T1590-006-收集目标组织网络信息-网络安全设备

来自ATT&CK的描述

攻击者可能会事先收集攻击目标的网络安全设备信息。网络安全设备的信息可能包括各种详细信息，例如已部署的防火墙，内容筛选器和代理/堡垒主机的存在和详细信息。攻击者还可能针对地收集有关受害者的网络入侵检测系统（NIDS）或其他与防御性网络安全操作有关的设备的信息。

攻击者可以通过不同的方式收集这些信息，例如通过主动扫描或钓鱼。网络安全设备信息也可能通过在线或其他可访问的数据集（例如：搜索受害者拥有的网站）暴露给攻击者。这些信息可能为如下活动提供可能性：其他形式的侦察活动（例如：搜索公开技术数据库，搜索开放网站/域)，建立运营资源（例如：开发能力， 获取能力），或实现初始访问（例如：外部远程服务）。

测试案例

红队必备：WEB蜜罐识别阻断插件

https://www.freebuf.com/articles/web/246938.html

公开的采购信息等。

检测日志

无法有效监测

测试复现

无

测试留痕

无

检测规则/思路

无

建议

许多此类活动的发生频率和误报率可能很高，并且有可能发生在目标组织的可见性之外，从而使防御者难以发现。

检测工作可能集中在攻击者生命周期的相关阶段，例如在首次访问期间。

关联TIP

[[T1590-001-收集目标组织网络信息-域属性]] [[T1590-002-收集目标组织网络信息-DNS]] [[T1590-003-收集目标组织网络信息-网络信任关系]] [[T1590-004-收集目标组织网络信息-网络拓扑]] [[T1590-005-收集目标组织网络信息-IP地址]]

参考推荐

MITRE-ATT&CK-T1590-006

https://attack.mitre.org/techniques/T1590/006/

红队必备：WEB蜜罐识别阻断插件

https://www.freebuf.com/articles/web/246938.html