跳转至

T1595-002-主动扫描_漏洞扫描

来自ATT&CK的描述

攻击者可能会在实施攻击前扫描漏洞来确定攻击目标。漏洞扫描通常会检查目标主机/应用程序(例如:软件和版本)的配置是否有攻击者试图利用的漏洞。

这些扫描还可能包括收集目标组织的主机信息等其它尝试,从而识别更常见的可利用漏洞。漏洞扫描通常是通过服务器banner、监听端口或其他网络组件(Tomcat\Weblogic等)来获取运行软件和版本号。

测试案例

常见扫描器(Nucei\Awvs\Xray)

检测日志

HTTP流量

测试复现

暂无实测示例

测试留痕

暂无实测,故无留痕

检测规则/思路

常见扫描器特征

Awvs(Acunetix Web Vulnerability Scanner )版本10.5和11

Awvs在请求的Url,Headers, Body三项里随机包含了能代表自己的特征信息

<1> Url:
acunetix-wvs-test-for-some-inexistent-file
by_wvs
acunetix_wvs_security_test
acunetix
acunetix_wvs
acunetix_test
<2> Headers:
Acunetix-Aspect-Password:
Cookie: acunetixCookie
Location: acunetix_wvs_security_test
X-Forwarded-Host: acunetix_wvs_security_test
X-Forwarded-For: acunetix_wvs_security_test
Host: acunetix_wvs_security_test
Cookie: acunetix_wvs_security_test
Cookie: acunetix
Accept: acunetix/wvs
Origin: acunetix_wvs_security_test
Referer: acunetix_wvs_security_test
Via: acunetix_wvs_security_test
Accept-Language: acunetix_wvs_security_test
Client-IP: acunetix_wvs_security_test
HTTP_AUTH_PASSWD: acunetix
User-Agent: acunetix_wvs_security_test
Acunetix-Aspect-Queries:任意值
Acunetix-Aspect:任意值
<3> Body (请求的post信息)
acunetix_wvs_security_test
acunetix

Netsparker

Netsparker依然在请求的Url,Headers, Body三项里随机包含了能代表自己的特征信息

<1> Url
netsparker
Netsparker
ns: netsparker
<2> Headers
X-Scanner: Netsparker
Location: Netsparker
Accept: netsparker/check
Cookie: netsparker
Cookie: NETSPARKER
<3> Body
netsparker

Appscan

Appscan依然在请求的Url,Headers, Body三项里随机包含了能代表自己的特征信息

<1>Url
Appscan
<2> Headers
Content-Type: Appscan
Content-Type: AppScanHeader
Accept: Appscan
User-Agent:Appscan
<3> Body
Appscan

Webinspect

Webinspect依然在请求的Url,Headers, Body三项里随机包含了能代表自己的特征信息

<1> Url
HP404
<2> Headers
User-Agent: HP ASC
Cookie: webinspect
X-WIPP: 任意值
X-Request-Memo: 任意值
X-Scan-Memo: 任意值
Cookie: CustomCookie
X-RequestManager-Memo: 任意值
<3> Body
Webinspect

Rsas (绿盟极光)

Rsas 的主要的特征在Url和Headers中

<1> Url
nsfocus
<2> Headers
User-Agent: Rsas

Nessus

Nessus的特征主要在Url,Headers,Body中

<1> Url
nessus
Nessus
<2> Headers
x_forwarded_for: nessus
referer: nessus
host: nessus
<3> Body
nessus
Nessus

WebReaver

WebReaver的特征只在Headers中的UA中

<1> Headers
User-Agent: WebReaver

Sqlmap

Sqlmap在Url,Headers,Body中都含有特征值

<1> Url
sqlmap
<2> Headers
User-Agent: sqlmap(后接版本号,跟当前版本有关系)
<3> Body
sqlmap

NMAP

最近做分析监测到的特征

user-agent:Nmap Scripting Engine; https://nmap.org/book/nse.html

建议

监控可能存在扫描的可疑网络流量,例如来自单个源的大量流量(尤其是如果已知该源与攻击者或僵尸网络相关联)。分析Web访问数据也可能会发现潜在恶意活动的特征,例如referer值或HTTP/S中的user-agent字段里字符串。

许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。

检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。

参考推荐

MITRE-ATT&CK-T1595-002

https://attack.mitre.org/techniques/T1595/002/

常见扫描器或者自动化工具的特征(指纹)

https://www.freebuf.com/column/156291.html