凭证

对手可能会收集可在目标过程中使用的凭证。对手收集的账户凭证可能是直接与目标受害组织相关的，或试图利用用户在个人和业务账户中使用相同密码的倾向。 对手可能通过各种方式从潜在受害者那里收集凭证，例如通过钓鱼获取信息进行直接引诱。对手还可能妥协网站，然后添加旨在从访问者那里收集网站认证 Cookie 的恶意内容。(引用: ATT ScanBox) (引用: Register Deloitte)(引用: Register Uber)(引用: Detectify Slack Tokens)(引用: Forbes GitHub Creds)(引用: GitHub truffleHog)(引用: GitHub Gitrob)(引用: CNET Leaks) 在基于带外通信的多因素认证 (MFA) 使用的情况下，对手可能会妥协服务提供商以获取 MFA 代码和一次性密码 (OTP)。(引用: Okta Scatter Swine 2022) 凭证信息也可能通过泄露到在线或其他可访问的数据集（例如：搜索引擎、泄露转储、代码存储库等）暴露给对手。对手可能会从暗网市场（如 Russian Market 和 2easy）购买凭证，或通过访问分发信息窃取恶意软件日志的 Telegram 频道获取凭证。(引用: Bleeping Computer 2easy 2021)(引用: SecureWorks Infostealers 2023)(引用: Bleeping Computer Stealer Logs 2023) 收集这些信息可能会揭示其他形式的侦察机会（例如搜索开放网站/域或钓鱼获取信息），建立操作资源（例如妥协账户），和/或初始访问（例如外部远程服务或有效账户）。