T1589-001-收集目标组织身份信息-凭证
来自ATT&CK的描述
在入侵受害者之前,攻击者可能会收集凭证信息,这些信息可以在目标定位期间使用。攻击者收集的帐户凭据可以是与目标受害者组织直接相关的凭据,也可以尝试利用用户倾向于在个人帐户和企业帐户中使用相同密码的趋势。
攻击者可以通过各种方式收集此信息,例如通过钓鱼。攻击者还可能入侵站点,然后植入旨在收集访问者网站认证cookie的恶意内容(引自:ATT ScanBox)。凭证信息也可能通过在线或其他可访问的数据集(例如:搜索引擎,泄露凭据转储,代码仓库等)暴露给攻击者(引自:Register Deloitte)(引自:Register Uber)(引自:Detectify Slack Tokens)(引自:Forbes GitHub Creds)(引自:GitHub truffleHog)(引自:GitHub Gitrob)(引自:CNET Leaks)。攻击者还可以从暗网或其他黑市购买凭证。收集这些信息可能为其他形式的侦察提供可能性(例如:搜索开放网站/域或钓鱼),建立运营资源(例如:入侵账号),或实现初始访问(例如:外部远程服务或有效账号)。
测试案例
1、在tg-sgk机器人处直接输入受害者的邮箱、微博地址、手机号码、QQ等进行查寻受害者的密码信息。 2、google hacking:常见搜索引擎,shodan/FOFA/Zoomeye等。
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的视野之外,从而使防御者难以发现。
检测工作可能会集中在攻击者生命周期的相关阶段,例如在"初始访问"阶段。
关联TIP
[[T1589-002-收集目标组织身份信息-邮箱地址]]
[[T1589-003-收集目标组织身份信息-员工姓名]]
参考推荐
MITRE-ATT&CK-T1589-001