跳转至

T1589-002-收集受害者身份信息-邮箱地址

来自ATT&CK的描述

在入侵受害者之前,攻击者可能会收集邮件地址信息,这些信息可以在目标定位期间使用。即使存在内部实例,组织也可能具有外部的电子邮件系统和员工邮箱。

攻击者可以轻松地收集邮件地址,因为它们很容易获得并且可以通过在线或其他可访问的数据集(例如:社交媒体或搜索受害者拥有的网站)暴露给攻击者。收集这些信息可能为如下活动提供可能性:其他形式的侦察活动(例如:搜索开放网站/域或钓鱼),建立运营资源(例如:邮件账号),或实现初始访问(例如:钓鱼攻击)。

测试案例

收集邮箱信息主要有两个作用:

  • 通过发现目标系统账号的命名规律,可以用来后期登入其他子系统。
  • 爆破登入邮箱用。

通常邮箱的账号有如下几种生成规律: 比如某公司有员工名叫做“张小三”,它的邮箱可能如下:

当我们收集几个邮箱之后,便会大致猜出对方邮箱的命名规律。

除了员工的邮箱之外,有一些共有的邮箱,比如人力的邮箱、客服的邮箱,[email protected][email protected],这种邮箱有时会存在弱口令,在渗透时可额外留意一下。我们可以通过手工或者工具的方式来确定搜集邮箱:

手工方式

Google Hacking

site:target.com intext:@target.com
site:target.com 邮件
site:target.com email

github等第三方托管平台

在github中搜索邮箱后缀

社工库的方式

Online Search Email

通过全球最大的几个数据泄露站点在线查询邮箱信息泄露情况

https://monitor.firefox.com/

https://haveibeenpwned.com/

https://ghostproject.fr/

https://hunter.io/

工具类

The Harvester

The Harvester可用于搜索Google、Bing和PGP服务器的电子邮件、主机以及子域名,因此需要翻墙运行该工具。

Infoga

Infoga可从不同的公共源网络(搜索引擎,pgp密钥服务器和shodan)收集电子邮件帐户信息(ip,主机名,国家/地区)。是一个用法非常简单的工具,但是,对于渗透测试的早期阶段,或者只是为了了解自己公司在互联网上的可见性是非常有效的。

检测日志

无法有效监测

测试复现

测试留痕

检测规则/思路

建议

许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。

检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。

参考推荐

MITRE-ATT&CK-T1589-002

https://attack.mitre.org/techniques/T1589/002/

邮箱信息收集.白帽与安全

https://www.kancloud.cn/noahs/src_hacker/2119944