权限组披露

攻击者可能会尝试查找本地系统或域级别组和权限设置。

Windows

可以列出组的命令示例包括使用 Net 实用程序的 net group /domain 和 net localgroup。

Mac

在 Mac 上，dscacheutil -q group 用于域， dscl . -list /Groups 用于本地组 。

Linux

在 Linux 上，可以使用 groups 命令枚举本地组，通过 ldapsearch 命令枚举域组。

缓解

识别可能用于获取组和权限信息的不必要的系统实用程序或潜在的恶意软件，并在适当的情况下使用白名单 工具（如 AppLocker、 或软件限制策略 ) 审计和/或拦截它们。

检测

由于攻击者了解环境，系统和网络披露技术通常发生在整个操作过程中。 不应孤立地看待数据和事件，而应将其视为可能导致基于所获得的信息的其他活动的行为链的一部分，例如横向移动。 监视可以收集系统和网络信息的进程和命令行参数的操作。 具有内置功能的远程访问工具可以直接与 Windows API 交互以收集信息。 也可以通过 Windows 系统管理工具获取信息，如 Windows 管理规范和 PowerShell。