跳转至

T1120-win-周边设备发现

来自ATT&CK的描述

攻击者可能试图收集有关连接到计算机系统的外围设备和组件的信息。外围设备可以包括支持各种功能的辅助资源,如键盘、打印机、照相机、智能卡读卡器或可移动存储。这些信息可用于提高他们对系统和网络环境的认识,或可用于进一步的行动。

测试案例

fsutil-fsinfo命令列出所有驱动器、查询驱动器类型、查询卷信息、查询特定于 NTFS 的卷信息或查询文件系统统计信息。

fsutil fsinfo drivetype C:

可能的结果为: 未知驱动器 没有这样的根目录 可移动驱动器,如软驱 固定驱动器 远程/网络驱动器 CD-ROM 驱动器 Ram 磁盘

检测日志

windows安全日志

测试复现

Microsoft Windows [版本 10.0.14393]
(c) 2016 Microsoft Corporation。保留所有权利。

C:\Users\Administrator>fsutil fsinfo drivetype C:
C: - 固定驱动器

测试留痕

日志名称:          Security
来源:            Microsoft-Windows-Security-Auditing
日期:            2021/8/8 19:35:36
事件 ID:         4688
任务类别:          进程创建
级别:            信息
关键字:           审核成功
用户:            暂缺
计算机:           WIN-1CIA2BP8VBJ.qax.com
描述:
已创建新进程。

创建者主题:
 安全 ID:  QAX\Administrator
 帐户名:  Administrator
 帐户域:  QAX
 登录 ID:  0x187CD2

目标主题:
 安全 ID:  NULL SID
 帐户名:  -
 帐户域:  -
 登录 ID:  0x0

进程信息:
 新进程 ID:  0xc38
 新进程名称: C:\Windows\System32\fsutil.exe
 令牌提升类型: %%1936
 强制性标签:  Mandatory Label\High Mandatory Level
 创建者进程 ID: 0x151c
 创建者进程名称: C:\Windows\System32\cmd.exe
 进程命令行: fsutil  fsinfo drivetype C:

检测规则/思路

sigma规则

title: 在windows使用fsutil-fsinfo命令列出驱动器类型
description: windows server 2016
tags: T1120
status: experimental
logsource:
    product: windows
    service: security
detection:
    selection:
        EventID: 4688 #已创建新的进程。
        Newprocessname: 'C:\Windows\System32\fsutil.exe' #进程信息>进程名称
        Processcommandline: 'fsinfo drivetype' #进程信息>进程命令行
    condition: selection
level: medium

建议

监测进程和命令行参数,以了解可能采取的行动,收集系统和网络信息。具有内置功能的远程访问工具可能直接与Windows API互动以收集信息。信息也可以通过Windows系统管理工具,如WMI和PowerShell获得。

参考推荐

MITRE-ATT&CK-T1120

https://attack.mitre.org/techniques/T1120/

fsutil-fsinfo命令详解

https://docs.microsoft.com/zh-cn/windows-server/administration/windows-commands/fsutil-fsinfo