T1583-002-盗取账户-电子邮箱账户
来自ATT&CK的描述
攻击者可能会创建可在攻击目标中使用的电子邮件账户。攻击者可以使用在电子邮件供应商处创建的账户来推进他们的行动,例如利用它们来进行 "信息钓鱼 "或 "网络钓鱼"。攻击者还可以采取措施,围绕电子邮件账户培养一个角色,例如通过使用社交媒体账户,以增加后续行为的成功机会。创建的电子邮件账户也可用于获取基础设施(例如:域名)。
为了减少将行动与自己联系起来的机会,攻击者可能会使用一次性的电子邮件服务。
测试案例
无
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
大部分此类活动将在目标组织的可见性之外进行,因此很难检测到这种行为。检测工作可能集中在攻击生命周期的相关阶段,例如在初始访问期间(例如:网络钓鱼)。
参考推荐
MITRE-ATT&CK-T1585-002