T1592-002-收集目标组织主机信息-软件信息
来自ATT&CK的描述
攻击者可能会事先收集攻击目标的主机软件信息,可能包括各种细节信息如主机上的软件类型和版本,是否有防御软件(如防病毒、SIEM组件)等。
软件信息可能是攻击者通过主动扫描(例如监听端口,服务器banner,用户代理字符串),钓鱼,或攻击网站后使用恶意软件等方式主动收集的(引自:ATT ScanBox),也可能是通过在线或其他可访问的数据集(例如职位发布,网络地图,评估报告,简历或购买发票)暴露给攻击者的。收集这些信息可能会触发其他形式的侦察行动(例如:搜索开放网站/域或者搜索公开技术数据库)),从而建立运营资源(例如:开发能力或获取能力),或实现初始访问(例如:供应链攻陷或外部远程服务)。
测试案例
指纹识别:在渗透测试中,对目标服务器进行指纹识别是相当有必要的,因为只有识别出相应的Web容器或者CMS,才能查找与其相关的漏洞,然后才能进行相应的渗透操作。
在线指纹识别网站: TSscan: https://scan.top15.cn/web/
BugScaner: http://whatweb.bugscaner.com/look/
云悉指纹: http://www.yunsee.cn/finger.html
WhatWeb: http://whatweb.bugscaner.com/look/
常见的网站指纹识别工具有:whatweb,wappalyzer火狐插件等。
检测日志
无
测试复现
无
测试留痕
无
检测规则/思路
无
建议
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的视野之外,从而使防御者难以发现。
检测工作可能会集中在攻击者生命周期的相关阶段,例如在"初始访问"阶段。
关联TIP
[[T1592-001-收集目标组织主机信息-硬件信息]] [[T1592-004-收集目标组织主机信息-客户端配置]] [[T1592-003-收集目标组织主机信息-固件信息]]
参考推荐
MITRE-ATT&CK-T1592-002
https://attack.mitre.org/techniques/T1592/002/
指纹识别大全