跳转至

T1596-003-搜索开放的技术数据库-数字签名

来自ATT&CK的描述

在入侵受害者之前,攻击者可以在公开的数字证书数据中搜索可在目标确定期间使用的有关受害者的信息。数字证书由证书颁发机构(CA)颁发,以加密方式验证签名内容的来源。这些证书,例如用于加密Web流量(HTTPS SSL / TLS通信)的证书,包含有关注册组织的信息,例如名称和位置。

攻击者可以搜索数字证书数据以收集可操作的信息。威胁方可以使用在线资源和查找工具来收集有关证书的信息(引自:SSLShopper Lookup) 。数字证书数据也可以从组织签名的工件中获得(例如:加密的网络流量中使用的证书随内容一起提供)(引自:Medium SSL Cert)。 这些来源提供的信息可能为其他形式的侦察提供可能性(例如:主动扫描钓鱼),建立运营资源(例如:开发能力获取能力),或实现初始访问(例如:外部远程服务信任关系)。

测试案例

证书透明度(Certificate Transparency,CT)是证书授权机构(CA)的一个项目,证书授权机构会为每一个SSL/TLS证书发布到公共日志中。一个SSL/TLS证书通常包含域名、子域名和邮箱地址,这些也经常成为攻击者非常希望获得的有用信息。查找某个域名所属证书的最简单的方法就是使用搜索引擎搜索一些公开的CT日志。

  1. https://crt.sh/

  2. https://censys.io/

  3. https://developers.facebook.com/tools/ct/

  4. https://google.com/transparencyreport/https/ct/

检测日志

测试复现

测试留痕

检测规则/思路

建议

许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。

检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。

参考推荐

MITRE-ATT&CK-T1596-003

https://attack.mitre.org/techniques/T1596/003/

全流程信息收集方法总结

https://www.freebuf.com/articles/database/195169.html

【知了堂信安笔记】渗透测试之信息收集(二)

https://zhuanlan.zhihu.com/p/86250911