跳转至

T1591-004-收集受害者组织信息-确定角色

来自ATT&CK的描述

攻击者可能会在目标组织中收集有关受害者组织内的身份和角色的信息。有关业务角色的信息可能会揭示各种可针对性的细节,包括关键人员的可识别信息以及他们可以访问哪些数据/资源。

攻击者可以通过多种方式收集此信息,例如通过“网络钓鱼诱骗”直接诱捕。有关业务角色的信息也可以通过在线或其他可访问的数据集(例如,社交媒体或受害人拥有的网站)暴露给攻击者。收集此信息可能会提供其他形式的侦察机会(例如:网络钓鱼以获取信息或搜索开放的网站/域),建立运营资源(例如:建立帐户或破坏帐户)或初始访问权限(例如:网络钓鱼)。

测试案例

个人理解:攻击者可能会收集运维、网络管理员相关信息,后续可以进行精准社工,或者相关人员的账号密码爆破,也可能是发送受害者感兴趣的邮件,实现邮件钓鱼等。

检测日志

测试复现

测试留痕

检测规则/思路

建议

许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。

检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。

参考推荐

MITRE-ATT&CK-T1591-004

https://attack.mitre.org/techniques/T1591/004/