ATT&CK v10版本战术介绍—侦察

一、引言

在上一篇文章​​《2021 ATT&CKv10版本更新指南》​​中我们整体介绍了什么是ATT&CK、ATT&CK发展历史、应用场景、v10版本更新说明等内容,本期我们为大家介绍ATT&CK 14项战术中搜索引擎排名开篇侦网络安全知识察战术,后续会陆续介绍其他的战术内容,敬请关注。

二、ATT&CKv10简介

MITRE AT网络安全T&CK数据结构 是一个全球可访问的基于网络安全密钥是什么现实世界观察的对手战术和技术知识库。ATT&CK 知识库被用作在私营部门、政府以及网络安全产网络安全法品和服务社区中开发特定威胁模型和方法的基础。

ATT&CK v10更新了适用于企业、移动设备和 ICS(工业控制系统)框架的技术、组和软件。最大的变化是在企业 ATT&CK 中增加了一组新的数据网络安全知识源和数据组件对象,这是对 ATT&CK v9 中发布的 ATT&CK 数据源名称更改的补充。在 ATT&CK v10 中更新的内容汇总了有关数据源的这些信息,同时将它们构建为新的 ATT&CK 数据源对象。

ATT&数据库CK v10 for Enterprise包含14个战术、188个技术、379个子技术、129个组织、638个软件,一共包括38类数据源。数据源对象具有数据源的名称以及关键细节和元数据,包括 ID、定义、可以收集它的位置(收集网络安全层)、可以在网络安全法什么平台上找到它,突出显示构成数据源的网络安全大赛相关值/属性的组件。ATT&CK v10 中的数据组件分析每个亮点映射到各种(子)技术,这些技术可以用该特定数据检测到。在个别(子)技术上,数据源和组件已从页面顶部的元数据框重新定位安全技术与管理专业,以与检测内容并置。这些数据源可用于 Enterprise ATT&CK 的所有平台,包网络安全教育心得体会括最新添加的涵盖映射到 PRE 平台技术的开源情报 (OSINT) 相关数据源。


                                            ATT&CK v10版本战术介绍—侦察

ATT&CK战术全景图(红框为侦察战术)

三、ATT&CK技术的抽象提炼

ATT&CATT&CKK有三个核心概念,用通俗一点话来讲就是:攻击视角、基于追踪真实的APT攻击来获得最新的技安全技术与管理术、合适的抽象粒度能够将攻击行为和防御策略结合。

通过抽象提炼,形成一个通用分类法,让攻击者和防御者都可以理解单项对抗行为及其目标。通过抽象提炼,搜索的拼音完成了适当的分类,将攻击者的行为和具体的防御方式联系起来。本质上是通过“适当网络安全”的抽象,既不很模糊,也不是太具体,而是很适度的抽象,给攻击和防御之间建立起了一个标准搜索明蕴镇任务怎么做化的“语言”,能够让攻防双方站在同一语境下对话。

ATT&CK框架基础元素为战术、技术/子技术、程序,也就是TTPs( Tactics, Techniques and Pr数据分析师ocedures)。战术回网络安全大赛答了攻击者想要实现的目标;技术或子技术展示了攻击者实际的攻击方式以及目标如何实现;至于程序,框架解决的是威胁行为者与攻击组织为达数据漫游到目标所使用的特定应用。此外,MITRE ATT&CK框架数据分析也涵盖数据库了威胁检测与处置建议,以及攻击中网络安全专业使用的软件。

战术是攻击者数据执行某项行动数据漫游的战术目标。战术提供了各项技术的环境类别,并涵盖了攻击者在攻击时执行活动的标准、高级标记,例如持久化、信息发数据漫游是什么意思现、横向移动、文件执行和数据泄露。由于战术代表了攻击者的战术目标,因此随着时间的推移,这些安全技术交底交底人谁签字战术将会保持相对不变,因为攻击者的目标不太可能改变。战术将攻击者试图完成的任务的各方面内容与他们运行的平台和领域结合了起来。通常,不管是在哪个平台上,这些目标都是相似的,这就是为什么Ente网络安全教育心得体会rprise ATT&CK战术在Windows、MacOS和L网络安全专业inux系安全技术交底统中基本保持一致。目前,MITRE已经识安全技术措施别的企业领域攻击战术有14种:侦察、资源开发、初始访问、执行、持久化安全技术与管理、提权、防御规避、凭证访问、发数据结构现、横向移动、收集、命令与控制、数据渗出、影响。

