| T1592 |
收集受害者主机信息 |
在攻击受害者之前,攻击需要收集有关受害者宿主的信息,这些信息可在渗透期间使用。 有关主机的信息可能包括各种详细信息,包括管理数据(例如:名称,分配的IP,功能等),以及有关其配置的详细信息(例如:操作系统,语言等)。 攻击者通过多种方式收集这些信息,例如通过主动扫描或网络钓鱼诱骗直接收集信息。攻击者还可能破坏一些站点,然后在站点中植入用来收集访问者主机信息的恶意内容。主机的信息也可能通过在线或其他可访问的数据集(例如:社交媒体或受害人拥有的网站)暴露给攻击者。 收集这些信息可能也会发现其他形式的侦察(例如:搜索开放的网站/域或搜索开放的技术数据库),建立运营资源(例如:开发能力或获得能力)或者初始访问(例如:供应链妥协) 或外部远程服务)。 |
| T1592.001 |
收集受害者主机:硬件信息 |
主机硬件信息包括各种详细信息,如特定主机上的类型和版本、其它附加的保护组件(例如:读卡器/生物特征识别器,专用加密硬件等)。 攻击者可以通过各种方式收集这些信息,例如通过主动扫描(例如:主机名,服务器厂商,用户代理信息)或网络钓鱼诱骗直接收集操作。攻击者还可能破坏一些站点,然后在站点中植入用来收集访问者主机信息的恶意内容。硬件信息的暴露也可能通过在线服务或其他可访问的数据集中(例如:职位发布,网络地图,评估报告,履历表或购买发票)。收集这些信息可能会揭示其他形式的侦察机会(例如:搜索开放网站/域或搜索开放技术数据库)、建立运营资源(例如:开发能力或获得能力)和/或初始访问(例如:妥协硬件供应链或硬件添加)。 |
| T1592.002 |
收集受害者主机:软件信息 |
受害主机相关的已安装软件信息包括各种详细信息,例如特定主机上的类型和版本,以及是否存在增加防御保护的其他组件(例如,防病毒,SIEM等)信息。 攻击者通过各种方式收集此信息,例如通过主动扫描(例如:侦听端口,服务器横幅,用户代理信息)或网络钓鱼诱骗直接收集操作。攻击者还可能破坏一些站点,然后在站点中植入用来收集访问者主机信息的恶意内容。已安装软件的信息还可能通过在线或其他可访问的数据集(例如:职位发布,网络地图,评估报告,简历或购买发票)向攻击者公开。收集这些信息可能会揭示其他形式的侦察机会(例如:搜索开放网站/域或搜索开放技术数据库),建立运营资源(例如:开发能力或获得能力),和/或初始访问(例如:供应链妥协或外部远程服务)。 |
| T1592.003 |
收集受害者主机:固件信息 |
受害主机相关的固件信息可能包括各种详细信息,例如特定主机上的类型和版本,这些信息可用于推断有关环境中主机的更多信息(例如:配置,用途,使用期限/补丁程序级别等)。 攻击者可以通过多种方式收集此信息,例如通过“网络钓鱼诱骗”直接诱捕。 关于主机固件的信息只能通过在线或其他可访问的数据集(例如:职位发布,网络地图,评估报告,履历表或购买发票)暴露给攻击者。收集此信息可能会为其他形式的侦察(例如:搜索开放网站/域或搜索开放技术数据库)、建立运营资源(例如:开发能力或获得能力)和/或初始访问(例如:供应链妥协或利用面向公众的应用程序)。 |
| T1592.004 |
收集受害者主机:客户端配置信息 |
受害主机相关的客户端配置的信息可能包括各种详细信息和设置,包括操作系统/版本,虚拟化,体系结构(例如32位或64位),语言和时区。 攻击者可以通过各种方式收集此信息,例如通过主动扫描(例如:侦听端口,服务器横幅,用户代理信息)或网络钓鱼诱骗直接收集操作。攻击者还可能破坏一些站点,然后在站点中植入用来收集访问者主机信息的恶意内容。有关客户端配置的信息也可以通过在线或其他可访问的数据集(例如:职位发布,网络地图,评估报告,简历或购买发票)向攻击者公开。收集这些信息可能会揭示其他形式的侦察的机会(例如:搜索开放的网站/域或搜索开放的技术数据库),建立运营资源(例如:开发能力或获得能力)和/或初始访问(例如:供应链妥协)或外部远程服务)。 |
