Данные из локальной системы
Оригинал: Data from Local System
Злоумышленники могут искать в локальных источниках системы, таких как файловые системы, конфигурационные файлы или локальные базы данных, чтобы найти интересующие файлы и чувствительные данные перед эксфильтрацией.
Это может включать базовые сведения для фингерпринтинга системы и чувствительные данные, например SSH-ключи.
Тактики
Примеры процедур из кейсов
Вредоносный пакет обследовал затронутую систему для базового фингерпринтинга, включая IP-адрес, имя пользователя и текущий рабочий каталог, а также похищал дополнительные чувствительные данные:
- DNS-серверы из `/etc/resolv.conf`
- имя хоста из `gethostname()`
- текущее имя пользователя из `getlogin()`
- имя текущего рабочего каталога из `getcwd()`
- переменные окружения
- `/etc/hosts`
- `/etc/passwd`
- первые 1000 файлов в каталоге `$HOME`
- `$HOME/.gitconfig`
- `$HOME/.ssh/*`.
Вредоносное ПО Skynet пытается собрать файлы `%HOMEPATH%\.ssh\known_hosts` и `C:/Windows/System32/Drivers/etc/hosts`.
AML.CS0044LAMEHUG: вредоносное ПО, использующее динамические команды, сгенерированные ИИLAMEHUG использовал команды, сгенерированные ИИ, для сбора сведений о системе с сохранением в `%PROGRAMDATA%\info\info.txt`, а также рекурсивно просматривал папки Documents, Desktop и Downloads, чтобы подготовить файлы к эксфильтрации.
AML.CS0061AI in the Middle: веб-сервисы ИИ как ретрансляторы C2Имплант собирал базовую информацию о хосте из локальной системы. Исследователи отметили, что это можно расширить до сбора таких сведений, как имя пользователя, домен, имя компьютера, установленное ПО, запущенные процессы и программы автозагрузки.