远程系统发现

攻击者可能会尝试通过IP地址、主机名或其他逻辑标识符获取网络上其他系统的列表，以便从当前系统进行横向移动。远程访问工具可能具备此功能，但操作系统上的实用程序（如Ping或使用Net的net view）也可用于此目的。 攻击者还可能分析本地主机文件（如C:\Windows\System32\Drivers\etc\hosts或/etc/hosts）或其他被动手段（如本地Arp缓存条目）以发现环境中远程系统的存在。 攻击者还可能针对网络基础设施的发现，并利用网络设备上的网络设备CLI命令来收集网络中系统的详细信息（如show cdp neighbors、show arp）。(引用: US-CERT-TA18-106A)(引用: CISA AR21-126A FIVEHANDS 2021年5月)