T1586-001-盗取账户-社交媒体账户
来自ATT&CK的描述
攻击者可能会盗取社交媒体账户,这些账户可以在目标攻击中使用。对于包含社会工程的行动,利用在线角色可能很重要。与其创建和培养社交媒体档案(即社交媒体账户),攻击者可能会盗用现有的社交媒体账户。如果潜在的受害者与被攻击者有关系,或者知道被攻击者的情况,那么利用现有的角色可以使他们产生一定程度的信任。
破坏社交媒体账户的方法有很多,比如通过钓鱼网站收集信息,从第三方网站购买信息,或者通过暴力破解信息(例如:从泄露的信息转储中重复使用密码,简单理解:就是撞库)在盗用社交媒体账户之前,攻击者可能会进行侦察,以决定破坏哪些账户来推进其行动。
社交媒体账户(角色)可能存在于一个网站或多个网站上(例如:Facebook、LinkedIn、Twitter等)。被入侵的社交媒体账户可能需要额外的开发,这可能包括填写或修改个人资料信息,进一步开发社交网络,或加入照片。
攻击者可以利用被盗用的社交媒体资料创建新的,或劫持现有的,与感兴趣的目标的联系。这些连接可能是直接的,也可能包括试图通过他人进行连接。在攻击生命周期的其他阶段,例如在初始访问期间(例如:通过服务进行网络钓鱼),可以利用被盗用的账户。
测试案例
简单理解:盗用一些社交媒体账户,比如xxx公司的财务人员,然后通过该账户和其他员工沟通交流,或者直接利用该账户和目标进行沟通。比如最常见的定位攻击人员身份信息,通过QQ联系,将自己的QQ信息更改为和攻击人员具有一定的相似之处(同一所学校、同一个专业等),可以帮助你获取到一定程度的信任。这是溯源攻击人员身份的方式之一,同样也可以是攻击者对攻击目标进行社会工程行动的一部分。
具体案例可参考:
记一次艰难的溯源故事(对不起学长):https://xz.aliyun.com/t/9582
有这么一段描述:”用一个qq等级高点的小号,修改好资料,99年,18届,某某院校,计算机专业,空间搞了些在贴吧找的学校照片。写上18届的学弟想咨询就业信息,订~好友申请已发送。既然是做梦,肯定是半夜,应该是12点左右看到通过了请求,也就过了十来分钟吧。正准备发构思好的问候学长的话。好家伙,直接给我来了一大波内推。这里暗示的提了一下自己是做开发的不是网络安全降低警惕心。“
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
考虑监测与你的组织有关的社交媒体活动。可疑的活动可能包括声称为您的组织工作的角色,或最近修改过的账户向与您的组织相关的账户提出大量连接请求。
检测工作可以集中在攻击生命周期的相关阶段,例如在初始访问期间(例如:通过服务进行鱼叉式钓鱼)。
参考推荐
MITRE-ATT&CK-T1586-001
https://attack.mitre.org/techniques/T1586/001/
记一次艰难的溯源故事(对不起学长)