Техника на mitre.org

T1594: Поиск на сайтах атакуемой организации

Злоумышленники могут искать информацию на сайтах атакуемых организаций, чтобы использовать ее для атак. Веб-сайты жертв могут содержать информацию о названиях отделов и других подразделений, об их физическом местонахождении и о ключевых сотрудниках, включая имена, роли и контактные данные (например, адреса электронной почты). На этих сайтах также может быть представлена подробная информация о деловых операциях и отношениях.

Злоумышленники могут искать на веб-сайтах атакуемых организаций информацию, полезную для организации атак. Информация из этих источников может открыть дополнительные возможности для разведки (например, фишинга с целью сбора сведений или поиска технической информации в общедоступных источниках) и способствовать получению операционных ресурсов (в частности, созданию учетных записей или компрометации учетных записей) и (или) обеспечению первоначального доступа (например, путем фишинга или эксплуатации доверительных отношений).

Способы обнаружения

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Отслеживайте подозрительный сетевой трафик, который может указывать на проведение разведки злоумышленниками, например многочисленные запросы за короткий промежуток времени (что может свидетельствовать о сборе данных с помощью поисковых роботов) и (или) большое количество запросов исходящих из одного источника, особенно если он связан с известными злоумышленниками. Анализ метаданных веб-страниц позволяет обнаружить артефакты, потенциально связанные с вредоносной активностью, такие как поля HTTP- и HTTPS-заголовков Referer или User-Agent.

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. Усилия должны быть направлены на минимизацию объема и конфиденциальности данных, доступных внешним сторонам.