| T1594 |
搜索受害人拥有的网站 |
在攻击受害者之前,攻击者可能会搜索受害者拥有的网站,以获取有关在确定目标期间可以使用的受害者的信息。受害者拥有的网站可能包含各种详细信息,包括部门/部门的名称,实际位置以及有关关键员工的数据,例如姓名,职务和联系信息(例如:电子邮件地址)。这些站点可能还具有突出显示业务运营和关系的详细信息。攻击者可以搜索受害者拥有的网站以收集可用的信息。这些来源提供的信息可能会揭示其他形式的侦察机会(例如:网络钓鱼以获取信息或搜索开放的技术数据库),建立运营资源(例如:建立帐户或损害帐户)或初始访问(例如:信任关系或网络钓鱼)。 |
| T1589 |
收集受害者身份信息 |
受害组织的身份信息包括个人数据(例如:员工姓名,电子邮件地址等)以及诸如证书之类的敏感信息。 攻击者可以通过多种方式收集此信息,例如通过“网络钓鱼诱骗”直接诱捕。 有关受害者的信息也可以通过在线或其他可访问的数据集(例如:社交媒体或受害人拥有的搜索网站)暴露给攻击者。收集这些信息可能会揭示其他形式的侦察机会(例如:搜索开放网站/域或网络钓鱼信息),建立运营资源(例如:妥协帐户)和/或初始访问(例如:网络钓鱼或有效帐户)。 |
| T1589.001 |
收集受害者身份信息:证书信息 |
攻击者可以收集目标受害者组织直接相关的帐户凭据,也可以利用受害者个人和商用账户密码趋同的特点,收集到受害组织的密码信息。 攻击者可以通过各种方式从潜在受害者那里收集凭据,例如通过网络钓鱼信息直接获取。攻击者还可能破坏网站,然后包含旨在从访问者那里收集网站身份验证 cookie 的恶意内容。凭据信息也可能通过泄露到在线或其他可访问的数据集(例如:搜索引擎、漏洞转储、代码存储库等)而暴露给攻击者。攻击者也可以从暗网或其他黑市购买凭证。收集这些信息可能会为其他形式的侦察提供机会(例如:搜索开放网站/域或网络钓鱼信息)、建立运营资源(例如:妥协帐户)和/或初始访问(例如:外部远程服务或有效帐户)。 |
| T1589.002 |
收集受害者身份信息:电子邮件地址 |
受害组织内部的邮件系统,可能存在提供面向公众的电子邮件基础结构和员工地址。 通过在线或其他可访问的数据集(例如:社交媒体或受害人拥有的网站)公开,攻击者可以轻松地收集电子邮件地址。收集此信息可能会为其他形式的侦察(例如:搜索开放网站/域或网络钓鱼信息)、建立运营资源(例如:电子邮件帐户)和/或初始访问(例如:网络钓鱼)。 |
| T1589.003 |
收集受害者身份信息:员工姓名信息 |
员工姓名用于制作员工的电子邮件地址,用来辅助在其他侦察工作中或者制作比较可信的诱饵。 攻击者很容易收集员工的姓名,因为它们很容通过在线或其他可访问的数据集(例如:社交媒体或受害人拥有的网站)中获得。收集此信息可能会为其他形式的侦察(例如:搜索开放网站/域或网络钓鱼信息)、建立运营资源(例如:妥协帐户)和/或初始访问(例如:网络钓鱼或有效帐户)。 |
| T1596 |
搜索开放的技术数据库 |
