T1591-003-收集受害者组织信息-确定业务节奏
来自ATT&CK的描述
攻击者可能会收集与受害者的业务节奏有关的信息,这些信息可以在定位过程中使用。有关组织业务节奏的信息可能包括各种详细信息,包括每周的工作时间/天。此信息还可能显示受害者的硬件和软件资源的购买和运输时间/日期。
攻击者可以通过多种方式收集此信息,例如通过“网络钓鱼诱骗”直接诱捕。有关业务节奏的信息也可能会通过在线或其他可访问的数据集(例如,社交媒体或受害人拥有的网站)暴露给攻击者。收集此信息可能会提供其他形式的侦察机会(例如:网络钓鱼以获取信息或搜索开放的网站/域),建立运营资源(例如:建立帐户或损害帐户)和/或初始访问权限(例如:供应链关系或信任关系)。
测试案例
个人理解:此技术可能在社工前期使用,观察受害者上下班时间、车辆进入情况,为后续物理入侵提供一些帮助。
检测日志
无
测试复现
无
测试留痕
无
检测规则/思路
无
建议
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
参考推荐
MITRE-ATT&CK-T1591-003