T1594-搜索受害者所拥有的网站
来自ATT&CK的描述
攻击者可能会搜索目标组织拥有的网站,以获取可在目标攻击中使用的信息。目标组织拥有的网站可能包含各种细节,包括部门/分部的名称、物理位置和关键员工的数据,如姓名、角色和联系信息(例如:电子邮件地址)。这些网站还可能有突出商业运作和关系的细节。
攻击者可能会搜索目标组织拥有的网站,以收集可操作的信息。来自这些来源的信息可能会提供其他形式的侦察机会(例如:钓鱼信息或搜索开放式技术数据库),建立业务资源(例如:建立账户或破坏账户)或初始访问(例如:信任关系或钓鱼)。
测试案例
个人理解:收集网站上公布的人事信息(政府网站居多)、管理员邮箱信息等。
检测日志
无
测试复现
无
测试留痕
无
检测规则/思路
无
建议
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
参考推荐
MITRE-ATT&CK-T1594