在攻击受害者之前,攻击者可以搜索免费可用的技术数据库,以获取有关在目标确定期间可以使用的受害者信息。有关受害者的信息可以从在线数据库和存储库中获得,例如域/证书的注册以及从流量或扫描收集的网络数据/工件的公共集合。 攻击者可以根据他们想要收集的信息在不同的开放式数据库中进行搜索。这些来源提供的信息可能会揭示其他形式的侦察机会(例如:网络钓鱼以获取信息或搜索开放的网站/域),建立运营资源(例如:获取基础设施或破坏基础设施)或初始访问(例如:外部远程服务或信任关系)。 |
| T1596.001 |
搜索开放的技术数据库:DNS /被动DNS |
在攻击受害者之前,攻击者可以查询DNS数据,以获取有关在目标确定期间可以使用的受害者信息。DNS信息可能包括各种详细信息,包括已注册的名称服务器以及列出目标子域、邮件服务器和其他主机地址的记录。 攻击者可以搜索DNS数据以收集可操作的信息。攻击者可以直接查询目标组织的名称服务器,也可以搜索记录的DNS查询响应的集中存储库(称为被动DNS)。攻击者还可能寻找并锁定DNS错误配置/泄漏,从而获取泄露的内部网络的信息。这些来源提供的信息可能会揭示其他形式的侦察机会(例如:搜索受害人拥有的网站或搜索开放的网站/域),建立运营资源(例如:获取基础设施或妥协基础设施)或初步访问(例如:外部远程服务或信任关系)。 |
| T1596.002 |
搜索开放的技术数据库:WHOIS |
在攻击受害者之前,攻击者可以查询WHOIS公开数据,以获取有关在目标确定期间可以使用的受害者信息。WHOIS数据由区域互联网注册机构(RIR)存储,RIR负责分配和分配域名等互联网资源。任何人都可以查询WHOIS服务器以获取有关注册域的信息,例如分配的IP块,联系信息和DNS名称服务器。 攻击者可以查询WHOIS数据以收集可用的信息。攻击者可以使用在线资源或命令行实用程序通过WHOIS数据获取潜在受害者的信息。这些来源提供的信息可能会揭示其他形式的侦查机会(例如:主动扫描或网络钓鱼),建立运营资源(例如:获取基础结构或破坏基础结构)或初始访问(例如:外部远程服务或信任关系)。 |
| T1596.003 |
搜索开放的技术数据库:数字证书 |
在攻击受害者之前,攻击者可以搜索公共数字证书数据,以获取有关在目标确定期间可以使用的受害者信息。数字证书由证书颁发机构(CA)颁发,以加密方式验证签名内容的来源。这些证书,例如用于加密web流量(HTTPS SSL/TLS通信)的证书,包含有关注册组织的信息,如名称和位置。 攻击者可以搜索数字证书数据以收集可用的信息。攻击者可以使用在线资源和查找工具来收集有关证书的信息。数字证书数据也可以从组织签名的工件中获得(例如:加密的web流量使用的证书与内容一起提供)。这些来源提供的信息可能会揭示其他形式的侦察机会(例如:主动扫描或网络钓鱼),建立运营资源(例如:开发能力或获得能力)和/或初始访问(例如:外部远程服务或信任关系)。 |
| T1596.004 |
搜索开放的技术数据库:CDNs |
在攻击受害者之前,攻击者可以搜索有关目标受害者的内容分发网络(CDN)数据,以获取有关在目标确定期间可以使用的受害者信息。CDN允许组织托管来自分布式负载均衡服务器阵列的内容。CDN还可以允许组织根据请求者的地理区域自定义内容传递。 攻击者可以搜索CDN数据以收集可用的信息。攻击者可以使用在线资源和查找工具来收集有关CDN中内容服务器的信息。攻击者还可能寻求和定位CDN错误配置,这些CDN配置可能泄漏并不打算托管的系统的敏感信息或一些与组织网站上托管的内容相同的保护机制(例如登录门户)不同的系统。这些来源提供的信息可能会揭示其他形式的侦察机会(例如:主动扫描或搜索开放的网站/域),建立运营资源(例如:获取基础设施或损害基础设施)和/或初步访问(例如:偷渡妥协)。 |
| T1596.005 |