技术(Techn安全技术iques)代表攻击者通过执行动作来实现战术目标的“方式”。例如,攻击者可能会转储凭据,以便访问网络中的有用凭据,数据恢复之后可能会使用这些凭据进行横向移动。技术数据废土也可以表示攻击者通过执行一个动作要获取“内容”。这与“发现”战术安全技术交底范本有明显的区别,因网络安全知识内容为技术侧重安全技术与管理的是攻击者采搜索的拼音取特定动作是为了获取什么类型的信息。技术是ATT&CK的基础,代表攻击者进行某个动作或攻击者通过执行某项动作而安全技术说明书了解到的信息。每一个技术都包括唯一的名称、分类、检测方式、缓解方式、详细信息等。具体而言,ATT&CK框架对每项技术都提供网络安全法了特定的信息,这里也做一个简单的介绍:

•技术ID:以“Txxx”格式呈现的标识符:例如,网络钓鱼为T1566,沙箱规避为T1497;•子技术:是更具体的技术,或攻击者执行技术的不同方式;•战术:即该技术的目标;•平台:是该技术适用的不同平台,例如Windows、Linux、macOS、云等等;•数据搜索引擎排名源:可以识别技术的信息来源,通常网络安全内容怎么写由日志系统收集;•组:跟踪已知攻击者的对象,ATT&CK主要关注APT群体,搜索引擎排名代表有目标的、持续的威胁活动;•程序:威胁组织使用该技术网络安全知识达到其目标的具体方式;•缓解:该技术的处置和防御策略;•检测:检测网络中攻击者和失陷指标 (IoC) 的方安全技术交底法。

攻击者通常会使用多种技术,来实现其总体目标,而一种技术也可用于实现多个目标。例如,中间人攻击就能用于收集信息和凭证访问,沙箱规避能够用于规避网络安全大赛,也可用于发现目标。

ATT&CK各组网络安全教育件之间的关系:


                                            ATT&CK v10版本战术介绍—侦察

例如:APT28组织使用安全技术与管理Mimikatz对W数据结构indows LSASS进程内存进行凭证转储,可以用以下图表示:


                                            ATT&CK v10版本战术介绍—侦察

四、侦察战术

4.1概述

对手正试图收集可用于规划未来行动的信息。

侦察包括涉及对手主动或被动收集可用于支持目标定位的信息的技术。此类信息可能包括受害组织、基网络安全工程师础设施或人员的详细信息。攻击者可以利用这些安全技术与管理专业信息来帮助攻击者完成其安全技术与管理专业他工作,例如使用收集的信息来计划和执行初始访问、确定入侵目标的范围和优先级,或者推动进一步的侦察工作。

侦察战术包含10个技术

  • 主动扫描
  • 搜集受害者主机信息
  • 搜集受害者身份信息
  • 搜集受害者网络信息
  • 搜集受害者组织信息
  • 通过网络钓鱼搜集信息
  • 从非公开数据透视表源搜集信息
  • 从公安全技术交底内容开技术数据库搜集信息
  • 搜集公开网站/域
  • 搜集受害者自有网站

