Техники: T1654
Злоумышленники могут перебирать системные и служебные журналы в поисках полезных данных. Эти журналы могут содержать различные типы ценных для злоумышленника сведений, таких как записи аутентификации пользователей (Account Discovery), безопасность или уязвимое программное обеспечение (Software Discovery) или хосты в скомпрометированной сети (Remote System Discovery).
Для сбора системных журналов можно использовать двоичные файлы хоста. В качестве примера можно привести использование `wevtutil.exe` или PowerShell в Windows для доступа и/или экспорта информации о событиях безопасности.(Цитата: WithSecure Lazarus-NoPineapple Threat Intel Report 2023)(Цитата: Cadet Blizzard emerges as new threat actor) В облачных средах злоумышленники могут использовать такие утилиты, как `CollectGuestLogs.exe` в Azure VM Agent, для сбора журналов безопасности из облачной инфраструктуры.(Цитата: SIM Swapping and Abuse of the Microsoft Azure Serial Console)
Злоумышленники могут также нацеливаться на централизованную инфраструктуру ведения журналов, такую как SIEM. Журналы также могут массово экспортироваться и отправляться в контролируемую злоумышленниками инфраструктуру для автономного анализа.
Помимо получения лучшего понимания среды, противники могут отслеживать журналы в режиме реального времени, чтобы проследить за процедурами реагирования на инциденты. Это может позволить им скорректировать свои методы, чтобы сохранить устойчивость или обойти защиту.(Цит. по: Permiso GUI-Vil 2023)
https://attack.mitre.org/techniques/T1654
Визуализация смежных техник для T1654
| № | Техника |
|---|
