战术目标
通过10种常见技术手段,包含主动和被动信息收集技术,尽可能的收集与目标相关的的信息。
利用收集的信息:
1)为进一步的侦查活动提供支撑;
2)确定目标范围和目标优先级。
3)规划和执行后续初始访问活动;
侦查战术相关技术均和资源开发(Resource Development)和初始访问(Initial Access)战术中的技术相互关联。
技术结构关系
主动扫描 Active Scanning
通过主动扫描的方式,收集目标信息:(子技术)
1)扫描IP段:企业公网IP往往是以网段或IP范围方式形式分配。通过IP段扫描定位目标。进一步为收集目标网络信息提供支撑。
2)漏洞扫描:收集目标应用的软件、版本等信息,匹配公开漏洞利用条件,判断是否存在安全漏洞。该技术定义并不包含发送POC验证漏洞。进一步为收集目标主机信息提供支撑。
3)字典扫描:通过暴力破解、爬虫等技术手段,利用通用字典或定制字典,通过穷举的方式获取目标信息。如:网站目录扫描。
缓解措施:
1)M1056:超出了企业防护体系。
2)M1042(字典扫描):互联网资产排查,删除或禁用所有无需外部访问的系统、资源、基础设施。
检测措施:DS0029
收集目标主机信息
收集目标主机相关信息:(子技术)
1)硬件信息:如指纹认证设备、硬件加密设备等。
2)软件信息:如网站应用软件、版本等。
3)固件信息:如配置、补丁等
4)客户端配置信息:操作系统、版本、架构等。
信息收集方式:
1)主动扫描,通过工具扫描获取。
2)网络钓鱼,通过网络钓鱼方式,诱导用户提供。
缓解措施:M1056
检测措施:DS0035
收集目标认证信息
收集目标认证相关信息:(子技术)
1)凭证:如账号密码。
2)电子邮件地址:如IT管理员的电子邮件、特殊群组邮件组,可以进一步利用网络钓鱼获取更多信息。
3)雇员姓名:雇员姓名,可以帮助制作更逼真的钓鱼信息或进一步利用公开网站搜索信息。
信息收集方式:
1)主动扫描
2)网络钓鱼
缓解措施:M1056
检测措施:DS0029
收集目标网络信息
收集目标网络相关信息:(子技术)
1)域名属性:可以获取域名供应商、DNS服务器、域名管理员邮箱等。如通过域名管理员邮箱进一步利用网络钓鱼获取信息。
2)DNS:子域名、邮件服务(MX)记录、主机(A)记录等。
3)网络信任关系:如授信的第三方组织、域名或网络访问权限,扩大攻击面。如为供应链攻击提供支撑。
4)网络拓扑结构:更好的规划攻击路径。
5)IP地址:确定企业使用的IP地址,通过主动扫描和网络钓鱼方式获取企业IP地址。
6)网络安全设备:了解安全设备,为后续安全设备绕过等提供信息支撑。
信息收集方式:
1)主动扫描
2)网络钓鱼
缓解措施:M1056
检测措施:无
收集目标组织信息
收集目标组织相关信息:(子技术)
1)确定物理位置:确定目标所在的真实物理位置。开展能够接触到目标的攻击。
2)组织业务关系:了解分支单位、第三方供应商等。可以从受信任的第三方切入。
3)确定业务节奏:了解企业运营节奏,如工作时长,产品到期时间等。可以构造更真实的网络钓鱼。
4)识别角色:获取企业关键角色的相关信息,如IT管理员、CTO、高管等
信息收集方式:
1)网络钓鱼
缓解措施:M1056
检测措施:无
通过网络钓鱼收集信息
通过网络钓鱼收集信息:(子技术)利用网络钓鱼诱导用户泄露敏感信息。
鱼叉攻击是精准的、定向的一种网络钓鱼攻击。
1)鱼叉攻击服务:利用第三方服务发送钓鱼信息
2)鱼叉攻击附件:发送带有恶意附件的钓鱼信息
3)鱼叉攻击链接:发送带有恶意链接的钓鱼信息
缓解措施:
1)M1054,software configuration,启用反欺骗和邮件认证机制。
2)M1017,User Training,用户安全意识培训。
检测机制:
1)DS0015,应用日志。
2)DS0029,流量检测
搜索封闭数据库
通过付费订阅服务、威胁情报、甚至暗网等途径获取目标相关信息。
1)威胁情报供应商:合法渠道获取目标有关的信息。
2)购买技术数据:非法渠道获取目标有关的信息。
缓解措施:M1056
检测措施:无
搜索开放技术资源库
通过搜索搜索公开、免费的技术资源库,获取目标信息。
1)whois
2)DNS/Passive DNS
3)数字证书:如https证书中会包含企业名称、管理员邮箱、域名等信息。
4)CDNs
5)公共扫描数据库:如shodan网站。
缓解措施:M1056
检测措施:无
搜索开放的网站或域名
通过互联网资源搜索目标相关信息。
1)社交平台:通过社交平台搜索企业、雇员等的相关信息。
2)搜索引擎:通过搜索引擎搜索企业、雇员等的相关信息。
缓解措施:M1056
检测措施:无
搜索目标自己的网站
搜索属于目标的,开放互联网访问的网站。如利用搜索引擎搜索企业域名获取子域名。
缓解措施:M1056
检测措施:DS0015