跳转至

T1585-001-创建账户-社交媒体账户

来自ATT&CK的描述

攻击者可以创建和培养社交媒体账户,以便在攻击目标时使用。攻击者可以创建社交媒体账户,用来建立一个角色,以进一步开展行动。角色开发包括开发公共信息、存在感、历史和适当的附属关系。

对于包含社会工程的行动来说,在社交媒体上利用一个角色可能很重要。这些角色可能是虚构的,也可能冒充真实的人。角色可以存在于一个社交媒体网站或多个网站上(例如:Facebook、LinkedIn、Twitter等)。在社交媒体上建立一个角色可能需要开发额外的文件,以使他们看起来真实。这可能包括填写个人资料信息,发展社交网络,或加入照片。

一旦建立了一个角色,攻击者就可以利用它与感兴趣的目标建立联系。这些连接可能是直接的,也可能包括试图通过他人进行连接。这些账户可能会在攻击生命周期的其他阶段被利用,例如在初始访问期间(例如:通过服务进行鱼叉式钓鱼)。

测试案例

检测日志

无法有效监测

测试复现

测试留痕

检测规则/思路

建议

缓解措施

这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。

检测

考虑监测与你的组织有关的社交媒体活动。可疑的活动可能包括声称为您的组织工作的角色,或最近修改过的账户向与您的组织相关的账户提出大量连接请求。

检测工作可以集中在攻击生命周期的相关阶段,例如在初始访问期间(例如:通过服务进行鱼叉式钓鱼)。

参考推荐

MITRE-ATT&CK-T1585-001

https://attack.mitre.org/techniques/T1585/001/