跳转至

T1590-001-收集目标组织网络信息-网络信任关系

来自ATT&CK的描述

在入侵受害者之前,攻击者可能会收集受害者网络信任关系的信息。有关网络信任的信息可能包括各种详细信息,包括已连接(并可能提升了的)网络访问权限的第二或第三方组织/域(例如:托管服务提供商,承包商等)。

攻击者可以通过不同的方式收集这些信息,例如通过网络钓鱼诱骗收集。有关网络信任的信息也可以通过在线或其他可访问的数据集(例如:搜索公开技术数据库)暴露给攻击者。收集这些信息可能为如下活动提供可能性:其他形式的侦察活动(例如:主动扫描,或搜索开放网站/域),建立运营资源(例如:获取基础设施或入侵基础设施),或实现初始访问(例如:信任关系)。

测试案例

简单举个例子:比如一些特殊行业,航空、金融、运营商,和分公司或者第三方公司之间都是专线,通过入侵分公司、第三方公司,获取权限,走专有网络进入目标网络内。

检测日志

无法有效监测

测试复现

测试留痕

检测规则/思路

建议

许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的视野之外,从而使防御者难以发现。

检测工作可能会集中在攻击者生命周期的相关阶段,例如在"初始访问"阶段。

关联TIP

[[T1590-001-收集目标组织网络信息-域属性]] [[T1590-002-收集目标组织网络信息-DNS]] [[T1590-004-收集目标组织网络信息-网络拓扑]] [[T1590-005-收集目标组织网络信息-IP地址]] [[T1590-006-收集目标组织网络信息-网络安全设备]]

参考推荐

MITRE-ATT&CK-T1590-003

https://attack.mitre.org/techniques/T1590/003/