下面我们逐一介绍这10个技术内容。

4.2网络安全大赛 主动扫描

对手可能会执行主动侦察扫描以收集可在定位期间使用的信息。主动扫描是对手通过网络流量探测受害者基础设施的扫描。

攻击者可能会根据他们收集的信息执行不同形式的主动扫描网络安全专业。这些扫描也可以通过各种方式执行,例如 ICMP。

主动扫描技术包含两个子技术:扫描IP段、漏洞扫描。

1)扫描IP段:扫描ATT&CK可疑网络流量的IP或者IP段。

2)漏洞扫描:漏搜索洞扫描通常通过服务器、侦听端口或其他网络收集正在运行的软件和版本号。

检测:基于数据恢复网络流量(例如来自同一个源IP短时间内产生大量流量)或者防火墙日志等来分析。

4.3搜集受害者主机信息搜索引擎营销

攻击者可能会收集有关受害者主机的信息,这些信息可以在定位期间使用。有关主机的信息可能包括各种详细信息,包括管理数据(例如:名称、分配的IP、功能等)以及有关其配置安全技术的详细信息(例如:操作系统、语言等)。

攻击者可以通过各种方式收集此信息,例如通过主动扫描或网络钓鱼获取信息的直接收集操作。攻击者还可能破坏网站,然后通过恶意代码从访问者那里收集主机信息网络安全大赛。有关主机的信息也可能通过在线或其他可访问的数据集(例如:社交媒体或搜索受害者拥有的网站)暴露给搜索的拼音攻击者。

搜集网络安全专业受害数据恢复软件免费版者主机信息包括4个子技术:数据漫游是什么意思主机硬件信息搜集数据漫游是什么意思、主网络安全密钥是什么机软件信息搜集、主机固件信息、客户端配置信息。

1)主机硬件网络/安全信息搜集例如特定主搜索明蕴镇任务怎么做机上的类型和版本,以及是否存在可能表明增加了防御性保网络/安全护的其他组件(例如:卡/生物识别搜索软件读卡器、专用加密硬件等)。攻击者可以通过各种方式收集此信息,例如通过主动扫描(例网络安全内容怎么写如:主机名、服务器横幅、用户代理字符串)或网络钓鱼获取信息的直接收集操作。攻击者还可能破坏网站,然后通过恶意代码从访问者那里收集主机信息。有网络安全教育心得体会关硬件基础设施的信息也可能通过在线或安全技术交底交底人谁签字其他可访问的数据集(例如:职位发布、网络地图、评估报告、简历或采购发票)暴露给对手。

2)搜索明蕴镇任务怎么做主机软件信息搜集攻击者可能会收集有关受害者主机搜索引擎排名软件的信息。有关已安装软件的信息可能包括各种详细信息,例如特定主机上的类型和版本网络安全教育,以及是否存在可能表明增加了防御组件(例网络安全知识如:防病毒、SIEM 等)。攻击者可以通过各种方式收集此信息,例网络安全密钥是什么如通过主动扫描或网络钓鱼获取信息的直接收集操作。攻击者还可能破坏网站,然后包含旨在搜索引擎营销从访问者那里收集主机搜索明蕴镇任务怎么做信息的恶意内容。有关已安装软件的信息也可能网络安全大赛搜索历史过在线或其他可访问的数据集(例如:职位发布、网络地图、评估报告、简历或网络安全购买发票)暴露搜索的近义词搜索对手。

3)主机固件信息攻击者可能会收集有关受害者主机固件的信息,这些信息可以在定位期间使用。有关主机固件的信息可能包括各种数据分析师详细信息,例如特定主机上的类型和版本,这些信息可用于推断有关环境中主机的更多信息(例如:配置、用途、年龄/补丁级别等)。攻击者可能会以各种方式收集这些信息,例如通过网络钓鱼直接获取搜索信息。有关主机固件的信息只能通过在线或其他可访问的数据集(例如:招聘信息、网络地图、评估报告、简历或购买发票)暴露安全技术措施给对手。

4)客户端配置信息攻击者可能会收集有关受害者客户端配置的信安全技术与管理息,这些信ATT&CK息可以在定位期间使用。有关客户端配置的信息可能包括各种详细信息和设置,包括安全技术交底内容操作系统/版本、虚拟化、架构(例如:32 位或 64 位)、语言和/或时区。攻击者可以通过各种方式收集此信息,例如通过主动扫描(例如:侦听端口、服务器横幅、用户代理字符串)或网络钓鱼获取信息的直接收集操作。攻击者还可能破坏网站,然后包含旨在从访问数据分析者那里收集主机信息的恶意内容。有关客户端配置的信安全技术交底息也可能通过在线或其他可访问的数据集(例如:职位发布、网络地图、评估报告、简历或购买发票)暴露给对手。

