T1590.005: IP-адреса

Злоумышленники могут собирать IP-адреса атакуемой инфраструктуры, чтобы использовать их для атак. Публичные IP-адреса могут быть выделены организациям в виде блока или диапазона последовательных адресов. Информация о назначенных IP-адресах может включать такие подробности, как список используемых IP-адресов. IP-адреса могут помочь злоумышленнику получить дополнительные сведения о жертве, включая размер организации, физическое местоположение, поставщика интернет-услуг и особенности развертывания ее инфраструктуры с выходом в интернет.

Злоумышленники могут собирать эти данные различными способами, в том числе напрямую путем активного сканирования или фишинга с целью сбора сведений. Информация о назначенных целевой организации IP-адресах также может быть найдена в интернете или других доступных источниках, например путем поиска технической информации в общедоступных источниках. Сбор этой информации может открыть дополнительные возможности для разведки (например, активного сканирования или поиска на общедоступных сайтах) и способствовать получению операционных ресурсов (в частности, приобретению инфраструктуры или компрометации сторонней инфраструктуры) и (или) обеспечению первоначального доступа (например, путем эксплуатации внешних служб удаленного доступа).

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

This technique cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls. Efforts should focus on minimizing the amount and sensitivity of data available to external parties.