Windows命令行(CMD): 

reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer" /v svcVersion

测试2 Applications Installed

查询注册表以确定系统上安装的软件和版本。执行时,将显示一个软件名称和版本信息表。 测试命令,使用Windows powershell: 

Get-ItemProperty HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\* | Select-Object DisplayName, DisplayVersion, Publisher, InstallDate | Format-Table -Autosize

Get-ItemProperty HKLM:\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\* | Select-Object DisplayName, DisplayVersion, Publisher, InstallDate | Format-Table -Autosize

测试3 Find and Display Safari Browser Version

查找和显示Safari浏览器版本 攻击者可能试图获得安装在系统上的非安全相关软件的清单。在自动发现过程中,攻击者可能会使用来自软件发现的信息来确定后续的行为。 测试命令,使用MAC_sh执行: 

/usr/libexec/PlistBuddy -c "print :CFBundleShortVersionString" /Applications/Safari.app/Contents/Info.plist

/usr/libexec/PlistBuddy -c "print :CFBundleVersion" /Applications/Safari.app/Contents/Info.plist

检测日志

windows sysmon日志 Mac0S_history

测试复现

测试1 Find and Display Internet Explorer Browser Version

C:\Users\Administrator.ZHULI>reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer" /v svcVersion

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer
    svcVersion    REG_SZ    11.973.17763.0

测试2 Applications Installed

PS C:\Users\Administrator.ZHULI> Get-ItemProperty HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\* | Select-Object DisplayName, DisplayVersion, Publisher, InstallDate | Format-Table -Autosize

DisplayName        DisplayVersion Publisher                    InstallDate
-----------        -------------- ---------                    -----------


Parallels Tools    17.1.1.51537   Parallels International GmbH 20220107
UniversalForwarder 8.2.2.0        Splunk, Inc.                 20220107


PS C:\Users\Administrator.ZHULI> Get-ItemProperty HKLM:\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\* | Select-Object DisplayName, DisplayVersion, Publisher, InstallDate | Format-Table -Autosize

DisplayName DisplayVersion Publisher InstallDate
----------- -------------- --------- -----------

测试3 Find and Display Safari Browser Version

br0deMacBook-Pro:~ br0$ /usr/libexec/PlistBuddy -c "print :CFBundleShortVersionString" /Applications/Safari.app/Contents/Info.plist
15.1

br0deMacBook-Pro:~ br0$ /usr/libexec/PlistBuddy -c "print :CFBundleVersion" /Applications/Safari.app/Contents/Info.plist
17612.2.9.1.20

测试留痕

测试1 Find and Display Internet Explorer Browser Version

Process Create:

RuleName: technique_id=T1112,technique_name=Modify Registry

UtcTime: 2022-01-11 12:20:15.391

ProcessGuid: {78c84c47-75ff-61dd-7726-000000000800}

ProcessId: 5740

Image: C:\Windows\System32\reg.exe

FileVersion: 10.0.17763.1 (WinBuild.160101.0800)

Description: Registry Console Tool

Product: Microsoft® Operating System

Company: Microsoft Corporation

OriginalFileName: reg.exe

CommandLine: reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer" /v svcVersion

CurrentDirectory: C:\Users\Administrator.ZHULI\

User: ZHULI\Administrator

LogonGuid: {78c84c47-f665-61db-95da-440100000000}

LogonId: 0x144DA95

TerminalSessionId: 3

IntegrityLevel: High

Hashes: SHA1=429DF8371B437209D79DC97978C33157D1A71C4B,MD5=8A93ACAC33151793F8D52000071C0B06,SHA256=19316D4266D0B776D9B2A05D5903D8CBC8F0EA1520E9C2A7E6D5960B6FA4DCAF,IMPHASH=BE482BE427FE212CFEF2CDA0E61F19AC

ParentProcessGuid: {78c84c47-75fc-61dd-7526-000000000800}

ParentProcessId: 7428

ParentImage: C:\Windows\System32\cmd.exe

ParentCommandLine: "C:\Windows\system32\cmd.exe" 

ParentUser: ZHULI\Administrator

测试2 Applications Installed

无,实际环境下,开启Windows Powershell日志,可记录相关行为。

测试3 Find and Display Safari Browser Version

196  /usr/libexec/PlistBuddy -c "print :CFBundleShortVersionString" /Applications/Safari.app/Contents/Info.plist

197  /usr/libexec/PlistBuddy -c "print :CFBundleVersion" /Applications/Safari.app/Contents/Info.plist
198  history

检测规则/思路

建议

系统和网络发现技术通常发生在整个行动中,因为攻击者会了解环境。不应孤立地看待数据和事件,而应将其视为一连串行为的一部分,根据所获得的信息可能导致其他活动,如横向移动。

监测进程和命令行参数,以了解可能采取的行动,收集系统和网络信息。具有内置功能的远程访问工具可以直接与Windows API互动,用以收集信息。也可以通过Windows系统管理工具,如WMI和PowerShell获得信息。

相关TIP

[[T1518-001-win-安全软件发现]] [[T1557-002-linux-ARP网络嗅探]]

参考推荐

MITRE-ATT&CK-T1518

https://attack.mitre.org/techniques/T1518/

Atomic-red-team-T1518

https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1518/T1518.md