侦察
攻击者试图收集有关其目标的信息。
技术: 44
| 编号 | 名字 | 描述 |
|---|---|---|
| T1566.001 | 鱼叉式网络钓鱼附件 | 对手可能会发送带有恶意附件的鱼叉式网络钓鱼消息,以获取可在目标过程中使用的敏感信息。鱼叉式网络钓鱼信息试图欺骗目标泄露信息,通常是凭据或其他可操作的信息。鱼叉式网络钓鱼信息通常涉及社会工程技术,例如冒充有理由收集信息的来源(例如:建立帐户或妥协帐户)和/或发送多个看似紧急的消息。 所有形式的鱼叉式网络钓鱼都是针对特定个人、公司或行业的电子社交工程。在这种情况下,对手将文件附加到鱼叉式网络钓鱼电子邮件中,通常依赖于收件人填写信息然后返回文件。(引用: Sophos Attachment)(引用: GitHub Phishery) 鱼叉式网络钓鱼电子邮件的文本通常试图提供一个合理的理由,说明为什么应该填写文件,例如来自业务伙伴的信息请求。对手还可能使用先前侦察工作的信息(例如:搜索开放网站/域或搜索受害者拥有的网站)来制作有说服力和可信的诱饵。 |
| T1566.002 | 鱼叉式网络钓鱼链接 | 对手可能会发送带有恶意链接的鱼叉式网络钓鱼消息,以获取可在目标过程中使用的敏感信息。鱼叉式网络钓鱼信息试图欺骗目标泄露信息,通常是凭据或其他可操作的信息。鱼叉式网络钓鱼信息通常涉及社会工程技术,例如冒充有理由收集信息的来源(例如:建立账户或妥协账户)和/或发送多个看似紧急的消息。 所有形式的鱼叉式网络钓鱼都是针对特定个人、公司或行业的电子社交工程。在这种情况下,恶意电子邮件包含链接,通常伴有社会工程文本,以诱使用户主动点击或复制并粘贴URL到浏览器中。(引用: TrendMictro Phishing)(引用: PCMag FakeLogin) 给定的网站可能是合法网站的克隆(例如在线或公司登录门户)或在外观上非常类似于合法网站,并且URL包含来自真实网站的元素。URL还可能通过利用URL模式中的怪癖来混淆,例如接受基于整数或十六进制的主机名格式,并自动丢弃“@”符号之前的文本:例如,hxxp://google.com@1157586937。(引用: Mandiant URL Obfuscation 2023) 对手还可能在网络钓鱼消息中嵌入“跟踪像素”、“网络错误”或“网络信标”,以验证电子邮件的接收,同时可能分析和跟踪受害者信息,例如IP地址。(引用: NIST Web Bug)(引用: Ryte Wiki) 这些机制通常显示为小图像(通常为一个像素大小)或其他方式混淆的对象,通常作为包含指向远程服务器的链接的HTML代码传递。(引用: Ryte Wiki)(引用: IAPP) 对手还可能使用所谓的“浏览器中的浏览器”(BitB)攻击来伪造完整的网站。通过生成一个带有HTML地址栏的假浏览器弹出窗口,看起来包含合法的URL(例如身份验证门户),他们可能能够提示用户输入其凭据,同时绕过典型的URL验证方法。(引用: ZScaler BitB 2020)(引用: Mr. D0x BitB 2022) 对手可以使用网络钓鱼工具包,例如EvilProxy和Evilginx2,通过代理受害者和合法网站之间的连接来执行中间人网络钓鱼。在成功登录后,受害者被重定向到合法网站,而对手捕获其会话Cookie(即,窃取Web会话Cookie)以及其用户名和密码。这可能使对手能够通过Web会话Cookie绕过MFA。(引用: Proofpoint Human Factor) 对手还可能以快速响应(QR)代码(也称为“quishing”)的形式发送恶意链接。这些链接可能会将受害者引导到凭据网络钓鱼页面。(引用: QR-campaign-energy-firm) 通过使用QR码,URL可能不会在电子邮件中暴露,因此可能不会被大多数自动电子邮件安全扫描检测到。(引用: qr-phish-agriculture) 这些QR码可能会被扫描或直接发送到用户的移动设备(即,网络钓鱼),这些设备在几个相关方面可能不太安全。(引用: qr-phish-agriculture) 例如,移动用户可能无法注意到真实和凭据收集网站之间的细微差别,因为移动设备的屏幕较小。 从假网站收集的信息通过Web表单发送给对手。对手还可能使用先前侦察工作的信息(例如,搜索开放网站/域或搜索受害者拥有的网站)来制作有说服力和可信的诱饵。 |
| T1589 | 收集受害者身份信息 | 对手可能会收集有关受害者身份的信息,以在目标过程中使用。身份信息可能包括各种详细信息,包括个人数据(例如:员工姓名、电子邮件地址、安全问题回答等)以及敏感信息,如凭据或多因素认证(MFA)配置。 对手可能通过各种方式收集这些信息,例如通过钓鱼获取信息直接引诱。用户信息也可以通过其他主动方式(即主动扫描)枚举,例如探测和分析身份验证服务的响应,这些响应可能会揭示系统中的有效用户名或与这些用户名相关的MFA方法。(引用: GrimBlog UsernameEnum)(引用: Obsidian SSPR Abuse 2023) 受害者的信息也可能通过在线或其他可访问的数据集暴露给对手(例如,社交媒体或搜索受害者拥有的网站)。(引用: OPM Leak)(引用: Register Deloitte)(引用: Register Uber)(引用: Detectify Slack Tokens)(引用: Forbes GitHub Creds)(引用: GitHub truffleHog)(引用: GitHub Gitrob)(引用: CNET Leaks) 收集这些信息可能会揭示其他形式的侦察机会(例如,搜索开放网站/域或钓鱼获取信息),建立操作资源(例如,妥协账户),和/或初始访问(例如,网络钓鱼或有效账户)。 |
