Данные из локальной системы

Оригинал: Data from Local System

Злоумышленники могут искать в локальных источниках системы, таких как файловые системы, конфигурационные файлы или локальные базы данных, чтобы найти интересующие файлы и чувствительные данные перед эксфильтрацией.

Это может включать базовые сведения для фингерпринтинга системы и чувствительные данные, например SSH-ключи.

Тактики

Примеры процедур из кейсов

AML.CS0015Компрометация цепочки зависимостей PyTorchАктор: Unknown / Тактика: AML.TA0009 Сбор материалов

Вредоносный пакет обследовал затронутую систему для базового фингерпринтинга, включая IP-адрес, имя пользователя и текущий рабочий каталог, а также похищал дополнительные чувствительные данные:

  • DNS-серверы из `/etc/resolv.conf`
  • имя хоста из `gethostname()`
  • текущее имя пользователя из `getlogin()`
  • имя текущего рабочего каталога из `getcwd()`
  • переменные окружения
  • `/etc/hosts`
  • `/etc/passwd`
  • первые 1000 файлов в каталоге `$HOME`
  • `$HOME/.gitconfig`
  • `$HOME/.ssh/*`.
AML.CS0043Прототип вредоносного ПО со встроенной промпт-инъекциейАктор: Unknown Threat Actor / Тактика: AML.TA0009 Сбор материалов

Вредоносное ПО Skynet пытается собрать файлы `%HOMEPATH%\.ssh\known_hosts` и `C:/Windows/System32/Drivers/etc/hosts`.

AML.CS0044LAMEHUG: вредоносное ПО, использующее динамические команды, сгенерированные ИИАктор: APT28 / Тактика: AML.TA0009 Сбор материалов

LAMEHUG использовал команды, сгенерированные ИИ, для сбора сведений о системе с сохранением в `%PROGRAMDATA%\info\info.txt`, а также рекурсивно просматривал папки Documents, Desktop и Downloads, чтобы подготовить файлы к эксфильтрации.

AML.CS0061AI in the Middle: веб-сервисы ИИ как ретрансляторы C2Актор: Check Point Research / Тактика: AML.TA0009 Сбор материалов

Имплант собирал базовую информацию о хосте из локальной системы. Исследователи отметили, что это можно расширить до сбора таких сведений, как имя пользователя, домен, имя компьютера, установленное ПО, запущенные процессы и программы автозагрузки.