12. 依 MITRE ATT&CK，若攻擊者執行 PowerShell 指令 Get-ChildItem -Recurse 快速列舉檔案，並進一步將結果外洩(exfiltrate)，此行為最符合下列何項技術(technique)？
(A) T1005 Data from Local System
(B) T1083 File and Directory Discovery
(C) T1041 Exfiltration Over Command & Control Channel
(D) T1070 Indicator Removal

答案：登入後查看
統計： A(1), B(21), C(6), D(0), E(0) #3871587

肥李

B1 · 2026/05/20

#7379384

正確答案是 (B) T1083 File and Directory Discovery。

核心行為評估：題目中提到的指令 Get-ChildItem -Recurse（在 Windows 環境中相當於 dir /s），其主要功能與直接目的就是列舉、搜尋本機或網路共享路徑下的檔案與目錄結構。
MITRE ATT&CK 對應：在 MITRE ATT&CK 框架中，攻擊者用來尋找特定檔案或了解檔案系統結構的行為，正對應到 T1083 (File and Directory Discovery) 技術。

(A) T1005 Data from Local System：這屬於「搜集 (Collection)」階段。它的定義是攻擊者開始自動化收集、打包、防護或準備複製本機上的特定敏感資料（例如：把特定的 Word 檔、密碼檔集中到一個暫存夾）。單純的「列出檔案清單」還不算進入 T1005 的資料搜集行為。
(C) T1041 Exfiltration Over Command & Control Channel：這屬於「資料外洩 (Exfiltration)」階段。雖然題目後半段有提到「進一步將結果外洩」，但那是下一個階段的動作。針對「執行 Get-ChildItem 快速列舉檔案」這個指令本身的技術識別，依然是屬於 T1083（偵察/發現階段）。
(D) T1070 Indicator Removal：這屬於「防禦繞過 (Defense Evasion)」階段，意指清除入侵指標（例如刪除系統事件日誌、刪除機碼、抹除隱藏檔案等），與列舉檔案完全無關。