| T1589.001 | 凭证 | 对手可能会收集可在目标过程中使用的凭证。对手收集的账户凭证可能是直接与目标受害组织相关的,或试图利用用户在个人和业务账户中使用相同密码的倾向。 对手可能通过各种方式从潜在受害者那里收集凭证,例如通过钓鱼获取信息进行直接引诱。对手还可能妥协网站,然后添加旨在从访问者那里收集网站认证 Cookie 的恶意内容。(引用: ATT ScanBox) (引用: Register Deloitte)(引用: Register Uber)(引用: Detectify Slack Tokens)(引用: Forbes GitHub Creds)(引用: GitHub truffleHog)(引用: GitHub Gitrob)(引用: CNET Leaks) 在基于带外通信的多因素认证 (MFA) 使用的情况下,对手可能会妥协服务提供商以获取 MFA 代码和一次性密码 (OTP)。(引用: Okta Scatter Swine 2022) 凭证信息也可能通过泄露到在线或其他可访问的数据集(例如:搜索引擎、泄露转储、代码存储库等)暴露给对手。对手可能会从暗网市场(如 Russian Market 和 2easy)购买凭证,或通过访问分发信息窃取恶意软件日志的 Telegram 频道获取凭证。(引用: Bleeping Computer 2easy 2021)(引用: SecureWorks Infostealers 2023)(引用: Bleeping Computer Stealer Logs 2023) 收集这些信息可能会揭示其他形式的侦察机会(例如搜索开放网站/域或钓鱼获取信息),建立操作资源(例如妥协账户),和/或初始访问(例如外部远程服务或有效账户)。 |
| T1589.002 | 电子邮件地址 | 对手可能会收集可用于目标过程的电子邮件地址。即使存在内部实例,组织也可能拥有面向公众的电子邮件基础设施和员工的电子邮件地址。 对手可能很容易收集电子邮件地址,因为它们可能通过在线或其他可访问的数据集(例如社交媒体或搜索受害者拥有的网站)公开并暴露。(引用: HackersArise Email)(引用: CNET Leaks) 电子邮件地址也可以通过更积极的手段(即主动扫描)枚举,例如探测和分析身份验证服务的响应,这些响应可能会揭示系统中的有效用户名。(引用: GrimBlog UsernameEnum) 例如,对手可能能够通过查询各种公开可用的 API 端点(例如 autodiscover 和 GetCredentialType)在 Office 365 环境中枚举电子邮件地址。(引用: GitHub Office 365 User Enumeration)(引用: Azure Active Directory Reconnaisance) 收集这些信息可能会揭示其他形式的侦察机会(例如搜索开放网站/域或钓鱼获取信息),建立操作资源(例如电子邮件帐户),和/或初始访问(例如网络钓鱼或通过外部远程服务进行暴力破解)。 |
| T1589.003 | 员工姓名 | 对手可能会收集可用于目标过程的员工姓名。员工姓名可以用来推导电子邮件地址,并帮助指导其他侦察工作和/或制作更可信的诱饵。 对手可能很容易收集员工姓名,因为它们可能通过在线或其他可访问的数据集(例如社交媒体或搜索受害者拥有的网站)公开并暴露。(引用: OPM Leak) 收集这些信息可能会揭示其他形式的侦察机会(例如搜索开放网站/域或钓鱼获取信息),建立操作资源(例如妥协账户),和/或初始访问(例如网络钓鱼或有效账户)。 |
| T1590 | 收集受害者网络信息 | 对手可能会收集有关受害者网络的信息,以在目标过程中使用。有关网络的信息可能包括各种详细信息,包括管理数据(例如:IP范围、域名等)以及其拓扑和操作的具体细节。 对手可能通过各种方式收集这些信息,例如通过主动扫描或钓鱼获取信息进行直接收集。有关网络的信息也可能通过在线或其他可访问的数据集(例如:搜索开放技术数据库)暴露给对手。(引用: WHOIS)(引用: DNS Dumpster)(引用: Circl Passive DNS) 收集这些信息可能会揭示其他形式的侦察机会(例如主动扫描或搜索开放网站/域),建立操作资源(例如获取基础设施或妥协基础设施),和/或初始访问(例如信任关系)。 |
| T1590.001 | 域属性 | 攻击者可能会收集受害者网络域的信息,以便在目标定位中使用。关于域及其属性的信息可能包括各种细节,例如受害者拥有的域以及管理数据(如名称、注册商等),以及更直接可操作的信息,如联系人(电子邮件地址和电话号码)、商业地址和名称服务器。 攻击者可能通过各种方式收集这些信息,例如通过主动扫描或钓鱼获取信息直接收集。受害者域及其属性的信息也可能通过在线或其他可访问的数据集(如WHOIS)暴露给攻击者。(引用: WHOIS)(引用: DNS Dumpster)(引用: Circl Passive DNS) 在使用第三方云提供商的情况下,这些信息也可能通过公开的API端点(如Office 365环境中的GetUserRealm和autodiscover)暴露。(引用: Azure Active Directory侦察)(引用: Office 365 Azure域可用性) 收集这些信息可能揭示其他侦察形式的机会(如搜索开放技术数据库、搜索开放网站/域或钓鱼获取信息),建立操作资源(如获取基础设施或破坏基础设施),和/或初始访问(如钓鱼)。 |
