T1595.002: Поиск уязвимостей
Злоумышленники могут сканировать целевые системы на наличие уязвимостей, которые можно использовать для атак. При поиске уязвимостей обычно проверяется, соответствует ли конфигурация целевого хоста или приложения (например, программное обеспечение и его версия) условиям для использования конкретного эксплойта, который может быть применен злоумышленником.
Подобный поиск также может включать попытки общего сбора информации об атакуемых узлах с целью выявить наиболее известные уязвимости, которыми можно воспользоваться. При поиске уязвимостей злоумышленники обычно собирают информацию о работающем на узлах программном обеспечении и его версиях, анализируя баннеры серверов, порты для входящих соединений и другие сетевые артефакты. Собранная при сканировании информация может открыть дополнительные возможности для разведки (например, поиска на общедоступных сайтах или поиска технической информации в общедоступных источниках) и способствовать получению операционных ресурсов (в частности, разработке собственных средств или подготовке необходимых средств) и (или) обеспечению первоначального доступа (например, путем эксплуатации недостатков в общедоступном приложении).
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
pt_application_firewall: PT-CR-1883: PTAF_Scanner_Detected: Приложение PT AF обнаружило активность сканера веб-приложения postfix: PT-CR-2713: Postfix_Open_Relay_Scan: Open Relay-сканирование узла с Postfix. Злоумышленник может сканировать серверы с целью поиска Open Relay для проведения фишинговых атак
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
---|
Меры противодействия
ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. Усилия должны быть направлены на минимизацию объема и конфиденциальности данных, доступных внешним сторонам. |
---|