T1596-004-搜索开放的技术数据库-CDN

来自ATT&CK的描述

在入侵受害者之前，攻击者可以在内容分发网络（CDN）数据中搜索可在目标确定期间使用的有关受害者的信息。CDN允许组织托管来自分布式负载均衡服务器阵列的内容。CDN还可以允许组织根据请求者的地理区域自定义内容传递。

攻击者可以搜索CDN数据以收集可操作的信息。威胁方可以使用在线资源和查找工具来收集有关CDN内容服务器的信息。攻击者还可能寻求和定位CDN错误配置，这些CDN配置可能泄漏不打算托管的敏感信息，或不具有与组织网站上托管的内容相同的保护机制（例如登录门户）（引自：DigitalShadows CDN）。这些来源提供的信息可能为其他形式的侦察提供可能性（例如：主动扫描或搜索开放网站/域），建立运营资源（例如：获取基础设施或入侵基础设施），或实现初始访问（例如：路过式下载）。

测试案例

挖洞经验|从负载均衡或CDN应用中发现的配置类漏洞

https://www.freebuf.com/vuls/227805.html

检测日志

无

测试复现

无

测试留痕

无

检测规则/思路

无

建议

许多此类攻击活动的发生率很高，并且相关的误报率也很高，并且有可能发生在目标组织的监测范围之外，从而使防御者难以发现。

检测工作可能会集中在攻击生命周期的相关阶段，例如在"初始访问"阶段。

参考推荐

MITRE-ATT&CK-T1596-004

https://attack.mitre.org/techniques/T1596/004/

挖洞经验|从负载均衡或CDN应用中发现的配置类漏洞

https://www.freebuf.com/vuls/227805.html