T1585-001-创建账户-社交媒体账户
来自ATT&CK的描述
攻击者可以创建和培养社交媒体账户,以便在攻击目标时使用。攻击者可以创建社交媒体账户,用来建立一个角色,以进一步开展行动。角色开发包括开发公共信息、存在感、历史和适当的附属关系。
对于包含社会工程的行动来说,在社交媒体上利用一个角色可能很重要。这些角色可能是虚构的,也可能冒充真实的人。角色可以存在于一个社交媒体网站或多个网站上(例如:Facebook、LinkedIn、Twitter等)。在社交媒体上建立一个角色可能需要开发额外的文件,以使他们看起来真实。这可能包括填写个人资料信息,发展社交网络,或加入照片。
一旦建立了一个角色,攻击者就可以利用它与感兴趣的目标建立联系。这些连接可能是直接的,也可能包括试图通过他人进行连接。这些账户可能会在攻击生命周期的其他阶段被利用,例如在初始访问期间(例如:通过服务进行鱼叉式钓鱼)。
测试案例
无
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
考虑监测与你的组织有关的社交媒体活动。可疑的活动可能包括声称为您的组织工作的角色,或最近修改过的账户向与您的组织相关的账户提出大量连接请求。
检测工作可以集中在攻击生命周期的相关阶段,例如在初始访问期间(例如:通过服务进行鱼叉式钓鱼)。
相关TIP
[[T1585-002-创建账户-电子邮箱账户]]
参考推荐
MITRE-ATT&CK-T1585-001