跳转至

T1592-002-收集受害者主机信息-软件信息

来自ATT&CK的描述

攻击者可能会事先收集攻击目标的主机软件信息,可能包括各种细节信息如主机上的软件类型和版本,是否有防御软件(如防病毒、SIEM组件)等。

软件信息可能是攻击者通过主动扫描(例如监听端口,服务器banner,用户代理字符串),钓鱼,或攻击网站后使用恶意软件等方式主动收集的,也可能是通过在线或其他可访问的数据集(例如职位发布,网络地图,评估报告,简历或购买发票)暴露给攻击者的。收集这些信息可能会触发其他形式的侦察行动(例如:搜索开放网站/域或者搜索公开技术数据库),从而建立运营资源(例如:开发能力或获取能力),或实现初始访问(例如:供应链攻陷或外部远程服务)。

测试案例

指纹识别:在渗透测试中,对目标服务器进行指纹识别是相当有必要的,因为只有识别出相应的Web容器或者CMS,才能查找与其相关的漏洞,然后才能进行相应的渗透操作。

在线指纹识别网站: TSscan: https://scan.top15.cn/web/

BugScaner: http://whatweb.bugscaner.com/look/

云悉指纹: http://www.yunsee.cn/finger.html

WhatWeb: http://whatweb.bugscaner.com/look/

常见的网站指纹识别工具有:whatweb,wappalyzer火狐插件等。

检测日志

测试复现

测试留痕

检测规则/思路

建议

许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。

检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。

参考推荐

MITRE-ATT&CK-T1592-002

https://attack.mitre.org/techniques/T1592/002/

指纹识别大全

https://www.bilibili.com/read/cv9136494/