检测通过日志或者流量检测主机扫描或者端口扫描等扫数据漫游是什么意思描行为。

4.4 搜集受害者身份信息

攻击者可能会收集有关受害者身份的信息,这些信息可以在定位期间使用。有数据废土关身份的信息可能包括各种详细信息,包括个人数据(例如:员工姓网络安全大赛名、电子邮件地址等)以及凭据等敏感详细信息。攻击者可能会以各种方式收集这些信息,例如通过网络钓鱼直接获取信息。有关受害者的信息也可能通过在线或其他可访问的数据集(例如:社交媒体或搜索受害者拥有的网站)暴露给对手。

搜集受害者身份信息包含3个子技术:凭据、电子邮件地址、员工姓名。

1)凭据:攻击者可能会收集可在定位期间使用的凭据。攻击者收集的帐户凭据可能是与目标受害者组织直接相关的帐户凭据,或者试图利用用户在个人和企业帐户中使用相同密码的趋势。攻击者可能会以各种方式从潜在受害者那里收集凭据,例如通过网络钓鱼获取信息的直接引诱。攻击者还可能破坏网站,然后包含旨在从访问者那里收集数据漫游网络安全工程师站身份验证cookie的恶意内容。凭据信息也可能通过泄露到在线或其他可访问数据集(例如:搜索引擎、违规转储、代码存储库等)而暴露给攻击者。搜索图片识别攻击者也可能从暗网或其他黑市购买凭数据分析证。

2)电子邮件地址:攻击者可能会收集可在定位网络安全知识期间使用的电子邮件地址。即使存在内部实例,组织也可能拥有面向公众的电子邮件基础设施和员工地址。攻击者可以很容易地收集电子邮件地址,因为它们可能很容易通过在线或其他可访问的数据搜索的拼音集(例如:社交媒体或搜索受害者拥有的网站)获安全技术说明书得和暴露。

3)员工姓名:攻击者可能会收集可在定位期间使用的员工姓名。员工姓名用于获取电子邮件地址以及帮助指导其他侦察工作和/或制作更可信的诱饵。对手可能很容易收集员工姓名,因网络安全专业为他们可能很容易通过在线或其他可访问的数据集(例如:社交媒体或搜索受害者拥有的网站)获得和暴露。

4.5 搜集受害者网络信息

攻击者可能会网络安全知识内容收集有数据结构关受害者网络的信息,这网络安全知识些信息可以在定位期间使用。有数据漫游是什么意思关网络的信息数据库可能包括各种细节,包括管理数据(例如:IP 范围、域名等)以及有关网络安全密钥是什么其拓扑和操作的细节。攻击者可以通过各种方式收集此信息,例如安全技术交底内容通过主动扫描或网络钓鱼获取信息的直接收集操作。有关网络的信息也可能通过在线或其他可访问的数据集(例如:搜索开放技术数据库)暴露给对手。

搜集受害者网络信息包含6个子技术

1)有关域及其属性的信息可能包括各种详细信息,包括受害者拥有的域以及管理数据(例如:姓名、注册商等)以及更直接可操作的信息,例如联系人(电子邮件地址和电话号码)、公搜索引擎排名司地址和名称服务器。

2)DNS 信息可能包括各种详细信息,包括注搜索引擎排名册的名称服务器以及概述数据恢复标子域、邮件服务器和其他主机地址的记录。

3)有关网络信数据恢复任的信息可能包括各种详细信息,包括已连接(并可能提升网络安全知识)网络访问权限的第二或第三方组织/域(例如:托管服务提供商、承包商等)。

4)攻击者可能会收集有关受害者网络拓扑的信息,这些信息可在目标定位期间使用。关于网络拓扑的信息可以包括各种细节,包括面向外部和内部网络环境的物理和/或逻辑布置。该信息还可能包括有关网络设网络安全内容怎么写备(网关、路由器等)和其他基础设施的细节。

