T1595-002-主动扫描_漏洞扫描
来自ATT&CK的描述
攻击者可能会在实施攻击前扫描漏洞来确定攻击目标。漏洞扫描通常会检查目标主机/应用程序(例如:软件和版本)的配置是否有攻击者试图利用的漏洞。
这些扫描还可能包括收集受害者主机信息等其它尝试,从而识别更常见的可利用漏洞。漏洞扫描通常是通过服务器banner、监听端口或其他网络工件来获取运行软件和版本号。扫描所获取的信息可能会触发其他形式的侦察行动(例如:搜索开放网站/域或搜索公开技术数据库),从而建立运营资源(例如:开发能力或获取能力),或实现初始访问(例如:面向公众应用的漏洞利用)。
测试案例
常见扫描器
检测日志
HTTP流量
测试复现
暂无实测示例
测试留痕
暂无实测,故无留痕
检测规则/思路
常见扫描器特征
Awvs(Acunetix Web Vulnerability Scanner )版本10.5和11
Awvs在请求的Url,Headers, Body三项里随机包含了能代表自己的特征信息
<1> Url:
acunetix-wvs-test-for-some-inexistent-file
by_wvs
acunetix_wvs_security_test
acunetix
acunetix_wvs
acunetix_test
<2> Headers:
Acunetix-Aspect-Password:
Cookie: acunetixCookie
Location: acunetix_wvs_security_test
X-Forwarded-Host: acunetix_wvs_security_test
X-Forwarded-For: acunetix_wvs_security_test
Host: acunetix_wvs_security_test
Cookie: acunetix_wvs_security_test
Cookie: acunetix
Accept: acunetix/wvs
Origin: acunetix_wvs_security_test
Referer: acunetix_wvs_security_test
Via: acunetix_wvs_security_test
Accept-Language: acunetix_wvs_security_test
Client-IP: acunetix_wvs_security_test
HTTP_AUTH_PASSWD: acunetix
User-Agent: acunetix_wvs_security_test
Acunetix-Aspect-Queries:任意值
Acunetix-Aspect:任意值
<3> Body (请求的post信息)
acunetix_wvs_security_test
acunetix
Netsparker
Netsparker依然在请求的Url,Headers, Body三项里随机包含了能代表自己的特征信息
<1> Url
netsparker
Netsparker
ns: netsparker
<2> Headers
X-Scanner: Netsparker
Location: Netsparker
Accept: netsparker/check
Cookie: netsparker
Cookie: NETSPARKER
<3> Body
netsparker
Appscan
Appscan依然在请求的Url,Headers, Body三项里随机包含了能代表自己的特征信息
<1>Url
Appscan
<2> Headers
Content-Type: Appscan
Content-Type: AppScanHeader
Accept: Appscan
User-Agent:Appscan
<3> Body
Appscan
Webinspect
Webinspect依然在请求的Url,Headers, Body三项里随机包含了能代表自己的特征信息
<1> Url
HP404
<2> Headers
User-Agent: HP ASC
Cookie: webinspect
X-WIPP: 任意值
X-Request-Memo: 任意值
X-Scan-Memo: 任意值
Cookie: CustomCookie
X-RequestManager-Memo: 任意值
<3> Body
Webinspect
Rsas (绿盟极光)
Rsas 的主要的特征在Url和Headers中
<1> Url
nsfocus
<2> Headers
User-Agent: Rsas
Nessus
Nessus的特征主要在Url,Headers,Body中
<1> Url
nessus
Nessus
<2> Headers
x_forwarded_for: nessus
referer: nessus
host: nessus
<3> Body
nessus
Nessus
WebReaver
WebReaver的特征只在Headers中的UA中
<1> Headers
User-Agent: WebReaver
Sqlmap
Sqlmap在Url,Headers,Body中都含有特征值
<1> Url
sqlmap
<2> Headers
User-Agent: sqlmap(后接版本号,跟当前版本有关系)
<3> Body
sqlmap
NMAP
最近做分析监测到的特征
user-agent:Nmap Scripting Engine; https://nmap.org/book/nse.html
建议
监控可能存在扫描的可疑网络流量,例如来自单个源的大量流量(尤其是如果已知该源与攻击者或僵尸网络相关联)。分析Web访问数据也可能会发现潜在恶意活动的特征,例如referer值或HTTP/S中的user-agent字段里字符串。
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
参考推荐
MITRE-ATT&CK-T1595-002
https://attack.mitre.org/techniques/T1595/002/
常见扫描器或者自动化工具的特征(指纹)