搜索开放的技术数据库:扫描数据库 |
在攻击受害者之前,攻击者可以搜索公共扫描数据库中的数据,以获取有关在目标确定期间可以使用的受害者信息。各种在线服务不断发布Internet扫描/调查的结果,经常收集诸如活动IP地址,主机名,开放端口,证书甚至服务器标识之类的信息。 攻击者可以搜索扫描数据库以收集可用的信息。攻击者可以使用在线资源和查找工具来从这些服务中收集信息。攻击者可能会寻找关于他们已经识别的目标的信息,或者使用这些数据集来发现成功入侵的机会。这些来源提供的信息可能会揭示其他形式的侦察机会(例如:主动扫描或搜索开放的网站/域),建立运营资源(例如:开发能力或获得能力)或初始访问(例如:外部远程服务或利用面向公众的应用程序)。 |
| T1595 |
主动扫描 |
主动扫描是指攻击者通过网络流量主动探查受害者基础设施的扫描。攻击者会根据他们收集到的信息而执行不同形式的扫描,这些扫描还可以通过多种方式执行,包括使用网络协议的本机功能,例如ICMP。这些扫描得到的信息可能会揭示其它形式的侦察。 |
| T1595.001 |
主动扫描:扫描IP段 |
攻击者可能扫描IP地址段,来获取受害者的网络基础信息,例如哪些IP是活跃的,以及这些IP的更详细的主机信息。扫描可能从最简单的扫描(ICMP请求和响应)到更细微的扫描,例如服务器扫描显示更多的主机/软件版本信息。 |
| T1595.002 |
主动扫描:漏洞扫描 |
漏洞扫描通常是试探目标主机或应用程序的配置是否存在可利用的可能,通常是监听服务器端口或其它网络特征来收集运行中的软件和版本信息,从这些信息中可揭示更多的侦察机会,例如扫描开放的网站、开源数据库。 |
| T1595.003 |
Wordlist 扫描 |
攻击者可能会使用暴力破解和爬行技术迭代地探测基础设施。虽然这种技术采用了与Brute Force类似的方法,但它的目标是识别内容和基础设施,而不是发现有效的凭据。这些扫描中使用的单词表可能包含通用的、常用的名称和文件扩展名或特定软件的术语。对手还可以使用从其他侦察技术(例如:收集受害者组织信息或搜索受害者拥有的网站)收集的数据创建自定义的、针对特定目标的单词表。例如,对手可能会使用Dirb、DirBuster和GoBuster等网络内容发现工具以及通用或自定义单词表来枚举网站的页面和目录。(引文:ClearSky黎巴嫩雪松2021年1月)这可以帮助他们发现可能成为进一步行动目标的旧的、易受攻击的页面或隐藏的管理门户(例如:利用面向公众的应用程序或暴力)。由于云存储解决方案通常使用全球唯一的名称,对手也可能使用特定目标的单词表和工具,如s3recon和GCPBucketBrute,来枚举云基础设施上的公共和私有存储桶。(引文:S3Recon GitHub)(引文:GCPBucketBrute)一旦发现存储对象,对手就可以利用云存储中的数据来访问有价值的信息,这些信息可以被泄露或用于升级权限和横向移动 |
| T1591 |
收集受害组织信息 |
目标组织的信息包括部门结构、部门名称,业务运营的详细信息以及关键员工的角色和职责。 攻击者可以通过各种方式收集此信息,例如通过网络钓鱼诱骗直接诱捕。组织信息也可以通过在线或其他可访问的数据集(例如,社交媒体或受害人拥有的网站)暴露给攻击者。收集这些信息可能会为其他形式的侦察(例如:网络钓鱼信息或搜索开放网站/域)、建立运营资源(例如:建立帐户或妥协帐户)和/或初始访问(例如:网络钓鱼或可信关系)。 |
| T1591.001 |
收集受害组织信息:受害组织固定的物理位置 |