| T1590.002 | DNS | 对手可能会使用域名系统 (DNS) 应用层协议进行通信,以通过与现有流量混合来避免检测/网络过滤。发送到远程系统的命令以及这些命令的结果通常会嵌入在客户端和服务器之间的协议流量中。 DNS 协议在计算机网络中执行管理功能,因此在环境中可能非常常见。即使在网络身份验证完成之前,也可能允许 DNS 流量。DNS 数据包包含许多字段和标头,可以隐藏数据。通常称为 DNS 隧道,对手可能会滥用 DNS 与他们控制的系统在受害者网络内进行通信,同时模仿正常、预期的流量。(引用: PAN DNS Tunneling)(引用: Medium DnsTunneling) |
| T1590.003 | 网络信任依赖 | 对手可能会收集有关受害者网络信任依赖的信息,以在目标过程中使用。有关网络信任的信息可能包括各种详细信息,包括具有连接(并可能提升)网络访问权限的第二方或第三方组织/域(例如:托管服务提供商、承包商等)。 对手可能通过多种方式收集这些信息,例如通过钓鱼获取信息进行直接引诱。有关网络信任的信息也可能通过在线或其他可访问的数据集暴露给对手(例如:搜索开放技术数据库)。(引用: Pentesting AD Forests) 收集这些信息可能会揭示其他形式的侦察机会(例如:主动扫描或搜索开放网站/域),建立操作资源(例如:获取基础设施或妥协基础设施),和/或初始访问(例如:受信任关系)。 |
| T1590.004 | 网络拓扑 | 对手可能会收集有关受害者网络拓扑的信息,以在目标过程中使用。网络拓扑信息可能包括各种详细信息,包括外部和内部网络环境的物理和/或逻辑安排。这些信息还可能包括有关网络设备(网关、路由器等)和其他基础设施的具体信息。 对手可能通过多种方式收集这些信息,例如通过主动扫描或钓鱼获取信息进行直接收集操作。有关网络拓扑的信息也可能通过在线或其他可访问的数据集暴露给对手(例如,搜索受害者拥有的网站)。(引用: DNS Dumpster) 收集这些信息可能会揭示其他形式的侦察机会(例如,搜索开放技术数据库或搜索开放网站/域),建立操作资源(例如,获取基础设施或妥协基础设施),和/或初始访问(例如,外部远程服务)。 |
| T1590.005 | IP地址 | 对手可能会收集受害者的IP地址,以便在目标过程中使用。公共IP地址可能按块分配给组织,或按一系列连续地址分配。有关分配的IP地址的信息可能包括各种详细信息,例如哪些IP地址正在使用中。IP地址还可以使对手推断出有关受害者的其他详细信息,例如组织规模、物理位置、互联网服务提供商以及其公开基础设施的托管位置。 对手可能通过各种方式收集这些信息,例如通过主动扫描或钓鱼获取信息进行直接收集。有关分配的IP地址的信息也可能通过在线或其他可访问的数据集(例如搜索开放技术数据库)暴露给对手。(引用: WHOIS)(引用: DNS Dumpster)(引用: Circl Passive DNS) 收集这些信息可能会揭示其他形式的侦察机会(例如主动扫描或搜索开放网站/域),建立操作资源(例如获取基础设施或妥协基础设施),和/或初始访问(例如外部远程服务)。 |
| T1590.006 | 网络安全设备 | 对手可能会收集有关受害者网络安全设备的信息,以便在目标过程中使用。有关网络安全设备的信息可能包括各种详细信息,例如已部署的防火墙、内容过滤器和代理/堡垒主机的存在和具体情况。对手还可能针对受害者网络入侵检测系统 (NIDS) 或其他与防御性网络安全操作相关的设备信息。 对手可能通过各种方式收集这些信息,例如通过主动扫描或钓鱼获取信息进行直接收集。(引用: Nmap Firewalls NIDS) 有关网络安全设备的信息也可能通过在线或其他可访问的数据集(例如搜索受害者拥有的网站)暴露给对手。收集这些信息可能会揭示其他形式的侦察机会(例如搜索开放技术数据库或搜索开放网站/域),建立操作资源(例如开发能力或获取能力),和/或初始访问(例如外部远程服务)。 |
| T1591 | 收集受害者组织信息 | 对手可能会收集有关受害者组织的信息,以在目标过程中使用。有关组织的信息可能包括各种详细信息,包括部门/部门的名称、业务操作的具体细节以及关键员工的角色和职责。 对手可能通过各种方式收集这些信息,例如通过钓鱼获取信息进行直接引诱。有关组织的信息也可能通过在线或其他可访问的数据集(例如社交媒体或搜索受害者拥有的网站)暴露给对手。(引用: ThreatPost Broadvoice Leak)(引用: SEC EDGAR Search) 收集这些信息可能会揭示其他形式的侦察机会(例如钓鱼获取信息或搜索开放网站/域),建立操作资源(例如建立账户或妥协账户),和/或初始访问(例如网络钓鱼或信任关系)。 |
