T1589: Сбор информации об атакуемых пользователях
Злоумышленники могут собирать информацию о пользователях атакуемых инфраструктур, чтобы использовать ее для атак. Такая информация может включать личные данные разного уровня секретности, такие как имена сотрудников, адреса электронной почты, ответы на секретные вопросы, учетные данные и настройки многофакторной аутентификации (MFA).
Злоумышленники могут собирать эти данные различными способами, в том числе напрямую путем фишинга с целью сбора сведений, а также другими активными методами (техника Активное сканирование), например путем анализа ответов служб аутентификации на запросы, специально сформулированные для выявления действительных имен пользователей в системе, а также разрешенных методов аутентификации или настроек MFA, связанных с этими именами пользователей. Информация о жертвах также может быть найдена в интернете или других доступных источниках (например, в социальных сетях или на сайтах атакуемой организации).
Сбор этой информации может открыть дополнительные возможности для разведки (например, поиска на общедоступных сайтах или фишинга с целью сбора сведений) и способствовать получению операционных ресурсов (в частности, компрометации учетных записей) и (или) обеспечению первоначального доступа (например, путем фишинга или компрометации существующих учетных записей).
Какие продукты Positive Technologies покрывают технику
Как детектировать
PT AF может обнаруживать утечки данных, содержащие информацию об атакуемых пользователях.
Подтехники
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте подозрительный сетевой трафик, который может свидетельствовать о поиске информации о пользователях, например многочисленные и повторяющиеся запросы на аутентификацию, исходящие из одного источника (особенно если известно, что этот источник связан со злоумышленником или ботнетом). Анализ метаданных веб-страниц позволяет обнаружить артефакты, потенциально связанные с вредоносной активностью, такие как поля HTTP- и HTTPS-заголовков referer или user-agent. |
---|
Меры противодействия
ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. Усилия должны быть направлены на минимизацию объема и конфиденциальности данных, доступных внешним сторонам. |
---|