目标组织的物理位置的信息可能包括关键资源和基础结构的存放位置信息。实际位置还可以表明受害者在哪个法律管辖区或机构内工作。 攻击者可以通过多种方式收集此信息,例如通过“网络钓鱼诱骗”直接诱捕。目标组织的实际位置也可能通过在线或其他可访问的数据集(例如:搜索受害人拥有的网站或社交媒体)暴露给攻击者。收集这些信息可能会为其他形式的侦察(例如:网络钓鱼信息或搜索开放网站/域)、建立运营资源(例如:开发能力或获取能力)和/或初始访问(例如:网络钓鱼或硬件添加)。 |
| T1591.002 |
收集受害组织信息:受害组织的商业伙伴 |
目标组织组织业务关系的信息包括已连接(潜在连接的)第二或第三方组织/域(例如:托管服务提供商,承包商等)网络访问权限。这些信息还可能揭示受害者的硬件和软件资源的供应链和运送路径。 攻击者可以通过多种方式收集此信息,例如通过“网络钓鱼诱骗”直接诱捕。 目标组织的业务关系信息也可以通过在线或其他可访问的数据集(例如:社交媒体或受害组织拥有的网站)暴露给攻击者。收集此信息可能会为其他形式的侦察(例如:网络钓鱼信息或搜索开放网站/域)、建立运营资源(例如:建立帐户或妥协帐户)和/或初始访问(例如:供应链妥协,驱动式妥协,或可信关系)。 |
| T1591.003 |
收集受害组织信息:受害组织既定的业务节奏 |
受害组织业务节奏的信息可能包括工作时间、工作周的哪几天。这些信息还可以显示受害者的硬件和软件资源的购买和运输时间/日期。 攻击者可以通过各种方式收集此信息,例如通过网络钓鱼诱骗直接诱捕。业务节奏的信息也可能通过在线或其他可访问的数据集(例如:社交媒体或受害组织拥有的网站)暴露给攻击者。收集此信息可能会揭示其他形式的侦察(例如:网络钓鱼信息或搜索开放网站/域)、建立运营资源(例如:建立帐户或妥协帐户)和/或初始访问(例如:供应链妥协或信任关系) |
| T1591.004 |
收集受害组织信息:受害组织的业务角色 |
受害组织的业务角色信息可能会揭示各种可针对性的细节,包括关键人员的可识别信息以及他们可以访问哪些数据/资源。 攻击者可以通过各种方式收集此信息,例如通过网络钓鱼诱骗直接诱捕。业务角色的信息也可能通过在线或其他可访问的数据集(例如:社交媒体或受害组织拥有的网站)暴露给攻击者。收集此信息可能会揭示其他形式的侦察(例如:网络钓鱼信息或搜索开放网站/域)、建立运营资源(例如:建立帐户或妥协帐户)和/或初始访问(例如:网络钓鱼)。 |
| T1590 |
收集受害网络信息 |
在渗透受害者之前,攻击者可能会收集有关受害者网络信息,这些信息可在渗透期间使用。网络信息包括各种详细信息,包括管理数据(例如:IP范围,域名等)以及有关其拓扑和操作的详细信息。 攻击者可以通过各种方式收集这些信息,例如通过主动扫描或网络钓鱼获取信息的直接收集操作。有关网络的信息也可能通过在线或其他可访问的数据集(例如:搜索开放技术数据库)暴露给攻击者。收集这些信息可能会为其他形式的侦察(例如:主动扫描或搜索开放网站/域)、建立运营资源(例如:获取基础设施或妥协基础设施)和/或初始访问(例如:可信关系)。 |
| T1590.001 |
收集受害网络信息:网络域属性 |
网络域的信息包括受害者拥有的域以及管理数据(例如:姓名,注册商等)以及更直接可以获取的信息,例如联系人(电子邮件地址和电话号码),公司地址和名称服务器。 攻击者可以通过多种方式来收集这些信息,例如通过主动扫描或网络钓鱼诱骗直接收集操作。受害者内部域信息也可以通过其它在线或其他可访问的数据集(例如,WHOIS)暴露给攻击者。收集这些信息可能会为其他形式的侦察(例如:搜索开放技术数据库、搜索开放网站/域或网络钓鱼信息)、建立运营资源(例如:获取基础设施或妥协)提供机会基础设施),和/或初始访问(例如:网络钓鱼)。 |
