TA0043 侦查 Reconnaissance

最新推荐文章于 2024-08-08 11:09:25 发布
最新推荐文章于 2024-08-08 11:09:25 发布
阅读量318 收藏
点赞数
分类专栏: ATT&CK框架 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/b10d9/article/details/124506160
版权
本文详细阐述了网络侦查过程中使用的技术手段,包括主动和被动信息收集,如IP段扫描、漏洞扫描、字典扫描等,旨在为后续的侦查活动和初始访问提供信息。网络钓鱼作为信息收集的重要方式,被用来诱导用户提供敏感信息。同时,通过搜索公开和封闭的技术资源库,以及目标自身的网站来获取更多组织和网络信息。缓解这些威胁的措施包括加强软件配置、用户培训以及启用反欺骗机制。
摘要由CSDN通过智能技术生成

战术目标

通过10种常见技术手段,包含主动和被动信息收集技术,尽可能的收集与目标相关的的信息。

利用收集的信息:

1)为进一步的侦查活动提供支撑;

2)确定目标范围和目标优先级。

3)规划和执行后续初始访问活动;

侦查战术相关技术均和资源开发(Resource Development)和初始访问(Initial Access)战术中的技术相互关联。

技术结构关系

主动扫描 Active Scanning

通过主动扫描的方式,收集目标信息:(子技术)

1)扫描IP段:企业公网IP往往是以网段或IP范围方式形式分配。通过IP段扫描定位目标。进一步为收集目标网络信息提供支撑。

2)漏洞扫描:收集目标应用的软件、版本等信息,匹配公开漏洞利用条件,判断是否存在安全漏洞。该技术定义并不包含发送POC验证漏洞。进一步为收集目标主机信息提供支撑。

3)字典扫描:通过暴力破解、爬虫等技术手段,利用通用字典或定制字典,通过穷举的方式获取目标信息。如:网站目录扫描。

缓解措施:

1)M1056:超出了企业防护体系。

2)M1042(字典扫描):互联网资产排查,删除或禁用所有无需外部访问的系统、资源、基础设施。

检测措施:DS0029

收集目标主机信息

收集目标主机相关信息:(子技术)

1)硬件信息:如指纹认证设备、硬件加密设备等。

2)软件信息:如网站应用软件、版本等。

3)固件信息:如配置、补丁等

4)客户端配置信息:操作系统、版本、架构等。

信息收集方式:

1)主动扫描,通过工具扫描获取。

2)网络钓鱼,通过网络钓鱼方式,诱导用户提供。

缓解措施:M1056

检测措施:DS0035

收集目标认证信息

收集目标认证相关信息:(子技术)

1)凭证:如账号密码。

2)电子邮件地址:如IT管理员的电子邮件、特殊群组邮件组,可以进一步利用网络钓鱼获取更多信息。

3)雇员姓名:雇员姓名,可以帮助制作更逼真的钓鱼信息或进一步利用公开网站搜索信息。

信息收集方式:

1)主动扫描

2)网络钓鱼

缓解措施:M1056

检测措施:DS0029

收集目标网络信息

收集目标网络相关信息:(子技术)

1)域名属性:可以获取域名供应商、DNS服务器、域名管理员邮箱等。如通过域名管理员邮箱进一步利用网络钓鱼获取信息。

2)DNS:子域名、邮件服务(MX)记录、主机(A)记录等。

3)网络信任关系:如授信的第三方组织、域名或网络访问权限,扩大攻击面。如为供应链攻击提供支撑。

4)网络拓扑结构:更好的规划攻击路径。

5)IP地址:确定企业使用的IP地址,通过主动扫描和网络钓鱼方式获取企业IP地址。

6)网络安全设备:了解安全设备,为后续安全设备绕过等提供信息支撑。

信息收集方式:

1)主动扫描

2)网络钓鱼

缓解措施:M1056

检测措施:无

收集目标组织信息

收集目标组织相关信息:(子技术)

