安全软件披露

攻击者可能试图获取系统安装的安全软件、配置、防御工具和传感器的列表。这可能包括本地防火墙规则、反病毒和虚拟化。这些检查可以内置到早期远程访问工具中。

Windows

可以用来获取安全软件信息的示例命令有 netsh、Reg 的 reg query、 cmd 的 dir 和 Tasklist，但是披露行为的其他指示器可能对于攻击者正在查找的软件或安全系统类型更准确。­

Mac

macOS 恶意软件对 LittleSnitch 和 KnockKnock 软件的检查越来越普遍。

缓解

识别可能用于获取本地安全软件信息的不必要的系统实用程序或潜在的恶意软件，并在适当的情况下使用白名单工具（如 AppLocker、 或软件限制策略 ) 审计和/或拦截它们。

检测

由于攻击者了解环境，系统和网络披露技术通常可以发生在整个操作过程中。不应孤立地查看数据和事件，而应将其视为可能导致其他活动的行为链的一部分，例如基于所获得的信息的横向移动。 监视可以收集系统和网络信息的进程和命令行参数的操作。具有内置功能的远程访问工具可以直接与 Windows API 交互以收集信息。也可以通过 Windows 系统管理工具获取信息，如 Windows 管理规范和 PowerShell。