系统语言发现

对手可能会尝试收集有关受害者系统语言的信息，以推断该主机的地理位置。此信息可能用于塑造后续行为，包括对手是否感染目标和/或尝试特定操作。恶意软件开发人员和操作员可能会使用此决策来降低吸引特定执法机构注意或其他实体审查的风险。(引用: Malware System Language Check) 对手可以使用各种数据源来推断系统语言，例如系统默认设置和键盘布局。具体检查将根据目标和/或对手而有所不同，但可能涉及查询注册表和调用本机API函数的行为。(引用: CrowdStrike Ryuk January 2019) 例如，在Windows系统上，对手可能会尝试通过查询注册表键HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\Language或解析Windows API函数GetUserDefaultUILanguage、GetSystemDefaultUILanguage、GetKeyboardLayoutList和GetUserDefaultLangID的输出来推断系统的语言。(引用: Darkside Ransomware Cybereason)(引用: Securelist JSWorm)(引用: SecureList SynAck Doppelgänging May 2018) 在macOS或Linux系统上，对手可能会查询locale以检索$LANG环境变量的值。