1)确定物理位置:确定目标所在的真实物理位置。开展能够接触到目标的攻击。

2)组织业务关系:了解分支单位、第三方供应商等。可以从受信任的第三方切入。

3)确定业务节奏:了解企业运营节奏,如工作时长,产品到期时间等。可以构造更真实的网络钓鱼。

4)识别角色:获取企业关键角色的相关信息,如IT管理员、CTO、高管等

信息收集方式:

1)网络钓鱼

缓解措施:M1056

检测措施:无

通过网络钓鱼收集信息

通过网络钓鱼收集信息:(子技术)利用网络钓鱼诱导用户泄露敏感信息。

鱼叉攻击是精准的、定向的一种网络钓鱼攻击。

1)鱼叉攻击服务:利用第三方服务发送钓鱼信息

2)鱼叉攻击附件:发送带有恶意附件的钓鱼信息

3)鱼叉攻击链接:发送带有恶意链接的钓鱼信息

缓解措施:

1)M1054,software configuration,启用反欺骗和邮件认证机制。

2)M1017,User Training,用户安全意识培训。

检测机制:

1)DS0015,应用日志。

2)DS0029,流量检测

搜索封闭数据库

通过付费订阅服务、威胁情报、甚至暗网等途径获取目标相关信息。

1)威胁情报供应商:合法渠道获取目标有关的信息。

2)购买技术数据:非法渠道获取目标有关的信息。

缓解措施:M1056

检测措施:无

搜索开放技术资源库

通过搜索搜索公开、免费的技术资源库,获取目标信息。

1)whois

2)DNS/Passive DNS

3)数字证书:如https证书中会包含企业名称、管理员邮箱、域名等信息。

4)CDNs

5)公共扫描数据库:如shodan网站。

缓解措施:M1056

检测措施:无

搜索开放的网站或域名

通过互联网资源搜索目标相关信息。

1)社交平台:通过社交平台搜索企业、雇员等的相关信息。

2)搜索引擎:通过搜索引擎搜索企业、雇员等的相关信息。

缓解措施:M1056

检测措施:无

搜索目标自己的网站

搜索属于目标的,开放互联网访问的网站。如利用搜索引擎搜索企业域名获取子域名。

缓解措施:M1056

检测措施:DS0015

 

