T1591-002-收集目标组织信息-业务关系

来自ATT&CK的描述

攻击者可能会收集有关目标组织的业务关系信息，这些信息可在目标确定期间使用。有关组织业务关系的信息可能包括各种详细信息，包括已连接（并可能提升了）网络访问权限的第二或第三方组织或域（例如：托管服务提供商，承包商等）。此信息还可能揭示目标组织的硬件和软件资源的供应链和运送路径。

攻击者可以通过多种方式收集此信息，例如通过“网络钓鱼诱骗”直接诱捕。有关业务关系的信息也可能会通过在线或其他可访问的数据集（例如，社交媒体或目标组织拥有的网站）暴露给攻击者。

测试案例

例如受害者的个人社交信息，微博、微信、QQ等。

例如受害组织的上下游关系，比如母子公司关系。

检测日志

无

测试复现

无

测试留痕

无

检测规则/思路

无

建议

许多此类攻击活动的发生率很高，并且相关的误报率也很高，并且有可能发生在目标组织的监测范围之外，从而使防御者难以发现。

检测工作可能会集中在攻击生命周期的相关阶段，例如在"初始访问"阶段。

关联TIP

[[T1591-001-收集目标组织信息-确定物理位置]] [[T1591-003-收集目标组织信息-确定业务节奏]] [[T1591-004-收集目标组织信息-确定角色]]

参考推荐

MITRE-ATT&CK-T1591-002

https://attack.mitre.org/techniques/T1591/002/