| T1591.001 | 确定物理位置 | 攻击者可能会收集受害者的物理位置信息,以便在目标定位期间使用。有关目标组织物理位置的信息可能包括各种细节,包括关键资源和基础设施的位置。物理位置还可能表明受害者运营所在的法律管辖区和/或当局。 攻击者可能通过各种方式收集此信息,例如通过钓鱼获取信息直接获取。目标组织的物理位置也可能通过在线或其他可访问的数据集暴露给攻击者(例如:搜索受害者拥有的网站或社交媒体)。(引用:ThreatPost Broadvoice Leak)(引用:SEC EDGAR Search)收集此信息可能揭示其他形式的侦察机会(例如:钓鱼获取信息或搜索开放网站/域名),建立操作资源(例如:开发能力或获取能力),和/或初始访问(例如:钓鱼或硬件添加)。 |
| T1591.002 | 业务关系 | 对手可能会收集有关受害者业务关系的信息,以便在目标过程中使用。有关组织业务关系的信息可能包括各种详细信息,包括具有连接(并可能提升)网络访问权限的第二或第三方组织/域(例如托管服务提供商、承包商等)。此信息还可能揭示受害者硬件和软件资源的供应链和运输路径。 对手可能通过各种方式收集这些信息,例如通过钓鱼获取信息进行直接引诱。有关业务关系的信息也可能通过在线或其他可访问的数据集(例如社交媒体或搜索受害者拥有的网站)暴露给对手。(引用: ThreatPost Broadvoice Leak) 收集这些信息可能会揭示其他形式的侦察机会(例如钓鱼获取信息或搜索开放网站/域),建立操作资源(例如建立账户或妥协账户),和/或初始访问(例如供应链妥协、驱动器式妥协或受信任关系)。 |
| T1591.003 | 识别业务节奏 | 对手可能会收集有关受害者业务节奏的信息,以在目标过程中使用。有关组织业务节奏的信息可能包括各种详细信息,包括运营时间/每周的工作日。这些信息还可能揭示受害者硬件和软件资源的购买和发货时间/日期。 对手可能会通过多种方式收集这些信息,例如通过钓鱼获取信息进行直接引诱。有关业务节奏的信息也可能通过在线或其他可访问的数据集(例如,社交媒体或搜索受害者拥有的网站)暴露给对手。(引用: ThreatPost Broadvoice Leak) 收集这些信息可能会揭示其他形式的侦察机会(例如,钓鱼获取信息或搜索开放网站/域),建立操作资源(例如,建立账户或妥协账户),和/或初始访问(例如,供应链妥协或受信任关系) |
| T1591.004 | 识别角色 | 对手可能会收集有关受害者组织中身份和角色的信息,以在目标过程中使用。有关业务角色的信息可能会揭示各种可目标化的详细信息,包括关键人员的可识别信息以及他们可以访问的数据/资源。 对手可能会通过各种方式收集这些信息,例如通过钓鱼获取信息进行直接引诱。有关业务角色的信息也可能通过在线或其他可访问的数据集(例如:社交媒体或搜索受害者拥有的网站)暴露给对手。(引用: ThreatPost Broadvoice Leak) 收集这些信息可能会揭示其他形式的侦察机会(例如钓鱼获取信息或搜索开放网站/域),建立操作资源(例如建立账户或妥协账户),和/或初始访问(例如网络钓鱼)。 |
| T1592 | 收集受害者主机信息 | 对手可能会收集有关受害者主机的信息,以便在目标过程中使用。有关主机的信息可能包括各种详细信息,包括管理数据(例如:名称、分配的IP、功能等)以及有关其配置的具体信息(例如:操作系统、语言等)。 对手可能会通过各种方式收集这些信息,例如通过主动扫描或钓鱼获取信息进行直接收集操作。对手还可能会入侵网站,然后在其中包含旨在从访问者那里收集主机信息的恶意内容。(引用: ATT ScanBox) 有关主机的信息也可能通过在线或其他可访问的数据集(例如:社交媒体或搜索受害者拥有的网站)暴露给对手。收集这些信息可能会揭示其他形式的侦察(例如:搜索开放网站/域或搜索开放技术数据库)、建立操作资源(例如:开发能力或获取能力)和/或初始访问(例如:供应链妥协或外部远程服务)的机会。 对手还可能通过User-Agent HTTP头收集受害者主机信息,这些头会发送到服务器以标识请求用户代理的应用程序、操作系统、供应商和/或版本。这可以用来告知对手的后续行动。例如,对手可能会检查用户代理以获取请求操作系统,然后仅为目标操作系统提供恶意软件,而忽略其他操作系统。(引用: TrellixQakbot) |
| T1592.001 | 硬件 | 对手可能会收集有关受害者主机硬件的信息,以在目标过程中使用。有关硬件基础设施的信息可能包括各种详细信息,例如特定主机上的类型和版本,以及可能表明增加了防御保护的附加组件的存在(例如:卡/生物识别读卡器、专用加密硬件等)。 对手可能通过多种方式收集这些信息,例如通过主动扫描(例如:主机名、服务器横幅、用户代理字符串)或钓鱼获取信息进行直接收集操作。对手还可能会入侵网站,然后在其中包含旨在从访问者那里收集主机信息的恶意内容。(引用: ATT ScanBox) 有关硬件基础设施的信息也可能通过在线或其他可访问的数据集(例如:工作招聘、网络图、评估报告、简历或采购发票)暴露给对手。收集这些信息可能会揭示其他形式的侦察机会(例如:搜索开放网站/域或搜索开放技术数据库),建立操作资源(例如:开发能力或获取能力),和/或初始访问(例如:硬件供应链妥协或硬件添加)。 |