| T1590.002 |
收集受害网络信息:DNS |
在攻击受害者之前,攻击者可能会收集有关受害组织的域名信息以及内部DNS服务器信息,这些信息可在渗透期间使用。 DNS信息可能包括注册的域名服务器以及子域信息,邮件服务器和其他主机的地址的映射记录。攻击者可以通过各种方式收集此信息,例如通过主\被动DNS查询或以其他方式收集详细信息。DNS信息也可能通过在线或其他可访问的数据集(例如:搜索开放的技术数据库)暴露给攻击者。收集这些信息可能会揭示其他形式的侦察机会(例如:搜索开放技术数据库、搜索开放网站/域或主动扫描)、建立运营资源(例如:获取基础设施或妥协基础设施),以及/ 或初始访问(例如:外部远程服务)。 |
| T1590.003 |
收集受害网络信息:网络信任依赖项 |
有关网络信任的信包括已经连接(或者潜在连接的)可访问的另一方或者第三方/域(例如:托管服务提供商,承包商等)的信息。 攻击者可以通过各种方式收集此信息,例如通过网络钓鱼诱骗直接诱捕。 有关网络信任的信息也可能会通过在线或其他可访问的数据集(例如:搜索开放式技术数据库)暴露给攻击者。收集此信息可能会揭示其他形式的侦察(例如:主动扫描或搜索开放网站/域)、建立运营资源(例如:获取基础设施或妥协基础设施)和/或初始访问(例如:可信关系)。 |
| T1590.004 |
收集受害网络信息:网络拓扑 |
受害者网络拓扑的信息包括面向外部和内部网络环境的物理或逻辑部署。可能还包括相关的网络设备(网关,路由器等)和其他基础设施的详细信息。 攻击者可以通过多种方式收集此信息,例如通过主动扫描或网络钓鱼诱骗直接收集信息。有关网络拓扑的信息也可以通过在线或其他可访问的数据集(例如:搜索受害人拥有的网站)暴露给攻击者。收集此信息可能会为其他形式的侦察(例如:搜索开放技术数据库或搜索开放网站/域)、建立运营资源(例如:获取基础设施或妥协基础设施)和/或初始访问(例如:外部远程服务)。 |
| T1590.005 |
收集受害网络信息:IP地址 |
由于公用IP地址可能是按块或批次顺序地址分配给组织,组织会有自己的IP地址范围。分配的IP地址的信息还包括其它一些详细信息,例如正在使用的IP地址信息。IP地址还可以使攻击者获得有关受害者的其他详细信息,例如组织规模,地理位置,Internet服务提供商,以及托管其面向公众的基础结构的位置/方式。 攻击者可以通过多种方式收集此信息,例如通过主动扫描或网络钓鱼诱骗直接收集操作。 有关分配的IP地址的信息也可以通过在线或其他可访问的数据集(例如:搜索开放式技术数据库)暴露给攻击者。收集这些信息可能会为其他形式的侦察(例如:主动扫描或搜索开放网站/域)、建立运营资源(例如:获取基础设施或妥协基础设施)和/或初始访问(例如:外部远程服务)。 |
| T1590.006 |
收集受害网络信息:网络安全设施 |
网络安全设备的信息包括:已部署的防火墙,是否存在内容过滤器和代理/堡垒机,已经存在的设备的详细信息。 攻击者可能会攻击利用基于受害者网络的入侵检测系统(NIDS)或与防御性网络安全操作相关的其他设备。 攻击者可以通过多种方式收集此信息,例如通过主动扫描或网络钓鱼诱骗直接收集信息。网络安全设备的信息也可能通过在线或其他可访问的数据集(例如:搜索受害人拥有的网站)暴露给攻击者。收集这些信息可能会揭示其他形式的侦察(例如:搜索开放技术数据库或搜索开放网站/域)、建立运营资源(例如:开发能力或获得能力)和/或初始访问(例如:外部远程服务)。 |
