T1595.003: Сканирование по списку слов
Злоумышленники могут итеративно исследовать инфраструктуру с помощью техник перебора и сканирования. Хотя эта техника похожа на метод перебора, ее цель — идентификация содержимого и инфраструктуры, а не обнаружение действительных учетных данных. Списки слов для такого сканирования могут включать распространенные имена и расширения файлов или термины, характерные для конкретного программного обеспечения. Злоумышленники могут создавать собственные списки слов для конкретных целей на основе данных, собранных другими методами разведки, такими как сбор бизнес-информации об атакуемой организации или поиск на сайтах атакуемой организации.
Например, злоумышленники могут использовать инструменты для обнаружения веб-контента, такие как Dirb, DirBuster и Gobuster, а также общие или специализированные списки слов для проверки наличия определенных страниц и каталогов веб-сайта. Это может помочь им обнаружить старые уязвимые страницы или скрытые административные порталы, которые могут стать целью дальнейших операций, таких как эксплуатация недостатков в общедоступном приложении или использование метода перебора.
Так как облачные хранилища обычно используют глобально уникальные имена, злоумышленники могут применять списки слов и специальные инструменты, такие как s3recon и GCPBucketBrute, для поиска общедоступных и частных хранилищ в облачной инфраструктуре. После обнаружения объектов хранения может быть применена техника извлечения данных из облачных хранилищ, чтобы получить ценную информацию, которая может быть похищена и (или) использована для повышения привилегий и перемещения внутри периметра.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
pt_application_firewall: PT-CR-634: Web_Bulk_Failed_URL_Access: Множество неудачных попыток обратиться к несуществующим страницам pt_application_firewall: PT-CR-1883: PTAF_Scanner_Detected: Приложение PT AF обнаружило активность сканера веб-приложения pt_application_firewall: PT-CR-638: Web_Searching_Non_Existent_Artifacts: Неудачная попытка получить артефакт работы службы
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте подозрительный сетевой трафик, который может свидетельствовать о сканировании, например большое количество запросов, исходящих из одного источника (особенно если известно, что этот источник связан со злоумышленником или ботнетом). |
---|
Меры противодействия
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Удалите или отключите доступ к любым системам, ресурсам и инфраструктуре, которые явно не должны быть доступны извне. |
---|
ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. Усилия должны быть направлены на минимизацию объема и конфиденциальности данных, доступных внешним сторонам. |
---|