T1596-004-搜索开放的技术数据库-CDN

来自ATT&CK的描述

攻击者可以搜索有关目标受害者的内容传递网络（CDN）数据。CDN允许组织托管来自分布式，负载均衡的服务器阵列的内容。CDN还可以允许组织根据请求者的地理区域自定义内容传递。

攻击者可以搜索CDN数据用以收集可操作的信息。威胁参与者可以使用在线资源和查找工具来收集有关CDN中内容服务器的信息。攻击者还可能寻求和针对CDN错误配置，这些配置可能泄漏不希望托管的敏感信息或不具有与组织网站上托管的内容相同的保护机制（例如登录门户）。来自这些来源的信息可能会提供其他形式的侦察机会（例如：主动扫描或搜索开放的网站/域），建立运营资源（例如：获取基础设施或损害基础设施）或初始访问（例如：妥协）。

测试案例

挖洞经验|从负载均衡或CDN应用中发现的配置类漏洞

https://www.freebuf.com/vuls/227805.html

检测日志

无

测试复现

无

测试留痕

无

检测规则/思路

无

建议

许多此类攻击活动的发生率很高，并且相关的误报率也很高，并且有可能发生在目标组织的监测范围之外，从而使防御者难以发现。

检测工作可能会集中在攻击生命周期的相关阶段，例如在"初始访问"阶段。

参考推荐

MITRE-ATT&CK-T1596-004

https://attack.mitre.org/techniques/T1596/004/

挖洞经验|从负载均衡或CDN应用中发现的配置类漏洞

https://www.freebuf.com/vuls/227805.html