跳转至

日志枚举

对手可能会枚举系统和服务日志以查找有用的数据。这些日志可能会为对手提供各种有价值的见解,例如用户身份验证记录(账户发现)、安全或易受攻击的软件(软件发现)或受损网络中的主机(远程系统发现)。 主机二进制文件可能会被用来收集系统日志。示例包括在 Windows 上使用 wevtutil.exePowerShell 访问和/或导出安全事件信息。(引用: WithSecure Lazarus-NoPineapple Threat Intel Report 2023)(引用: Cadet Blizzard emerges as novel threat actor) 在云环境中,对手可能会利用 Azure VM Agent 的 CollectGuestLogs.exe 实用程序从云托管基础设施中收集安全日志。(引用: SIM Swapping and Abuse of the Microsoft Azure Serial Console) 对手还可能针对集中日志基础设施,例如 SIEM。日志也可能被批量导出并发送到对手控制的基础设施进行离线分析。 除了更好地了解环境外,对手还可能实时监控日志以跟踪事件响应程序。这可能使他们能够调整其技术以保持持久性或规避防御。(引用: Permiso GUI-Vil 2023)