| T1593 |
搜索开放的网站/域名 |
在攻击受害者之前,攻击者可以免费搜索可用的网站或域名,以获取有关在确定目标期间可以使用的受害者的信息。有关受害者的信息可以在各种在线网站上获得,例如社交媒体,新网站,或托管有关企业运营信息的网站(例如雇用、要求或者获奖的合同)。 攻击者可以根据他们需要收集的信息在不同的在线站点中进行搜索。这些来源提供的信息可能会揭示其他形式的侦察机会(例如:网络钓鱼以获取信息或搜索开放的技术数据库),建立运营资源(例如:建立帐户或破坏帐户)或初始访问(例如:外部远程服务或网络钓鱼)。 |
| T1593.001 |
搜索开放的网站/域名:社交媒体 |
在攻击受害者之前,攻击者可以在社交媒体上搜索,以获取有关在确定目标期间可以使用的受害者的信息。社交媒体网站可能包含有关受害组织的各种信息,例如业务公告以及有关员工的角色、位置和兴趣的信息。 攻击者可以根据他们需要收集的信息在不同的社交媒体站点中进行搜索。攻击者可能会被动地从这些站点收集数据,并使用收集的信息来创建虚假的个人资料/群组,以诱使受害者泄露特定信息(例如,鱼叉式钓鱼服务)。这些来源提供的信息可能揭示其他形式的侦察机会(例如:网络钓鱼获取信息或搜索开放的技术数据库),建立操作资源(例如:建立帐户或泄露帐户)和/或初始访问(例如:通过服务的鱼叉式网络钓鱼)。 |
| T1593.002 |
搜索开放的网站/域名:搜索引擎 |
在攻击受害者之前,攻击者可以通过使用搜索引擎,以获取有关在确定目标期间可以使用的受害者的信息。搜索引擎服务通常抓取在线站点以索引上下文,并可能为用户提供专门的语法来搜索特定的关键字或特定类型的内容(即文件类型)。 攻击者可以根据他们需要收集的信息来制作各种搜索引擎查询。攻击者可以使用搜索引擎来获取关于受害者的一般信息,也可以使用专门的查询来查找敏感信息(如网络详细信息或凭证)的泄露。这些来源提供的信息可能会揭示其他形式的侦查机会(例如:网络钓鱼以获取信息或搜索开放的技术数据库),建立运营资源(例如:建立帐户或破坏帐户)或初始访问权限(例如:有效帐户或网络钓鱼)。 |
| T1593.003 |
搜索开放的网站、域名:代码库 |
攻击者可能会在公共代码库中搜索可用于定位的受害者信息。受害者可能会将代码存储在GitHub、GitLab、SourceForge和BitBucket等第三方网站的存储库中。用户通常通过web应用程序或命令行实用程序(如git)与代码库进行交互。对手可能会在各种公共代码库中搜索有关受害者的各种信息。公共代码存储库通常可以作为有关受害者的各种一般信息的来源,例如常用的编程语言和库以及员工的姓名。敌人还可能识别更敏感的数据,包括意外泄露的凭证或API密钥。(引文:GitHub云服务凭据)来自这些来源的信息可能会揭示其他形式的侦察(例如:信息钓鱼)、建立运营资源(例如:入侵账户或入侵基础设施)和/或初始访问(例如:有效账户或钓鱼)的机会。注意:这与代码库不同,代码库侧重于从私有和内部托管的代码库中收集。 |
| T1597 |
搜索封闭源 |
在攻击受害者之前,攻击者可能会从封闭的来源中搜索并收集有关受害者的信息,这些信息可在确定目标期间使用。受害者的信息可以从信誉良好的私人来源和数据库购买,例如付费订阅技术和威胁情报数据。攻击者还可以从信誉较差的来源(例如黑网或网络犯罪黑市)购买信息。 攻击者可以根据他们想要收集的信息在不同的封闭数据库中进行搜索。来自这些数据源的信息可能揭示其他形式的侦察机会(例如:网络钓鱼获取信息或搜索开放网站/域名),建立操作资源(例如:开发能力或获得能力)或初始访问(例如:外部远程服务或有效帐户)。 |