| T1592.002 | 软件 | 对手可能会收集有关受害者主机软件的信息,以在目标过程中使用。有关安装软件的信息可能包括各种详细信息,例如特定主机上的类型和版本,以及可能指示添加的防御保护(例如:防病毒、SIEM等)的附加组件的存在。 对手可能通过各种方式收集这些信息,例如通过主动扫描(例如:监听端口、服务器横幅、用户代理字符串)或钓鱼获取信息进行直接收集。对手还可能妥协网站,然后包含旨在从访问者那里收集主机信息的恶意内容。(引用: ATT ScanBox) 有关安装软件的信息也可能通过在线或其他可访问的数据集(例如:职位发布、网络图、评估报告、简历或采购发票)暴露给对手。收集这些信息可能会揭示其他形式的侦察机会(例如搜索开放网站/域或搜索开放技术数据库),建立操作资源(例如开发能力或获取能力),和/或初始访问(例如供应链妥协或外部远程服务)。 |
| T1592.003 | 固件 | 对手可能会收集有关受害者主机固件的信息,以在目标过程中使用。有关主机固件的信息可能包括各种详细信息,例如特定主机上的类型和版本,这些信息可用于推断有关环境中主机的更多信息(例如:配置、用途、年龄/补丁级别等)。 对手可能通过各种方式收集这些信息,例如通过钓鱼获取信息进行直接引诱。有关主机固件的信息可能仅通过在线或其他可访问的数据集(例如:职位发布、网络图、评估报告、简历或采购发票)暴露给对手。(引用: ArsTechnica Intel) 收集这些信息可能会揭示其他形式的侦察机会(例如搜索开放网站/域或搜索开放技术数据库),建立操作资源(例如开发能力或获取能力),和/或初始访问(例如供应链妥协或利用公共应用程序)。 |
| T1592.004 | 客户端配置 | 对手可能会收集有关受害者客户端配置的信息,以便在目标过程中使用。有关客户端配置的信息可能包括各种详细信息和设置,包括操作系统/版本、虚拟化、架构(例如:32位或64位)、语言和/或时区。 对手可能通过各种方式收集这些信息,例如通过主动扫描(例如:监听端口、服务器横幅、用户代理字符串)或钓鱼获取信息进行直接收集。对手还可能妥协网站,然后包含旨在从访问者那里收集主机信息的恶意内容。(引用: ATT ScanBox) 有关客户端配置信息也可能通过在线或其他可访问的数据集(例如:职位发布、网络地图、评估报告、简历或采购发票)暴露给对手。收集这些信息可能会揭示其他形式的侦察机会(例如:搜索开放网站/域或搜索开放技术数据库),建立操作资源(例如:开发能力或获取能力),和/或初始访问(例如:供应链妥协或外部远程服务)。 |
| T1593 | 搜索开放网站/域 | 对手可能会搜索自由可用的网站和/或域,以获取有关受害者的信息,这些信息可在目标过程中使用。有关受害者的信息可能在各种在线网站上可用,例如社交媒体、新网站或托管有关业务运营的信息的网站,如招聘或请求/奖励合同。(引用: Cyware Social Media)(引用: SecurityTrails Google Hacking)(引用: ExploitDB GoogleHacking) 对手可能会在不同的在线网站中搜索,具体取决于他们希望收集的信息。这些来源的信息可能会揭示其他形式的侦察机会(例如钓鱼获取信息或搜索开放技术数据库),建立操作资源(例如建立账户或妥协账户),和/或初始访问(例如外部远程服务或网络钓鱼)。 |
| T1593.001 | 社交媒体 | 对手可能会搜索社交媒体以获取有关受害者的信息,这些信息可在目标过程中使用。社交媒体网站可能包含有关受害者组织的各种信息,例如业务公告以及员工的角色、位置和兴趣。 对手可能会在不同的社交媒体网站中搜索,具体取决于他们希望收集的信息。威胁行为者可能会被动地从这些网站收集数据,并使用收集的信息创建假冒的个人资料/群组,以诱使受害者透露特定信息(即,服务钓鱼)。(引用: Cyware Social Media) 来自这些来源的信息可能会揭示其他形式的侦察机会(例如钓鱼获取信息或搜索开放技术数据库),建立操作资源(例如建立账户或妥协账户),和/或初始访问(例如通过服务进行鱼叉式网络钓鱼)。 |
| T1593.002 | 搜索引擎 | 对手可能会使用搜索引擎收集有关受害者的信息,以便在目标过程中使用。搜索引擎服务通常会抓取在线网站以索引内容,并可能为用户提供专门的语法以搜索特定关键字或特定类型的内容(即文件类型)。(引用: SecurityTrails Google Hacking)(引用: ExploitDB GoogleHacking) 对手可能会根据他们希望收集的信息制作各种搜索引擎查询。威胁行为者可能会使用搜索引擎收集有关受害者的一般信息,以及使用专门的查询查找敏感信息泄露,例如网络详细信息或凭据。这些来源的信息可能会揭示其他形式的侦察机会(例如钓鱼获取信息或搜索开放技术数据库),建立操作资源(例如建立账户或妥协账户),和/或初始访问(例如有效账户或网络钓鱼)。 |
| T1593.003 | 代码库 | 对手可能会利用代码库收集有价值的信息。代码库是存储源代码并自动化软件构建的工具/服务。它们可能托管在内部或第三方网站上,如 Github、GitLab、SourceForge 和 BitBucket。用户通常通过 Web 应用程序或命令行实用程序(如 git)与代码库交互。 一旦对手获得对受害者网络或私有代码库的访问权限,他们可能会收集敏感信息,例如专有源代码或包含在软件源代码中的不安全凭据。访问软件源代码可能允许对手开发漏洞利用,而凭据可能提供使用有效账户访问其他资源的权限。(引用: Wired Uber Breach)(引用: Krebs Adobe) 注意: 这与代码库不同,后者侧重于通过公共代码库进行侦察。 |
