T1595.001: Сканирование блоков IP-адресов

Злоумышленники могут сканировать блоки IP-адресов атакуемых инфраструктур с целью сбора информации для атак. Публичные IP-адреса могут быть выделены организациям в виде блока или диапазона последовательных адресов.

Злоумышленники могут сканировать блоки IP-адресов для сбора информации об атакуемой сетевой инфраструктуре, например о том, какие IP-адреса активны, и о хостах, которым они назначены. Сканирование может варьироваться от простых пингов (запросов и ответов ICMP) до более детального анализа, который выявляет, какое программное обеспечение и каких версий развернуто на хосте, через баннеры сервера или другие сетевые артефакты. Собранная при сканировании информация может открыть дополнительные возможности для разведки (например, поиска на общедоступных сайтах или поиска технической информации в общедоступных источниках) и способствовать получению операционных ресурсов (в частности, разработке собственных средств или подготовке необходимых средств) и (или) обеспечению первоначального доступа (например, путем эксплуатации внешних служб удаленного доступа).

Какие продукты Positive Technologies покрывают технику

Как обнаружить

PT NAD способен обнаруживать различные варианты использования популярной утилиты Nmap — при помощи правил детектирования, модулей ленты активностей и фильтров.

Примеры правил обнаружения PT NAD

[ANOMALY] TCP SYN Scan (sid 13000014)
SCAN [PTsecurity] Nmap HTTP Probe (sid 10001987)
TOOLS [PTsecurity] Nmap SMB Script running (sid 10003984)

Примеры фильтров PT NAD

os.client ~ "map"

Модули обнаружения PT NAD

Активность сканера сети
[Аномалия] Медленное сканирование

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

Источник и компонент данных

Описание

DS0029

Сетевой трафик: Поток сетевого трафика

Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

ID	Название	Описание
M1056	Предкомпрометация	От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. Усилия должны быть направлены на минимизацию объема и конфиденциальности данных, доступных внешним сторонам.

Название

Описание

M1056

Предкомпрометация

От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. Усилия должны быть направлены на минимизацию объема и конфиденциальности данных, доступных внешним сторонам.