Angreifer sammeln Systeminformationen mit integrierten Werkzeugen

Das Cybersicherheitsunternehmen Picus Security hat eine Analyse veröffentlicht, die aufzeigt, wie Angreifer integrierte Betriebssystemwerkzeuge nutzen, um Informationen über kompromittierte Systeme zu sammeln. Diese Technik ist als "System Information Discovery" (T1082) bekannt.

Laut dem Bericht des Unternehmens war diese Taktik 2025 die siebthäufigste unter den identifizierten Angriffsmethoden. Angreifer setzen diese Methode ein, um Details wie Betriebssystemversionen, Hardwarespezifikationen und Netzwerkkonfigurationen zu erfassen. Diese Aufklärungsarbeit hilft Angreifern, Schwachstellen zu identifizieren und ihre Angriffsstrategien zu optimieren.

Picus Security weist darauf hin, dass Angreifer häufig sogenannte "living-off-the-land" Binaries (LOLBins) und native Werkzeuge einsetzen. Da diese Werkzeuge Teil des Standardbetriebssystems sind, ermöglichen sie es Angreifern, unauffällig zu agieren und legitime Systemaktivitäten zu imitieren, was die Erkennung erschwert.

Zu den gängigen Befehlen für die Informationssammlung gehören systeminfo unter Windows, systemsetup oder system_profiler unter macOS sowie uname oder sysinfo unter Linux. Die mit diesen Befehlen gesammelten Daten helfen Angreifern, ihre Werkzeuge und Methoden auf die Zielumgebung zuzuschneiden.

Picus Security betont, dass das Verständnis dieser Techniken für Organisationen, die ihre Systeme und Infrastrukturen effektiv schützen wollen, von entscheidender Bedeutung ist.