T1596-005-搜索开放的技术数据库-扫描数据库
来自ATT&CK的描述
攻击者可能会在公共扫描数据库中搜索有关受害者的信息,以便在定位时使用。各种在线服务不断公布互联网扫描/调查的结果,通常会收集诸如活跃的IP地址、主机名、开放的端口、证书,甚至是服务器的标语等信息。
攻击者可以搜索扫描数据库,以收集可操作的信息。威胁者可以利用在线资源和查询工具,从这些服务中获取信息。威胁者可能会寻求有关他们已经确定的目标的信息,或者使用这些数据集来发现成功入侵的机会。来自这些资源的信息可能揭示了其他形式的侦察(例如:主动扫描或搜索开放网站/域)、建立行动资源(例如:开发能力或获得能力)和/或初始访问(例如:外部远程服务或利用面向公众的应用程序)的机会。
测试案例
例如利用fofa、zoomeye、quake、shodan等空间测绘系统,收集相关用户信息。
FOFA: https://fofa.so/
zoomeye: https://www.zoomeye.org/
quake: https://quake.360.cn/quake/#/index
shodan: https://www.shodan.io/
检测日志
无
测试复现
无
测试留痕
无
检测规则/思路
无
建议
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
参考推荐
MITRE-ATT&CK-T1596-005