包大人在此
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
coria2009.zip_RECONNAISSANCE
07-14
reconnaissance des differentes la langue d ecriture arabe manuscrite et imprimée et latin manuscrite et imprimée
滲透测试ATT&CK攻击模型一(Reconnaissance侦查
Mr.mark的博客
07-06 2220
侦察战术主要包括攻击者主动或被动地收集可用于达成目标的信息的技术。此类信息可能包括目标的组织、基础设施或工作人员的详细信息。攻击者可以利用此信息为攻击生命周期的其他阶段提供帮助。例如使用收集的信息来规划和执行初始访问,确定沦陷目标的范围和优先顺序,以及驱动和领导进一步的侦察行动。 T1595 Active Scanning 主动扫描 主动扫描可以用于在网络中收集资产信息,便于快速掌握开放到公网上的网络服务。主动扫描是指通过网络流量探查目标基础设施的扫描,与不涉及直接交互的
网络安全------网络攻击分类
热门推荐
HelloWorld
09-30 2万+
1.读取攻击 读取攻击主要包含所有从受害者哪里获取信息的相关攻击。此类攻击会从获取组织结构的ip地址,在那些地址范围内进行端口扫描和漏洞弱点扫描,最后到入侵有弱点的主机获取信息。 1.侦察(reconnaissance recon)攻击:     侦察(reconnaissance recon)攻击:主要是为使攻击者可以获取更多有关受害者的 信息而设计的,侦察攻击可采用
攻击链简述(一):APT的攻击阶段
甘焕的博客
09-06 1万+
如今,持续进化的网络威胁环境带来了更复杂攻击场景,除了商业化的攻击行为,以前所欠缺的攻击技术现在也发展得更加普遍。除此之外,为了达到专业化的战术目标并在企业内部创建一个持续的攻击据点,黑客的攻击行为也不再仅仅是普遍的破坏行为(如之前爆发的蠕虫风暴),而是采用了多目标、多阶段、更低调的攻击方式。      基于防御思维的攻击链将一次攻击划分为7个阶段,可以快速地帮助我们理解最新的攻击场景一级如何有效地
浅谈APT攻击
顺其自然~专栏
12-06 1万+
APT(Advanced Persistent Threat):高级持续威胁,主要特点是利用手段高,攻击持续,高危害。换句话说其实当于持续性高级渗透,加上恶意的目的或者谋取利益的想法时,就成了威胁,而APT防御一般出现于酒足饭饱之后。 0×00.APT的历史起源 APT这个词汇最早起源于:2005,2005年英国和美国的CERT组织发布了关于有针对性的社交工程电子邮件,放弃特洛伊木马以泄露敏感...
kali渗透2-reconnaissance-侦查
qq_40621853的博客
05-09 442
用nmap扫描和识别服务 1.-sn 看对方主机是否相应ping 2.直接扫描端口 3.-sV -O 获取服务信息,os信息 -sT 完整tcp扫描 -Pn 默认扫描主机已经开启,跳过ping测试 -v 列出详细信息 -p 规定端口 –script=script_name 用脚本扫描 识别waf 工作原理 WAF 检测的原理是通过发送特定请求到服务器,之后分析响应。例如, 在 http-waf-detect 的例子中,它发送了一些基本的恶意封包,并对比响应,同时查找封包被 阻拦、拒绝或检测到的标识。 ht
TF.zip_RECONNAISSANCE_matlab tf
09-14
reconnaissance des differentes la langue d ecriture arabe manuscrite et imprimée et latin manuscrite et imprimée
Recon-ng侦查基础教程
04-10
在网络安全领域,侦查(Reconnaissance)是攻击阶段的关键步骤,它涉及到收集目标系统和网络的信息,以便发现潜在的弱点和漏洞。Recon-ng是一款功能强大的多源信息收集框架,专为渗透测试者和安全研究人员设计。本...
Data-Mining-master (1).zip_RECONNAISSANCE_faciale
07-14
本项目“Data-Mining-master (1).zip_RECONNAISSANCE_faciale”聚焦于这一前沿技术,旨在实现高效、准确的人脸识别系统。 人脸识别技术主要包含以下几个核心环节: 1. **图像采集**:这是人脸识别的第一步,通过...
Climbing Reconnaissance Drone Design
02-07
### 攀爬侦察无人机设计的关键知识点 #### 一、引言与背景 本文介绍了一种攀爬侦察无人机的设计,旨在解决传统多旋翼无人机在电池续航能力弱、操作时间短以及难以在特殊地形降落的问题。文章指出,在中国,每年因...
访问网站显示不安全怎么办?
joySSL_的博客
08-02 734