| T1597.001 |
搜索封闭源:威胁情报供应商 |
在攻击受害者之前,攻击者可能会从威胁情报供应商那里搜索私人数据,以获取可以在目标锁定期间使用的信息。威胁情报供应商可能会提供付费的订阅或门户,提供比公开报道的更多的数据。管敏感细节(如客户名称和其他标识)可能会被删除,但这些信息可能包含有关违规行为的趋势,如目标行业、归属声明和成功的TTPs/对策。 攻击者可能会搜索私人威胁情报供应商的数据,以收集可采取行动的信息。攻击者可能会寻求关于他们自己行动需要收集的信息和指标,以及那些可能与他们的目标行业、能力/目标或其他运营关注的其他攻击者所进行的行动。供应商提供的信息也可能揭示其他形式的侦察机会(例如:搜索开放的网站/域),建立操作资源(例如:开发能力或获取能力)或初始访问(例如:利用面向公众的应用程序或外部远程服务)。 |
| T1597.002 |
搜索封闭源:购买技术数据 |
在攻击受害者之前,攻击者可以购买在攻击目标期间需要使用的有关受害者的技术信息。有关受害者的信息可以在信誉良好的私人资源和数据库中购买,例如扫描数据库或其他数据聚合服务的付费订阅。攻击者还可以从信誉较差的来源(例如黑网或网络犯罪黑市)购买信息。 攻击者可以购买有关其已确定目标的信息,或使用购买的数据来发现成功入侵目标的机会。攻击者可能会从购买的数据中收集各种技术细节,包括但不限于员工联系信息、证书或受害者基础设施的详细信息。来自这些来源的信息可能揭示其他形式的侦察机会(例如:网络钓鱼获取信息或搜索开放网站/域名),建立操作资源(例如:开发能力或获得能力)或初始访问(例如:外部远程服务或有效帐户)。 |
| T1598 |
钓鱼式信息获取 |
攻击者会发送一些钓鱼信息,欺骗诱导受害者,进而获取受害者的敏感信息,进行前期的信息收集,以便后续攻击。其目的主要是为了信息收集,而不是执行恶意代码。网络钓鱼一般会涉及到社会工程学,攻击者会冒充信息收集源、发送多个邮件或则紧急的消息,诱导用户泄露信息。 |
| T1598.001 |
钓鱼式信息获取:鱼叉式服务 |
攻击者通过各种社交媒体服务,个人Web邮件和其它非企业控制等第三方服务向受害者发送钓鱼消息(冒充信息收集源、发送看似紧急的消息等),企图欺骗受害者,使其泄露信息,获得受害者的敏感信息。攻击者可能创建虚假的社交媒体帐户,并向员工传达潜在的工作机会,或者结合先前侦察工作中的信息(社交媒体或搜索受害人拥有的网站),以发送有说服力和可信度的诱饵信息,诱导用户泄露信息。 |
| T1598.002 |
钓鱼式信息获取:鱼叉式附件 |
攻击者通过发送带有恶意附件的钓鱼消息,企图欺骗受害者,使其泄露信息。一般攻击者会将文件附加到钓鱼邮件中,并且给出一个合理的理由,诱使受害者进行填充信息然后返回文件,从而获取受害者的敏感信息。网络钓鱼一般会涉及到社会工程学,攻击者会冒充信息收集源、发送多个邮件或则紧急的消息,诱导用户泄露信息。攻击者还可以结合以前侦察工作中的信息(例如:搜索开放网站/域或搜索受害者拥有的网站)来制造具有说服力和可信度的诱饵,诱导用户泄露信息。 |
| T1598.003 |
钓鱼式信息获取:鱼叉式链接 |
攻击者通过发送带有恶意链接的钓鱼消息,诱使受害者点击链接,从而获得受害者的敏感信息。攻击者通过发送带有社交工程文本链接的邮件,诱导受害者主动点击URL,或者访问伪造的网站,以web形式进行信息收集。攻击者还可以结合以前侦察工作中的信息(例如:搜索开放网站/域或搜索受害者拥有的网站)来制造具有说服力和可信度的诱饵,诱导用户泄露信息。 |