T1596-005-搜索开放的技术数据库-扫描数据库

来自ATT&CK的描述

攻击者可能会在公共扫描数据库中搜索有关受害者的信息，以便在定位时使用。各种在线服务不断公布互联网扫描/调查的结果，通常会收集诸如活跃的IP地址、主机名、开放的端口、证书，甚至是服务器的标语等信息。

攻击者可以搜索扫描数据库，以收集可操作的信息。威胁者可以利用在线资源和查询工具，从这些服务中获取信息。威胁者可能会寻求有关他们已经确定的目标的信息，或者使用这些数据集来发现成功入侵的机会。来自这些资源的信息可能揭示了其他形式的侦察（例如：主动扫描或搜索开放网站/域）、建立行动资源（例如：开发能力或获得能力）和/或初始访问（例如：外部远程服务或利用面向公众的应用程序）的机会。

测试案例

例如利用fofa、zoomeye、quake、shodan等空间测绘系统，收集相关用户信息。

FOFA: https://fofa.so/

zoomeye: https://www.zoomeye.org/

quake: https://quake.360.cn/quake/#/index

shodan: https://www.shodan.io/

检测日志

无

测试复现

无

测试留痕

无

检测规则/思路

无

建议

许多此类攻击活动的发生率很高，并且相关的误报率也很高，并且有可能发生在目标组织的监测范围之外，从而使防御者难以发现。

检测工作可能会集中在攻击生命周期的相关阶段，例如在"初始访问"阶段。

参考推荐

MITRE-ATT&CK-T1596-005

https://attack.mitre.org/techniques/T1596/005/