T1594-搜索受害者所拥有的网站

来自ATT&CK的描述

攻击者可能会搜索受害者拥有的网站，以获取可在目标攻击中使用的信息。受害者拥有的网站可能包含各种细节，包括部门/分部的名称、物理位置和关键员工的数据，如姓名、角色和联系信息（例如：电子邮件地址）。这些网站还可能有突出商业运作和关系的细节。

攻击者可能会搜索受害者拥有的网站，以收集可操作的信息。来自这些来源的信息可能会提供其他形式的侦察机会（例如：钓鱼信息或搜索开放式技术数据库），建立业务资源（例如：建立账户或破坏账户）或初始访问（例如：信任关系或钓鱼）。

测试案例

个人理解：收集网站上公布的人事信息（政府网站居多）、管理员邮箱信息等。

检测日志

无

测试复现

无

测试留痕

无

检测规则/思路

无

建议

许多此类攻击活动的发生率很高，并且相关的误报率也很高，并且有可能发生在目标组织的监测范围之外，从而使防御者难以发现。

检测工作可能会集中在攻击生命周期的相关阶段，例如在"初始访问"阶段。

参考推荐

MITRE-ATT&CK-T1594

https://attack.mitre.org/techniques/T1594