T1593-001-搜索开放的域/网站-社交媒体
来自ATT&CK的描述
攻击者可能会在社交媒体上搜索有关受害者的信息,以便在锁定目标时使用。社交媒体网站可能包含有关受害者组织的各种信息,如业务公告以及有关工作人员的角色、地点和兴趣的信息。
攻击者可能会根据他们想要收集的信息,在不同的社交媒体网站上进行搜索。威胁者可能会被动地从这些网站上收集数据,以及利用收集到的信息创建虚假的个人资料/群组,以诱使受害者透露特定的信息(即鱼叉式钓鱼服务)。来自这些来源的信息可能为其他形式的侦察(例如:信息钓鱼或搜索开放式技术数据库)、建立运营资源(例如:建立账户或破坏账户)或初始访问(例如:通过服务鱼叉式钓鱼)提供机会。
测试案例
个人理解:攻击者可以通过收集某企业员工信息,比如前期添加好友,观察其社交媒体上的动态,翻看历史动态信息,收集其工作沟通工具、上下班时间等。如对方通过邮箱沟通交流业务,可以进行钓鱼邮件投递进行渗透,获取权限。
检测日志
无
测试复现
无
测试留痕
无
检测规则/思路
无
建议
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
参考推荐
MITRE-ATT&CK-T1593-001