T1596-005-搜索开放的技术数据库-公开的扫描数据库

来自ATT&CK的描述

入侵受害者之前，攻击者可以在公开的扫描数据中搜索可在目标确定期间使用的有关受害者的信息。各种在线服务不断发布Internet扫描/调查的结果，经常收集诸如活动IP地址，主机名，开放端口，证书甚至服务器旗标之类的信息。（引自：Shodan）

击者可以搜索扫描数据库以收集可操作的信息。威胁方可以使用在线资源和查找工具从这些服务中收集信息。攻击者可能会寻求已确定目标的相关信息，或使用这些数据集来发现成功突破的机会。这些来源提供的信息可能为如下活动提供可能性：其他形式的侦察活动（例如：主动扫描或搜索开放网站/域），建立运营资源（例如：开发能力或获取能力），或实现初始访问（例如：外部远程服务或面向公众应用的漏洞利用）。

测试案例

例如利用fofa、zoomeye、quake、shodan等空间测绘系统，收集相关用户信息。

FOFA: https://fofa.so/

zoomeye: https://www.zoomeye.org/

quake: https://quake.360.cn/quake/#/index

shodan: https://www.shodan.io/

检测日志

无

测试复现

无

测试留痕

无

检测规则/思路

无

建议

许多此类攻击活动的发生率很高，并且相关的误报率也很高，并且有可能发生在目标组织的监测范围之外，从而使防御者难以发现。

检测工作可能会集中在攻击生命周期的相关阶段，例如在"初始访问"阶段。

参考推荐

MITRE-ATT&CK-T1596-005

https://attack.mitre.org/techniques/T1596/005/