| T1594 | 搜索受害者拥有的网站 | 对手可能会搜索受害者拥有的网站以获取可以在目标过程中使用的信息。受害者拥有的网站可能包含各种详细信息,包括部门/部门名称、物理位置和关键员工的数据信息,例如姓名、角色和联系信息(例如,电子邮件地址)。这些网站还可能包含有关业务运营和关系的详细信息。(引用: Comparitech Leak) 对手可能会搜索受害者拥有的网站以收集可操作的信息。这些来源的信息可能会揭示其他形式的侦察机会(例如,钓鱼获取信息或搜索开放技术数据库),建立操作资源(例如,建立帐户或妥协帐户),和/或初始访问(例如,受信任关系或网络钓鱼)。 除了手动浏览网站外,对手还可能尝试识别隐藏的目录或文件,这些目录或文件可能包含其他敏感信息或易受攻击的功能。他们可能通过自动化活动(例如,单词列表扫描)以及利用文件(例如 sitemap.xml 和 robots.txt)来实现这一点。(引用: Perez Sitemap XML 2023)(引用: Register Robots TXT 2015) |
| T1595 | 主动扫描 | 对手可能会执行主动侦察扫描,以收集可用于目标过程的信息。主动扫描是指对手通过网络流量探测受害者基础设施,而不是其他不涉及直接交互的侦察形式。 对手可能会根据他们希望收集的信息执行不同形式的主动扫描。这些扫描可以通过各种方式进行,包括使用网络协议的本机功能,例如 ICMP。(引用: Botnet Scan)(引用: OWASP Fingerprinting) 来自这些扫描的信息可能会揭示其他形式的侦察机会(例如:搜索开放网站/域或搜索开放技术数据库),建立操作资源(例如:开发能力或获取能力),和/或初始访问(例如:外部远程服务或利用面向公众的应用程序)。 |
| T1595.001 | 扫描IP块 | 对手可能会扫描受害者的IP块以收集可用于目标的信息。公共IP地址可能按块或一系列连续地址分配给组织。 对手可能会扫描IP块以收集受害者网络信息,例如哪些IP地址正在使用以及有关分配这些地址的主机的更详细信息。扫描可能从简单的ping(ICMP请求和响应)到更复杂的扫描,可能通过服务器横幅或其他网络工件揭示主机软件/版本。(引用: Botnet Scan) 来自这些扫描的信息可能揭示其他形式的侦察机会(例如搜索开放网站/域或搜索开放技术数据库),建立操作资源(例如开发能力或获取能力),和/或初始访问(例如外部远程服务)。 |
| T1595.002 | 漏洞扫描 | 对手可能会扫描受害者的漏洞,以便在目标过程中使用。漏洞扫描通常检查目标主机/应用程序的配置(例如:软件和版本)是否可能与对手可能使用的特定漏洞利用目标一致。 这些扫描还可能包括更广泛的尝试,以收集受害者主机信息,这些信息可用于识别更常见的、可利用的漏洞。漏洞扫描通常通过服务器横幅、监听端口或其他网络工件收集运行的软件和版本号。(引用: OWASP Vuln Scanning) 来自这些扫描的信息可能会揭示其他形式的侦察机会(例如:搜索开放网站/域或搜索开放技术数据库),建立操作资源(例如:开发能力或获取能力),和/或初始访问(例如:利用面向公众的应用程序)。 |
| T1595.003 | 字典扫描 | 对手可能会使用暴力破解和爬行技术迭代探测基础设施。虽然这种技术使用的方法类似于暴力破解,但其目标是识别内容和基础设施,而不是发现有效凭证。扫描中使用的字典可能包含通用的、常用的名称和文件扩展名,或特定软件的术语。对手还可能使用从其他侦察技术(例如:收集受害者组织信息或搜索受害者拥有的网站)中收集的数据创建自定义的、目标特定的字典。 例如,对手可能会使用Web内容发现工具,如Dirb、DirBuster和GoBuster,以及通用或自定义字典来枚举网站的页面和目录。(引用: ClearSky Lebanese Cedar Jan 2021) 这可以帮助他们发现旧的、易受攻击的页面或隐藏的管理门户,这些页面或门户可能成为进一步操作的目标(例如:利用公共应用程序或暴力破解)。 由于云存储解决方案通常使用全局唯一名称,对手还可能使用目标特定的字典和工具,如s3recon和GCPBucketBrute,来枚举云基础设施上的公共和私有存储桶。(引用: S3Recon GitHub)(引用: GCPBucketBrute) 一旦发现存储对象,对手可能会利用来自云存储的数据来访问有价值的信息,这些信息可以被外传或用于提升权限和横向移动。 |
| T1596 | 搜索开放技术数据库 | 对手可能会搜索自由可用的技术数据库,以获取有关受害者的信息,以便在目标过程中使用。有关受害者的信息可能在在线数据库和存储库中可用,例如域/证书的注册以及从流量和/或扫描中收集的网络数据/工件的公共集合。(引用: WHOIS)(引用: DNS Dumpster)(引用: Circl Passive DNS)(引用: Medium SSL Cert)(引用: SSLShopper Lookup)(引用: DigitalShadows CDN)(引用: Shodan) 对手可能会根据他们希望收集的信息在不同的开放数据库中进行搜索。来自这些来源的信息可能会揭示其他形式的侦察机会(例如:钓鱼获取信息或搜索开放网站/域),建立操作资源(例如:获取基础设施或妥协基础设施),和/或初始访问(例如:外部远程服务或受信任关系)。 |
