ATT&CK v10版本战术实战研究--侦察

一、引言

上篇文章《ATT&CK V10版本战术介绍-侦察》中介绍了侦察的一些理论知识，本章主要对侦察进行技术验证。侦察包括涉及对手主动或被动收集可用于支持目标定位的信息的技术。

通过统计发现，任何恶意攻击一定是以侦察作为前奏，不论是内网还是外网，信息收集一定是攻击者下的第一步棋。根据资料显示，侦察占据整个攻击过程的60%，由此可见，一个全面、精准的侦察在整个攻击里面的重要性。

据不完全统计，只有11%的用户认为他们针对内部威胁的监控、检测以及响应是有效的，而49%的受访企业无法有效检测到内部威胁。针对遭受过内部威胁的受访企业，50%需要超过一天的时间才能检测到。那我们能不能在遭受攻击之前就将其扼杀在摇篮中呢？

二、侦察中的10个技术

• 主动扫描（T1595）

• 搜集受害者主机信息（T1592）

• 搜集受害者身份信息（T1589）

• 搜集受害者网络信息（T1590）

• 搜集受害者组织信息（T1591）

• 通过网络钓鱼搜集信息（T1598）

• 从非公开源搜集信息（T1597）

• 从公开技术数据库搜集信息（T1596）

• 搜集公开网站/域（T1593）

• 搜集受害者自有网站（T1594）

下面我们逐一介绍这10个技术内容。

2.1 主动扫描（T1595）

2.1.1 扫描IP段（T1595.001）

2.1.1.1 说明

在任何一个完整的恶意攻击流程中，侦察（TA0043）占50%以上，并且存在于攻击的各个阶段，即任何一步攻击都少不了侦察做铺垫。而普遍的信息收集除了社会工程学，其余的大部分都可以被感知到。

攻击者可能会扫描 IP 段以收集受害者网络信息，例如哪些 IP 地址正在被积极使用，以及有关分配了这些地址的主机的更详细信息。扫描的范围可以从简单的ping（ICMP请求和响应）到更细微的扫描，这些扫描可能通过服务器banners或其他网络组件获取主机软件/版本。来自这些扫描的信息可能会涉及其他形式的侦察（例如：搜索打开的网站/域或搜索开放的技术数据库）、建立操作资源（例如：开发能力或获取能力）或初始访问（例如：外部远程服务）的机会。

2.1.1.2 技术验证

2.1.1.2.1 工具准备

• Nmap

• 网络主机存活探测工具

2.1.1.2.2 命令

nmap -sP 192.168.1.0/24

./hostAction.py 192.168.1.0/24

2.1.1.2.3 效果

​

图1 发现存活主机

</