5)IP地址:IP 地址还可能使攻击者能够获取有关受害者的其他详细信息,例如组织规模、物理位置、互联网服务提供商和/或他们面向公众网络安全知识的基础设施的托管搜索明蕴镇任务怎么做位置/方式。

6)网络安全设备信息:可能包安全技术说明书括各种详数据库细信息,例如部署的防火墙、内容过滤器和代理/堡垒主机的存在和细节。攻击者还可能针对有关基于受搜索文件名害者网络的入侵检测系统 (安全技术与管理NIDS) 或与防御性网络安全操作相关的其他设备的信息。

4.6 搜集受害者组织信息

攻击者可能会收集有关受害者组织的信息,这些信息安全技术类别c类可以在定网络安全知识位期间使用。有关组织的信息可能网络安全专业包括各种详细信息,包括部门/部门的名称、业务运营的具体情况以及关键员工的角色和职责。攻击者可能会以各种方式收集这些信息,安全技术交底范本例如通过网络数据库钓鱼直接获取信息。有关组织的信息也可能通过在线或其他可访问的数据集(例如:社交媒体或搜索受害者拥有的网站)暴露给对手。

搜集受害者组织信息包含4个子ATT&CK技术

1)受害者物理位置:关于目标组织的物理位置的信息可能包括各种细节,包括关键资源和基础设施所在的位置。物理位置还可以表明受害者在哪些法律管辖范围和安全技术交底内容/或权力机构内运作。

2)组织业务关系:包括各种详细信息网络安全教育,包括已连接(并可能提升)网络访问权限的第二或第三方组织/域(例如:托管服务提供商、承包商等)。该信息还可能揭示受害者硬件和软件资源的供应链和运输路径。

3)组织业务节奏的信息:包括各种详细信息,包括工作时间/一周中的几天。该信息还可能揭示受害者硬件和软件资源的购买和发货时间/日期。

4)受害者组织内的网络安全大赛身份和角色信息:有关业务角色的信息可能会揭示各种可定搜索文件名位的详细信息,包括关键人员的可识别信息以及他们有权访问的数据/资源网络安全教育

4.7 通过网络钓鱼搜集信息

攻击者可能会发送网络钓鱼数据分析消息以获取可在定位期间使安全技术类别c类用的敏感信息。网络钓鱼信息是企图诱使目标泄露信息、比较常见的是凭据或其他可操作信网络安全内容怎么写息。信息网络钓鱼与网络钓鱼的不同之处在于,其目标是从受害者那里收集数据,而不是执行恶意代码。所有形式的网络钓鱼都是以电子方式传递网络安全法的社会工程。网络钓鱼可以成为目标,称为鱼叉式网络钓鱼。在鱼叉式网网络安全密钥是什么络钓鱼中,特定的个人、公司或行业将成为攻击者的目标。更一般地,网络安全内容怎么写攻击者可以进行非目网络安全教育心得体会标网络安全技术与管理钓鱼,例如在大规模凭据收集活动中。对手也可能试图安全技术交底通过电子邮件、即时消息或其他电子对话方式直接获取信息。信息网络钓鱼安全技术与管理专业经常涉及社会工程技术,例如冒充信息源以收集信息(例如:建立帐户或破坏帐户)和/或发送多个看似紧急的消息。

通过网络钓鱼搜集信息包含3个子技术

1)网络钓鱼服务:对手利用社会工程学技术在线上发布诱惑信息,例如对手可能会创建虚假的社交媒体账户并向员工发送潜在的工作机会信息,用户获取下载文件需要填写表单等导致个人信息泄露。

2)邮件附件:攻击者发送电子邮件附件,通常让收件人填充附件信息回网络安全内容怎么写复,通常会给出一个合理的理由说明为什么应搜索的近义词该填写该附件文件,以此获取个人或公司价值信息。

