T1592: Сбор информации об атакуемых узлах
Злоумышленники могут собирать информацию об атакуемых узлах, чтобы использовать ее для атак. Это могут быть различные сведения, включая административные данные (такие как имя, назначенный IP-адрес и функциональность) и особенности конфигурации (такие как операционная система и язык).
Злоумышленники могут собирать эти данные различными способами, в том числе напрямую путем активного сканирования или фишинга с целью сбора сведений. Также злоумышленники могут скомпрометировать сайты и добавить вредоносное содержимое, чтобы собирать у посетителей информацию о хостах. Информация об атакуемых узлах также может быть найдена в интернете или других открытых источниках, например в социальных сетях или путем поиска на сайтах атакуемой организации. Сбор этой информации может открыть дополнительные возможности для разведки (например, поиска на общедоступных сайтах или поиска технической информации в общедоступных источниках) и способствовать получению операционных ресурсов (в частности, разработке собственных средств или подготовке необходимых средств) и (или) обеспечению первоначального доступа (например, путем компрометации цепочки поставок или эксплуатации внешних служб удаленного доступа).
Какие продукты Positive Technologies покрывают технику
Как обнаружить
PT NAD способен обнаруживать использование утилиты Nmap, сканера ZGrab и других популярных инструментов активного сканирования сервисов — с помощью правил обнаружения и модуля, выявляющего аномалии при сетевом сканировании. Данные инструменты позволяют собрать разнообразную информацию о ПО и ОС, которые установлены на сетевых узлах.
Примеры правил обнаружения PT NAD
- SCAN [PTsecurity] Nmap HTTP Probe (sid 10001987)
- SCAN [PTsecurity] zgrab Banner Grabber User-Agent Detected (sid 10003538)
- [ANOMALY] [PTsecurity] TCP SYN scan (sid 13000014)
Подтехники
Способы обнаружения
ID | DS0035 | Источник и компонент данных | Скан интернета: Содержимое ответа | Описание | Для поиска шаблонов вредоносного содержимого, предназначенного для сбора информации об аппаратном обеспечении узлов, с которых заходят посетители, можно использовать интернет-сканеры. Такие действия могут выполняться часто, генерируя большой объем ложных срабатываний, либо за пределами видимости организации, что усложняет их обнаружение. Внимание можно сосредоточить на соответствующих этапах деятельности злоумышленников — например, на этапе первоначального доступа. |
---|
Меры противодействия
ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. Усилия должны быть направлены на минимизацию объема и конфиденциальности данных, доступных внешним сторонам. |
---|