跳转至

T1591-003-收集受害者组织信息-确定业务节奏

来自ATT&CK的描述

攻击者可能会收集与目标组织的业务有关的信息,这些信息可以在定位过程中使用。有关组织业务信息可能包括各种详细信息,包括每周的工作时间/天。此信息还可能显示受害者的硬件和软件资源的购买和运输时间/日期。

攻击者可以通过多种方式收集此信息,例如通过“网络钓鱼诱骗”直接诱捕。有关业务节奏的信息也可能会通过在线或其他可访问的数据集(例如,社交媒体或受害人拥有的网站)暴露给攻击者。

测试案例

个人理解:此技术可能在社工前期使用,观察受害者上下班时间、车辆进入情况,为后续物理入侵提供一些帮助。

检测日志

测试复现

测试留痕

检测规则/思路

建议

许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。

检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。

关联TIP

[[T1591-001-收集目标组织信息-确定物理位置]] [[T1591-002-收集目标组织信息-业务关系]] [[T1591-004-收集目标组织信息-确定角色]]

参考推荐

MITRE-ATT&CK-T1591-003

https://attack.mitre.org/techniques/T1591/003/