系统时间发现

攻击者可能从本地或远程系统收集系统时间和/或时区设置。系统时间由服务设置和存储，例如Windows上的Windows时间服务或macOS上的systemsetup。(Citation: MSDN System Time)(Citation: Technet Windows Time Service)(Citation: systemsetup mac time) 这些时间设置也可能在企业网络中的系统和服务之间同步，通常通过域内的网络时间服务器完成。(Citation: Mac Time Sync)(Citation: linux system time) 系统时间信息可以通过多种方式收集，例如在Windows上使用Net执行net time \hostname以收集远程系统上的系统时间。受害者的时区也可以通过当前系统时间推断或使用w32tm /tz收集。(Citation: Technet Windows Time Service) 此外，攻击者可以通过GetTickCount()等函数发现设备运行时间，以确定系统启动以来的时间。(Citation: Virtualization/Sandbox Evasion) 在网络设备上，网络设备CLI命令（如show clock detail）可用于查看当前时间配置。(Citation: show_clock_detail_cisco_cmd) 此外，系统调用（如time()）已用于收集Linux设备上的当前时间。(Citation: MAGNET GOBLIN) 在macOS系统上，攻击者可能使用systemsetup -gettimezone或timeIntervalSinceNow等命令收集当前时区信息或当前日期和时间。(Citation: System Information Discovery Technique)(Citation: ESET DazzleSpy Jan 2022) 此信息可能有助于执行其他技术，例如使用计划任务/作业执行文件(Citation: RSA EU12 They're Inside)，或根据时区发现位置信息以协助受害者定位（即系统位置发现）。攻击者还可能使用系统时间知识作为定时炸弹的一部分，或延迟执行直到指定的日期/时间。(Citation: AnyRun TimeBomb)