3)恶意链接:恶意电子邮件通数据漫游常包含带有恶意链接,以诱使用户主动单击或复制 URL 并将其粘贴到浏览器中。给定的网站在外观上可能与合法网站非常相数据恢复软件免费版似,并且具有包含来自真实网站的元素的URL。恶意链接通过让用户填写表单或者下载文件等搜集信息。

检测数据废土:基于应用程序网络安全专业日志(邮件服务器、web应用程序等)、网络流量数据源,检测内容如下:

  1. 监控可疑的电子邮件活动,例如多个帐户接收来自单个异常/未知发件人的邮件。
  2. 基于DKIM+SPF或标头分析的过滤有助于检网络安全知识内容测电子邮件发件人何时被欺骗。
  3. 在关注链接时,请监视对未分类或已知不良站点的引用。电子邮件中的 URL 检查(包括扩展缩短的链接网络安全知识)也可以帮助检测导致已知恶意站点的链接。
  4. 监控社交媒体流搜索文件名量中的可疑活动,包括请求信息的消息以及异常文件或数据传输(尤其是那些涉及未知或其他可疑帐户的)。

缓解措施

1.软件配置

使用反欺骗和电子邮件身份验证机制根据发件人域的有效性检查(使用SPF)和邮件的完整性(使用 DKIM)过滤邮件。在组织内启用这些机制(通过DMARC 等策略)可以使收件人(组织内和跨域)执行网络安全法类似的消息过滤和验证。

2. 用户培训

可以训练用户识数据分析师别社会工程技术和鱼叉式钓鱼企图。

4.8 从非公开源搜集信息

攻击者可能会从封闭来源搜索并收集有关受害者的信息,这些信息数据结构可在定位期间使用。可以从信誉良好的私人来源和数据库中购买有关受害者的信息,例如付费订阅技术/威胁情报数据源。攻击者还可能从声誉较差的来源购买信息,例如暗网或网络犯罪黑市。攻击者可能会根据他们寻求收集的信息在不同的封闭数据库中进行搜索。

从非公开源搜集信息包含2个子技术

1)从威胁情报供应商处搜索私人数据:攻击者可能会从威胁情报供应商处搜索私人数据,以获网络安全大赛取可在定位期间使用的信息。威胁情报供应商可能会提供付费订阅源或门户网站,提供比公开报告更多的数据。虽然敏感细节(例如客户姓名和其他标识符)可能会被编辑,但此信息可能包含有关违规的趋势,例如目标行业、归属声明和成功的 TTP/对策。攻击者可能会搜索私人威胁安全技术交底内容情报供应商数据以收集可操作的信息。威胁参与者可能会寻找收集到的关于他们自己的活动的信息/指标,以及由其他对手进行的活动,这些活动可能与其目标行业、能力/目标或其他运营问题一致。

2)从信誉较差的来源购买信息:攻击者可能会购买可在定位期间使用的有关受害者的技术信息。可以在数据透视表信誉良好的私人来源和数搜索的近义词据库中购买有关受害者的信息,例如付费订阅扫描数据库或其他数据聚合服务的订阅源。攻击者ATT&CK还可能从声誉较差的来数据漫游源购买信息,例如暗网或网络犯罪黑市。攻击者可能会购买有关其已确定目标的信搜索的拼音息,或使用购买的数据来发现成功违规的机会。威胁参与者可能会从购买的数据中收集各种技搜索的近义词术细节,包括但不限于员工联系信息、凭证或有关受害者基础设施的细节。

4.9 从公开技术数据库搜集信息

攻击者可以搜索免费可用的技术数据库,以获取可在定位期间使用的有关搜索受害者的信息。有关受害者的信息可能在在线数据库和存储库中可用,例如域/证书的注册以网络安全内容怎么写安全技术从流量和/或扫描中收集的网络数据网络安全教育的公共集合。攻击者可能会根据他们寻求收集的信息在不同的开放数据库中进行搜索。

