跳转至

T1588-006-获取能力-漏洞

来自ATT&CK的描述

攻击者可能会获得有关漏洞的信息,这些信息可以在确定攻击目标的方法时使用。漏洞是计算机硬件或软件中的一个弱点,它有可能被攻击者利用,导致发生非预期或意料之外的行为。攻击者可以通过搜索开放的漏洞数据库或进入封闭的漏洞数据库来寻找漏洞信息。

攻击者可以监视漏洞披露数据库,以了解现有的以及新发现的漏洞的状况。在发现漏洞和公开漏洞之间通常会有延迟。攻击者可能会把那些已知进行漏洞研究的系统作为目标(包括商业供应商)。对漏洞的了解可能会使攻击者寻找现有的漏洞或试图自己挖掘出一个漏洞。

测试案例

暂无

检测日志

无法有效监测

测试复现

测试留痕

检测规则/思路

建议

缓解措施

这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。

检测

大部分此类活动将在目标组织的可见性之外进行,因此很难检测到这种行为。检测工作可能侧重于与漏洞利用的潜在使用相关的行为(即利用面向公众的应用程序、利用客户端执行、利用特权升级、利用防御规避、利用凭据访问、利用远程服务,以及应用程序或系统开发)

参考推荐

MITRE-ATT&CK-T1588-006

https://attack.mitre.org/techniques/T1588/006/