T1590-006-收集受害者网络信息-网络安全设备
来自ATT&CK的描述
攻击者可能会事先收集攻击目标的网络安全设备信息。网络安全设备的信息可能包括各种详细信息,例如已部署的防火墙,内容筛选器和代理/堡垒主机的存在和详细信息。攻击者还可能针对地收集有关受害者的网络入侵检测系统(NIDS)或其他与防御性网络安全操作有关的设备的信息。
攻击者可以通过不同的方式收集这些信息,例如通过主动扫描或钓鱼。网络安全设备信息也可能通过在线或其他可访问的数据集(例如:搜索受害者拥有的网站)暴露给攻击者。这些信息可能为如下活动提供可能性:其他形式的侦察活动(例如:搜索公开技术数据库,搜索开放网站/域),建立运营资源(例如:开发能力, 获取能力),或实现初始访问(例如:外部远程服务)。
测试案例
红队必备:WEB蜜罐识别阻断插件
https://www.freebuf.com/articles/web/246938.html
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
参考推荐
MITRE-ATT&CK-T1590-006
https://attack.mitre.org/techniques/T1590/006/
红队必备:WEB蜜罐识别阻断插件