| T1596.001 | DNS/被动 DNS | 对手可能会搜索 DNS 数据以获取有关受害者的信息,这些信息可以在目标过程中使用。DNS 信息可能包括各种详细信息,包括注册的名称服务器以及描述目标子域、邮件服务器和其他主机寻址的记录。 对手可能会搜索 DNS 数据以收集可操作的信息。威胁行为者可以直接查询目标组织的名称服务器,或搜索记录的 DNS 查询响应的集中存储库(称为被动 DNS)。(引用: DNS Dumpster)(引用: Circl Passive DNS) 对手还可能寻求和针对暴露有关内部网络信息的 DNS 配置错误/泄漏。这些来源的信息可能会揭示其他形式的侦察机会(例如,搜索受害者拥有的网站或搜索开放网站/域),建立操作资源(例如,获取基础设施或妥协基础设施),和/或初始访问(例如,外部远程服务或受信任关系)。 |
| T1596.002 | WHOIS | 对手可能会搜索公共 WHOIS 数据以获取有关受害者的信息,这些信息可以在目标过程中使用。WHOIS 数据由负责分配和分配互联网资源(如域名)的区域互联网注册机构(RIR)存储。任何人都可以查询 WHOIS 服务器以获取有关注册域的信息,例如分配的 IP 块、联系信息和 DNS 名称服务器。(引用: WHOIS) 对手可能会搜索 WHOIS 数据以收集可操作的信息。威胁行为者可以使用在线资源或命令行实用程序来搜索 WHOIS 数据以获取有关潜在受害者的信息。这些来源的信息可能会揭示其他形式的侦察机会(例如,主动扫描或钓鱼获取信息),建立操作资源(例如,获取基础设施或妥协基础设施),和/或初始访问(例如,外部远程服务或受信任关系)。 |
| T1596.003 | 数字证书 | 对手可能会创建自签名的SSL/TLS证书,这些证书可以在目标过程中使用。SSL/TLS证书旨在建立信任。它们包括有关密钥的信息、有关其所有者身份的信息以及验证证书内容正确性的实体的数字签名。如果签名有效,并且检查证书的人信任签名者,那么他们就知道可以使用该密钥与其所有者通信。在自签名的情况下,数字证书将缺乏与第三方证书颁发机构(CA)签名相关的信任元素。 对手可能会创建自签名的SSL/TLS证书,以进一步他们的操作,例如加密C2流量(例如:非对称加密与Web协议)或甚至启用中间人攻击(如果添加到信任根目录中,即安装根证书)。 在创建数字证书后,对手可能会在其控制的基础设施上安装该证书(参见安装数字证书)。 |
| T1596.004 | 内容分发网络 | 对手可能会搜索有关受害者的内容分发网络 (CDN) 数据,这些数据可用于目标过程中。CDN 允许组织从分布式、负载均衡的服务器阵列中托管内容。CDN 还允许组织根据请求者的地理区域自定义内容交付。 对手可能会搜索 CDN 数据以收集可操作的信息。威胁行为者可以使用在线资源和查询工具来收集有关 CDN 中内容服务器的信息。对手还可能寻找和利用 CDN 配置错误,这些错误会泄露不打算托管的敏感信息和/或没有与组织网站托管内容相同的保护机制(例如:登录门户)。(引用: DigitalShadows CDN) 来自这些来源的信息可能会揭示其他形式的侦察机会(例如 主动扫描 或 搜索开放网站/域),建立操作资源(例如 获取基础设施 或 妥协基础设施),和/或初始访问(例如 驱动器式妥协)。 |
| T1596.005 | 扫描数据库 | 攻击者可能会在公共扫描数据库中搜索有关受害者的信息,以便在目标定位期间使用。各种在线服务持续发布互联网扫描/调查的结果,通常收集诸如活动IP地址、主机名、开放端口、证书甚至服务器横幅等信息。(引用:Shodan) 攻击者可能会搜索扫描数据库以收集可操作的信息。威胁行为者可以使用在线资源和查找工具从这些服务中收集信息。攻击者可能会寻找有关他们已经识别的目标的信息,或使用这些数据集来发现成功入侵的机会。来自这些来源的信息可能揭示其他形式的侦察机会(例如:主动扫描或搜索开放网站/域名),建立操作资源(例如:开发能力或获取能力),和/或初始访问(例如:外部远程服务或利用面向公众的应用程序)。 |
| T1597 | 搜索封闭来源 | 对手可能会搜索和收集关于受害者的信息,这些信息来自封闭的(例如,付费、私有或其他非自由可用的)来源,可以在目标过程中使用。关于受害者的信息可能可以从信誉良好的私人来源和数据库中购买,例如付费订阅技术/威胁情报数据的订阅。对手也可能从不太可信的来源购买信息,例如暗网或网络犯罪黑市。(引用: ZDNET Selling Data) 对手可能会在不同的封闭数据库中搜索,具体取决于他们希望收集的信息。这些来源的信息可能会揭示其他形式的侦察机会(例如钓鱼获取信息或搜索开放网站/域),建立操作资源(例如开发能力或获取能力),和/或初始访问(例如外部远程服务或有效账户)。 |