从公开技术数据库搜集信息包含5个子技术

1)DNS信息:可能包括各种详细信息,包括注册的名称服务器以及概述目标子域、邮件服务器和其他主机地址的记录。

2)WHOIS数据:由负责分配和分配互联网资源(网络安全大赛如域名)的区域互联网注册管理机构 (RI网络安全知识R) 存储。任何人都可以查询WHOIS 服务器以获取有关注册域的信息,例如分配的IP 块、联系信息数据恢复和DNS名称服务器。

3)数字证书:由证书颁发机构 (CA) 颁发,以加密验证签名内容的来源。这些证书,例如用于加密 Web 流量(HTTP搜索明蕴镇任务怎么做S SSL/TLS 通信)的证书,包含有关注册组织的信息,例如名称和位置。

4)内容交付网络 (C网络/安全DN) 数据:C数据库DN 允许组织托管来自分布式、负载平衡的服务器阵列的内容。CDN 还可以允许组织根据请求者的地理区域定制内容交付。

5)攻击者可以在公共扫描数据库中搜索有关受害者的信息,这些信息可以在安全技术目标定位网络安全大赛过程中使用。各种在线服务不断发布 Internet 扫描/调查的结果,通常会收集诸如活动 IP 地址、主机名、开放端口、证书甚至服务器横幅等信息。

4.10 搜集公开网站/域

攻击者可能会搜索免费可用的网站和/或域,以查找可在定位期间使用的有关受害者的信息。有关受害者的信息可能在各种在线网站上提供,例如社交媒体、新网站或托管有关业务运营信息的网站,例如招聘合同。攻击者可能会根据他们寻求收集搜索软件的信网络安全教育心得体会息在不同的在线站点中进行搜索安全技术与管理专业就业方向

搜集公开网站/域包含2个子技术

1)社交媒体:攻击者可能会在社交媒体上搜索可在定位期间使用的有关受害者的信息。社交媒体网站可能包含有关受害组织的各种信息,例如商业网络/安全公告以及有关员工角色、位数据分析师置和兴趣的信息。

2)搜索引擎:攻击者可能会使用搜索引安全技术交底擎来收集有关受害者的信息,这些信息可以在定位期间使用。搜索引擎服务通常会抓取在线网站以索引上下文,并可能为用户提供专门的语法来搜索特定关键字或特定类型的内容(即文件类型)。攻击者可能会根据他们寻求收集的信息来制作各种搜索引擎查询。威胁参与者可能会使用搜索引搜索明蕴镇任务怎么做擎来收集有关受害者的一般信息,并使用专安全技术交底范本门的查询来网络安全内容怎么写查找敏感信息的溢出/泄露,例如网数据漫游是什么意思络详细信息或凭据。

4.安全技术与管理11 搜集受害者自有网站

攻击者可能会在受害者拥有的网站上搜索可在定位期间使用的信息。受害者数据恢复软件免费版拥有的网站可能包含各种详细信息,包括部门/部门的名称、实际位置以数据透视表及有关关键员工的数据,例如姓名、网络安全教育心得体会角色和联系信息(例如:电子邮件地址)。这些网站也安全技术与管理专业就业方向可能有突出业务运营和关系网络安全专业的详细信息。攻击者可能会搜索受害者拥有的网站以收集可操作数据漫游是什么意思的信息。

检测:基于应用程序日志数据源(邮件服务器、web应用程序等)监控可能表明对手侦察的可疑网络流量,例如表明网络爬行的快速连续请求和/或源自单数据结构一来源的大量请求(特别是如果已知该来源与对手相关联)。分析Web元数据还可能揭示可归因于潜在恶意活动,例如搜索文件名引用者或用户代理字符串HTTP/S字段网络安全知识内容

五、总结

本期主要介绍了侦察战术及技术/子技术原理,侦察战术覆盖的实战型场景验安全技术与管理证过程数据漫游是什么意思及行之有效的检测规则、网络安全工程师防御措施等知识库敬请关注下期内容。


相关分享:

​​2021 ATT&CK v10版本更新指南​​