跳转至

T1596-003-搜索开放的技术数据库-数字证书

来自ATT&CK的描述

攻击者可以在公共数字证书数据中搜索有关受害者使用的目标的信息。数字证书由证书颁发机构(CA)颁发,以加密方式验证签名内容的来源。这些证书(例如用于加密Web流量HTTPS SSL/TLS通信的证书)包含有关注册组织的信息,例如名称和位置。

攻击者可以搜索数字证书数据用于收集可操作的信息。威胁参与者可以使用在线资源和查找工具来收集有关证书的信息。数字证书数据也可以从组织签名的组件中获得(例如:加密的网络流量中使用的证书随内容一起提供)。来自这些来源的信息可能会提供其他形式的侦察机会(例如:主动扫描或网络钓鱼),建立运营资源(例如:开发能力或获得能力)或初始访问(例如:外部远程服务或者信任关系)。

测试案例

证书透明度(Certificate Transparency,CT)是证书授权机构(CA)的一个项目,证书授权机构会为每一个SSL/TLS证书发布到公共日志中。一个SSL/TLS证书通常包含域名、子域名和邮箱地址,这些也经常成为攻击者非常希望获得的有用信息。查找某个域名所属证书的最简单的方法就是使用搜索引擎搜索一些公开的CT日志。

  1. https://crt.sh/

  2. https://censys.io/

  3. https://developers.facebook.com/tools/ct/

  4. https://google.com/transparencyreport/https/ct/

检测日志

测试复现

测试留痕

检测规则/思路

建议

许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。

检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。

参考推荐

MITRE-ATT&CK-T1596-003

https://attack.mitre.org/techniques/T1596/003/

全流程信息收集方法总结

https://www.freebuf.com/articles/database/195169.html

【知了堂信安笔记】渗透测试之信息收集(二)

https://zhuanlan.zhihu.com/p/86250911