安全软件发现

对手可能会尝试获取系统或云环境中安装的安全软件、配置、防御工具和传感器的列表。这可能包括云监控代理和防病毒软件等内容。对手可能会在自动发现期间使用安全软件发现中的信息来塑造后续行为，包括对手是否完全感染目标和/或尝试特定操作。 可以用来获取安全软件信息的示例命令有netsh、使用Reg的reg query、使用cmd的dir和Tasklist，但其他发现行为的指标可能更具体地指向对手正在寻找的软件或安全系统类型。越来越常见的是看到macOS恶意软件执行对LittleSnitch和KnockKnock软件的检查。 对手还可能利用云API来发现安装在计算基础设施上的云原生安全软件，例如AWS CloudWatch代理、Azure VM代理和Google Cloud Monitor代理。这些代理可能从VM中收集指标和日志，并集中聚合在云监控平台中。