T1595-001-主动扫描_扫描地址段
来自ATT&CK的描述
攻击者可能会在实施攻击前扫描IP地址块,收集可在确定攻击目标期间使用的信息。公有IP地址可以按块或是按一系列顺序地址分配给组织。
攻击者可能会扫描IP地址块,以便收集受害者网络信息,例如哪些IP地址分配给了哪些主机使用以及这些主机的详细信息。扫描范围可以从简单的ping(ICMP请求和响应)到更细致的扫描(通过服务器banner或其他网络artifacts显示主机软件/版本)。扫描所获取的信息可能会触发其他形式的侦察行动(例如:搜索开放网站/域或搜索公开技术数据库),从而建立运营资源(例如:开发能力或获取能力),或实现初始访问(例如:外部远程服务)。
测试案例
常见扫描器
检测日志
HTTP流量
测试复现
nmap扫描网段内的所有IP地址
sudo nmap -sP -PI -PT 192.168.1.0/24
测试留痕
暂无实测,故无留痕
检测规则/思路
实际上,很难在真实的环境中发现此类行为。但是可以通过部署蜜罐来进行监测防御,当发现有攻击者访问了同一网段不同地址的蜜罐,产生告警行为,则说明可能存在扫描行为。值得引起安全人员的注意!
建议
监控可能存在扫描的可疑网络流量,例如来自单个源的大量流量(尤其是如果已知该源与攻击者或僵尸网络相关联)。分析Web访问数据也可能会发现潜在恶意活动的特征,例如referer值或HTTP/S中的user-agent字段里字符串。
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
参考推荐
MITRE-ATT&CK-T1595-001
https://attack.mitre.org/techniques/T1595/001/
常见扫描器或者自动化工具的特征(指纹)