T1593-001-搜索开放的域和网站-社交媒体
来自ATT&CK的描述
入侵受害者之前,攻击者可以搜索社交媒体以收集目标确定期间使用的有关受害者的信息。社交媒体网站可能包含有关受害组织的各种信息,例如业务公告以及有关员工的角色,位置和兴趣的信息。
攻击者可以根据他们寻求收集的信息在不同的社交媒体站点中进行搜索,也可能会被动地从这些站点收集数据,并使用收集的信息来创建虚假的个人资料/群组,以诱使受害者泄露特定信息(例如:钓鱼服务)(引自:Cyware Social Media)。这些来源提供的信息可能为如下活动提供可能性:其他形式的侦察活动(例如:钓鱼或搜索公开技术数据库),建立运营资源(例如:建立账号或入侵账号),实现初始访问(例如:通过服务进行鱼叉式钓鱼攻击)。
测试案例
个人理解:攻击者可以通过收集某企业员工信息,比如前期添加好友,观察其社交媒体上的动态,翻看历史动态信息,收集其工作沟通工具、上下班时间等。如对方通过邮箱沟通交流业务,可以进行钓鱼邮件投递进行渗透,获取权限。
检测日志
无
测试复现
无
测试留痕
无
检测规则/思路
无
建议
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
关联TIP
[[T1593-002-搜索开放的域和网站-搜索引擎]]
参考推荐
MITRE-ATT&CK-T1593-001