跳转至

T1590-005-收集目标组织网络信息-IP地址

来自ATT&CK的描述

攻击者可能会事先收集攻击目标的IP地址信息。公共IP地址可能是按块分配给企业的,也可能是一系列连续地址分配给企业的。已分配IP地址信息可能包括各种细节信息,比如当前使用的IP地址。收集已分配的IP地址信息,攻击者可以了解当前在用的IP地址,也可能推导出攻击目标的其他细节,比如组织规模、地理位置、Internet服务提供商以及面向公众基础设施的部署位置/方式。

IP地址信息可能是攻击者通过主动扫描钓鱼等方式主动收集的,也可能是通过在线或其他可访问的数据集如搜索公开技术数据库暴露给攻击者的(引自:WHOIS)(引自:DNS Dumpster)(引自:Circl Passive DNS)。收集这些信息可能会触发其他形式的侦察行动(例如:主动扫描搜索开放网站/域),从而建立运营资源(例如:获取基础设施入侵基础设施),或实现初始访问(例如:外部远程服务)。

测试案例

扫描工具:Nmap、Goby、masscan等

空间搜索引擎:FOFA、Zoomeye等

绕过CDN查找真实IP: https://blog.csdn.net/weixin_45677119/article/details/110870703

检测日志

无法有效监测

测试复现

测试留痕

检测规则/思路

建议

许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的视野之外,从而使防御者难以发现。

检测工作可能会集中在攻击者生命周期的相关阶段,例如在"初始访问"阶段。

关联TIP

[[T1590-001-收集目标组织网络信息-域属性]] [[T1590-002-收集目标组织网络信息-DNS]] [[T1590-003-收集目标组织网络信息-网络信任关系]] [[T1590-004-收集目标组织网络信息-网络拓扑]] [[T1590-006-收集目标组织网络信息-网络安全设备]]

参考推荐

MITRE-ATT&CK-T1590-005

https://attack.mitre.org/techniques/T1590/005/

渗透测试-----信息收集(通过DNS解析找IP地址、CDN、IP查询、IP物理地址、搜索引擎、网站信息收集)

https://blog.csdn.net/weixin_45677119/article/details/110870703