跳转至

T1586-002-盗取账户-电子邮箱账户

来自ATT&CK的描述

攻击者可能会盗用可在目标攻击中使用的电子邮件账户。攻击者可以使用被盗用的电子邮件账户来推进他们的行动,例如利用它们来进行信息钓鱼或网络钓鱼。如果潜在的受害者与被攻击的角色有关系,或者知道被攻击的角色,那么利用现有的角色与被攻击的电子邮件账户可能会使他们产生一定程度的信任。被入侵的电子邮件账户也可用于获取基础设施(例如:域名)。

盗取电子邮件账户的方法有很多,例如通过钓鱼网站收集信息,从第三方网站购买证书,或通过暴力破解(例如:从违规凭据转储中重用密码,简单理解:撞库)。在盗取电子邮件账户之前,攻击者可能会进行侦察,以决定破坏哪些账户来推进其行动。

攻击者可以利用被入侵的电子邮件账户,来劫持与感兴趣的目标的现有电子邮件线程。

测试案例

很好理解,这里不做任何案例说明。

检测日志

无法有效监测

测试复现

测试留痕

检测规则/思路

建议

缓解措施

这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。

检测

大部分此类活动将在目标组织的可见性之外进行,因此很难检测到这种行为。检测工作可能集中在攻击生命周期的相关阶段,例如在初始访问期间(例如:网络钓鱼)。

参考推荐

MITRE-ATT&CK-T1586-002

https://attack.mitre.org/techniques/T1586/002/