T1591-001-收集受害者组织信息-确定物理位置
来自ATT&CK的描述
攻击者可能会收集受害者的实际位置,这些位置可以在目标锁定期间使用。有关目标组织的物理位置的信息可能包括各种详细信息,包括关键资源和基础结构的存放位置。实际位置还可以指示受害者在哪个法律管辖区或机构内工作。
攻击者可以通过多种方式收集此信息,例如通过“网络钓鱼诱骗”直接诱捕。目标组织的实际位置也可能通过在线或其他可访问的数据集(例如:搜索受害人拥有的网站或社交媒体)暴露给攻击者。收集此信息可能会提供其他形式的侦察机会(例如:网络钓鱼以获取信息或搜索开放的网站或域),建立运营资源(例如:开发能力或获得能力)或初步访问(例如:网络钓鱼或硬件添加)。
测试案例
例如受害者的个人社交信息,微博、微信、QQ等。
例如受害组织的位置信息,通过官方网站即可查找到相关组织的位置。
检测日志
无
测试复现
无
测试留痕
无
检测规则/思路
无
建议
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
参考推荐
MITRE-ATT&CK-T1591-001