T1589-002-收集受害者身份信息-邮箱地址
来自ATT&CK的描述
在入侵受害者之前,攻击者可能会收集邮件地址信息,这些信息可以在目标定位期间使用。即使存在内部实例,组织也可能具有外部的电子邮件系统和员工邮箱。
攻击者可以轻松地收集邮件地址,因为它们很容易获得并且可以通过在线或其他可访问的数据集(例如:社交媒体或搜索受害者拥有的网站)暴露给攻击者。收集这些信息可能为如下活动提供可能性:其他形式的侦察活动(例如:搜索开放网站/域或钓鱼),建立运营资源(例如:邮件账号),或实现初始访问(例如:钓鱼攻击)。
测试案例
收集邮箱信息主要有两个作用:
- 通过发现目标系统账号的命名规律,可以用来后期登入其他子系统。
- 爆破登入邮箱用。
通常邮箱的账号有如下几种生成规律: 比如某公司有员工名叫做“张小三”,它的邮箱可能如下:
当我们收集几个邮箱之后,便会大致猜出对方邮箱的命名规律。
除了员工的邮箱之外,有一些共有的邮箱,比如人力的邮箱、客服的邮箱,[email protected]、[email protected],这种邮箱有时会存在弱口令,在渗透时可额外留意一下。我们可以通过手工或者工具的方式来确定搜集邮箱:
手工方式
Google Hacking
site:target.com intext:@target.com
site:target.com 邮件
site:target.com email
github等第三方托管平台
在github中搜索邮箱后缀
社工库的方式
Online Search Email
通过全球最大的几个数据泄露站点在线查询邮箱信息泄露情况
工具类
The Harvester
The Harvester可用于搜索Google、Bing和PGP服务器的电子邮件、主机以及子域名,因此需要翻墙运行该工具。
Infoga
Infoga可从不同的公共源网络(搜索引擎,pgp密钥服务器和shodan)收集电子邮件帐户信息(ip,主机名,国家/地区)。是一个用法非常简单的工具,但是,对于渗透测试的早期阶段,或者只是为了了解自己公司在互联网上的可见性是非常有效的。
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
参考推荐
MITRE-ATT&CK-T1589-002
https://attack.mitre.org/techniques/T1589/002/
邮箱信息收集.白帽与安全