Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1057
Злоумышленники могут попытаться получить информацию о запущенных процессах в системе. Полученная информация может быть использована для получения представления об общем программном обеспечении/приложениях, запущенных на системах в сети. Администратор или другой повышенный доступ может предоставить более подробную информацию о процессах. Злоумышленники могут использовать информацию из Process Discovery во время автоматического обнаружения для формирования последующего поведения, в том числе для определения того, полностью ли Злоумышленник заражает цель и/или пытается выполнить определенные действия.
В среде Windows злоумышленники могут получить сведения о запущенных процессах с помощью утилиты Tasklist через cmd или Get-Process через PowerShell. Информацию о процессах можно также извлекать из результатов вызовов Native API, таких как CreateToolhelp32Snapshot. В Mac и Linux это делается с помощью команды ps. Злоумышленники также могут перечислять процессы через `/proc`.
На сетевых устройствах для отображения текущих запущенных процессов можно использовать команды Network Device CLI, такие как `show processes`.(Цитата: US-CERT-TA18-106A)(Цитата: show_processes_cisco_cmd)
https://attack.mitre.org/techniques/T1057
Визуализация смежных техник для T1057
| № | Техника |
|---|
