网络嗅探

对手可能会被动嗅探网络流量，以捕获有关环境的信息，包括通过网络传输的认证材料。网络嗅探是指使用系统上的网络接口监视或捕获通过有线或无线连接发送的信息。对手可能会将网络接口置于混杂模式，以被动访问网络上的数据，或使用镜像端口捕获大量数据。 通过此技术捕获的数据可能包括用户凭据，特别是通过不安全、未加密协议发送的凭据。名称服务解析中毒技术，如LLMNR/NBT-NS中毒和SMB中继，也可以用于捕获网站、代理和内部系统的凭据，通过将流量重定向到对手。 网络嗅探可能会揭示配置细节，如运行的服务、版本号和其他网络特征（例如IP地址、主机名、VLAN ID），这些信息对于后续横向移动和/或防御规避活动是必要的。对手可能还会在中间人攻击（AiTM）期间利用网络嗅探被动获取有关环境的更多知识。 在基于云的环境中，对手仍然可以使用流量镜像服务嗅探虚拟机的网络流量。例如，AWS流量镜像、GCP数据包镜像和Azure vTap允许用户定义指定的实例以收集流量，并将收集的流量发送到指定的目标。(引用: AWS Traffic Mirroring)(引用: GCP Packet Mirroring)(引用: Azure Virtual Network TAP) 通常，由于在负载均衡器级别使用TLS终止以减少加密和解密流量的负担，大部分流量将是明文的。(引用: Rhino Security Labs AWS VPC Traffic Mirroring)(引用: SpecterOps AWS Traffic Mirroring) 对手然后可以使用数据传输到云账户等外传技术访问嗅探到的流量。(引用: Rhino Security Labs AWS VPC Traffic Mirroring) 在网络设备上，对手可能会使用网络设备CLI命令（如monitor capture）执行网络捕获。(引用: US-CERT-TA18-106A)(引用: capture_embedded_packet_on_software)