如果您还在使用http协议,那基本上所有的主流浏览器都是都不安全提示需要给网站安装部署一个SSL证书,有预算的话可以使用付费SSL证书,没有预算的话免费SSL证书也可以实现HTTPS。网站的SSL证书过期,或者域名不匹配,解决方式是点击右上角锁头标志查看证书,检查和更新证书,确保它有效、完整。网站被举报含有钓鱼、欺诈等非法问题,解决方法是联系报告方,证明网站已安全,同时全面检查网站,清除隐患。访问网站时显示“不安全”,针对不同的原因有不同的解决方式,下面是常见的几种原因和对应的解决办法。
应急响应-主机安全之系统及进程排查相关命令(Linux操作系统-初级篇)
关注网络安全、云原生安全
08-07 925
本文介绍下在应急响应过程中,linux系统下排查系统、进程、服务可能用到的命令,有些命令选项很多,读者可以仅看常用选项。不涉及内存、进程注入、rootkit等高级攻击的排查。常用-n参数,n为展示的数量systemctl命令 是系统服务管理器指令,它实际上将 service 和 chkconfig 这两个命令组合到一起。任务旧指令新指令使某服务自动启动使某服务不自动启动检查服务状态systemctl status httpd.service (服务详细信息)
某赛通电子文档安全管理系统 CDGAuthoriseTempletService1 SQL注入漏洞复现(XVE-2024-19611)
最新发布
0xSec
08-08 443
某赛通电子文档安全管理系统的 CDGAuthoriseTempletService1 接口存在 SQL 注入漏洞。 攻击者可以通过构造特定的 POST 请求注入恶意 SQL 代码,利用该漏洞对数据库执行任意 SQL 操作,获取所有用户的账户密码信息,破解md5值后可直接接管后台,导致系统处于极不安全的状态。
如何确保场外个股期权交易的安全
Lunasi的博客
08-07 56
只选择那些拥有合法金融牌照、受到监管机构严格监督的平台进行交易,确保在中国交易时,平台已获得证监会或相关金融监管机构的批准。:深入学习期权的基础知识,包括不同类型的期权、它们的权利和义务、定价方式以及风险特性,从而提升自我保护的能力。:在交易前,深入分析市场趋势和相关股票的基本面,评估潜在风险,并制定相应的风险管理策略。通过这些措施,投资者可以在场外个股期权交易中提高交易的安全性,有效降低不必要的风险。:选择流动性好的期权进行交易,以便在需要时能快速买卖,减少因流动性不足带来的风险。
网络安全数字化转型
2401_84466325的博客
08-04 803
从狭义层面来看,是指依托先进的数据处理技术,包括数据采集的全面性、数据治理的规范性、数据分析的深入性、数据关联的精准性以及数据应用的有效性,来直接应对并解决当前网络安全领域所面临的挑战与问题。这一过程不仅为网络安全工作的决策提供了坚实的数据基础与科学依据,还显著区别于传统网络安全模式——传统告警信息已不再是主导分析的核心数据,而是转变为辅助决策的参考信息,体现了网络安全分析重心的深刻转变与升级。而从广义视角审视,数字化网络安全则是围绕数据这一核心要素,构建了一个动态优化的安全生态体系。
自学黑客(网络安全
2301_77160226的博客
08-05 8071
想自学网络安全(黑客技术)首先你得了解什么是网络安全!什么是黑客!网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
8月5日学习笔记 glibc安装与安全用户角色权限
weixin_70751701的博客
08-05 1097
安装步骤1.安装依赖库# 添加开机启动Enter password: # 输⼊123or \g.or \g.#重启服务# 有套接字⽂件,就可以链接mysql服务or \g.owners.Type 'help;mysql>```
安全用户角色权限
weixin_69203484的博客
08-05 720
添加lilaosi账号,修改密码,查看mysql.user中的lilaosi的信息。2.远程管理,可以使⽤图形化⼯具,sqlyog,navicat,掌握命令⼯。使⽤root账号,为lilaosi账号添加test库存中所有的表的所有权限。# lilaosi就获得了test库中所有的表的操作权限,但是,由于。-p 密码,可以不换⾏直接输⼊,也可以换⾏ 不回显输⼊密码。-P 端⼝ 默认是3306,如果是默认的,可以省略。ddd三个账号的密码修改为1234。7.查看数据库,查看表,查看表内容 能够正常查看。
DNS安全概述
2401_84466361的博客
08-04 1047
举个例子:现在很多服务都是托管在云上面,如果一个子域名曾经使用过,并且对外提供了服务,在下线服务的时候没有移除相应的DNS记录,同一个云上的其他用户就有可能使用原服务相同的公网IP。也有一些运营商,出于某种目的,会支持DNS流量,但是其提供的硬件资源不够,引起DNS解析异常缓慢甚至超时,严重影响用户体验。是一种由DNS客户端(通常是用户的应用程序,如一个浏览器)向本地DNS解析器发出解析请求,然后本地DNS解析器负责查询最终结果并将结果返回给客户端,而中间的所有查询请求都由本地DNS解析器代替客户端完成。
reconnaissance是什么
06-07
Reconnaissance是指网络安全领域中的信息收集阶段,通常是指在进行渗透测试或攻击前,通过收集关于目标系统和网络的信息来了解目标的情况。侦查的目的是为了使攻击者可以更好地了解目标系统的弱点以及如何利用这些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值