| T1597.001 | 威胁情报供应商 | 对手可能会搜索威胁情报供应商的私人数据,以获取可用于目标过程的信息。威胁情报供应商可能提供付费的订阅源或门户,提供比公开报告更多的数据。尽管敏感细节(例如客户名称和其他标识符)可能被编辑,但这些信息可能包含有关漏洞的趋势,例如目标行业、归因声明和成功的 TTP/对策。(引用: D3Secutrity CTI Feeds) 对手可能会在私人威胁情报供应商数据中搜索可操作的信息。威胁行为者可能会寻找有关其自身活动的信息/指标,以及其他对手进行的活动,这些活动可能与其目标行业、能力/目标或其他操作关注点一致。供应商报告的信息还可能揭示其他形式的侦察机会(例如:搜索开放网站/域),建立操作资源(例如:开发能力 或 获取能力),和/或初始访问(例如:利用面向公众的应用程序 或 外部远程服务)。 |
| T1597.002 | 购买技术数据 | 对手可能会购买有关受害者的技术信息,这些信息可以在目标过程中使用。有关受害者的信息可能会在信誉良好的私人来源和数据库中购买,例如订阅扫描数据库或其他数据聚合服务的付费订阅。对手还可能从信誉较差的来源(例如暗网或网络犯罪黑市)购买信息。 对手可能会购买有关其已识别目标的信息,或使用购买的数据发现成功入侵的机会。威胁行为者可能会从购买的数据中收集各种技术细节,包括但不限于员工联系信息、凭据或有关受害者基础设施的具体信息。(引用: ZDNET Selling Data) 来自这些来源的信息可能会揭示其他形式的侦察机会(例如,钓鱼获取信息 或 搜索开放网站/域),建立操作资源(例如,开发能力 或 获取能力),和/或初始访问(例如,外部远程服务 或 有效帐户)。 |
| T1598 | 钓鱼获取信息 | 对手可能会发送钓鱼消息以获取可在目标过程中使用的敏感信息。钓鱼获取信息是试图欺骗目标透露信息,通常是凭证或其他可操作的信息。钓鱼获取信息不同于网络钓鱼,因为目标是从受害者那里收集数据,而不是执行恶意代码。 所有形式的钓鱼都是电子传递的社会工程。钓鱼可以是有针对性的,称为鱼叉式网络钓鱼。在鱼叉式网络钓鱼中,对手将针对特定个人、公司或行业。更一般地,对手可以进行非针对性的钓鱼,例如大规模凭证收集活动。 对手还可能尝试通过电子邮件、即时消息或其他电子对话方式直接获取信息。(引用: ThreatPost Social Media Phishing)(引用: TrendMictro Phishing)(引用: PCMag FakeLogin)(引用: Sophos Attachment)(引用: GitHub Phishery) 受害者还可能收到钓鱼消息,指示他们拨打电话号码,对手在电话中尝试收集机密信息。(引用: Avertium callback phishing) 钓鱼获取信息通常涉及社会工程技术,例如冒充有理由收集信息的来源(例如建立账户或妥协账户)和/或发送多个看似紧急的消息。另一种实现此目的的方法是伪造或欺骗(引用: Proofpoint-spoof)发件人的身份,这可以用来欺骗人类接收者以及自动化安全工具。(引用: cyberproof-double-bounce) 钓鱼获取信息还可能涉及规避技术,例如删除或操纵被滥用发送消息的被破坏账户的电子邮件或元数据/头部(例如,电子邮件隐藏规则)。(引用: Microsoft OAuth Spam 2022)(引用: Palo Alto Unit 42 VBA Infostealer 2014) |
| T1598.001 | 通过服务的鱼叉式网络钓鱼 | 对手可能通过第三方服务发送鱼叉式网络钓鱼消息,以获取在目标定位期间使用的敏感信息。鱼叉式网络钓鱼是试图欺骗目标泄露信息,通常是凭据或其他可操作的信息。鱼叉式网络钓鱼通常涉及社交工程技术,例如冒充有理由收集信息的来源(例如建立账户或破坏账户)和/或发送多个看似紧急的消息。 所有形式的鱼叉式网络钓鱼都是针对特定个人、公司或行业的电子社交工程。在这种情况下,对手通过各种社交媒体服务、个人网络邮件和其他非企业控制的服务发送消息。(引用: ThreatPost Social Media Phishing) 这些服务的安全策略可能比企业更宽松。与大多数鱼叉式网络钓鱼一样,目标是与目标建立关系或以某种方式引起目标的兴趣。对手可能会创建虚假的社交媒体账户并向员工发送潜在工作机会的消息。这样做可以合理地询问有关服务、策略和环境中运行的软件的信息。对手还可能使用先前侦察工作的信息(例如社交媒体或搜索受害者拥有的网站)来制作有说服力和可信的诱饵。 |
| T1598.004 | 语音鱼叉式网络钓鱼 | 对手可能会使用语音通信最终获得对受害者系统的访问权限。语音鱼叉式网络钓鱼是鱼叉式网络钓鱼的一种特定变体。它与其他形式的鱼叉式网络钓鱼不同,因为它使用操纵用户通过电话或其他形式的语音通信提供系统访问权限。鱼叉式网络钓鱼通常涉及社会工程技术,例如冒充可信来源(例如冒充)和/或为接收者制造紧迫感或警报。 所有形式的网络钓鱼都是电子传递的社会工程。在这种情况下,对手不会直接向受害者发送恶意软件,而是依赖用户执行进行传递和执行。例如,受害者可能会收到网络钓鱼消息,指示他们拨打一个电话号码,在那里他们被引导访问恶意 URL、下载恶意软件,(引用: sygnia Luna Month)(引用: CISA Remote Monitoring and Management Software) 或在其计算机上安装对手可访问的远程管理工具(远程访问软件)。(引用: Unit42 Luna Moth) 对手还可能将语音钓鱼与多因素认证请求生成结合使用,以诱骗用户透露 MFA 凭据或接受身份验证提示。(引用: Proofpoint Vishing) |