系统位置发现

对手可能会收集信息，试图计算受害者主机的地理位置。对手可能会使用系统位置发现中的信息，在自动发现期间塑造后续行为，包括对手是否完全感染目标和/或尝试特定操作。 对手可能会尝试使用各种系统检查推断系统的位置，例如时区、键盘布局和/或语言设置。(引用: FBI Ragnar Locker 2020)(引用: Sophos Geolocation 2016)(引用: Bleepingcomputer RAT malware 2020) Windows API函数如GetLocaleInfoW也可用于确定主机的区域设置。(引用: FBI Ragnar Locker 2020) 在云环境中，还可以通过从实例访问实例元数据服务来发现实例的可用区。(引用: AWS Instance Identity Documents)(引用: Microsoft Azure Instance Metadata 2021) 对手还可能尝试使用IP地址推断受害者主机的位置，例如通过在线地理位置IP查找服务。(引用: Securelist Trasparent Tribe 2020)(引用: Sophos Geolocation 2016)