T1595.003: Сканирование по списку слов

Злоумышленники могут итеративно исследовать инфраструктуру с помощью техник перебора и сканирования. Хотя эта техника похожа на метод перебора, ее цель — идентификация содержимого и инфраструктуры, а не обнаружение действительных учетных данных. Списки слов для такого сканирования могут включать распространенные имена и расширения файлов или термины, характерные для конкретного программного обеспечения. Злоумышленники могут создавать собственные списки слов для конкретных целей на основе данных, собранных другими методами разведки, такими как сбор бизнес-информации об атакуемой организации или поиск на сайтах атакуемой организации.

Например, злоумышленники могут использовать инструменты для обнаружения веб-контента, такие как Dirb, DirBuster и Gobuster, а также общие или специализированные списки слов для проверки наличия определенных страниц и каталогов веб-сайта. Это может помочь им обнаружить старые уязвимые страницы или скрытые административные порталы, которые могут стать целью дальнейших операций, таких как эксплуатация недостатков в общедоступном приложении или использование метода перебора.

Так как облачные хранилища обычно используют глобально уникальные имена, злоумышленники могут применять списки слов и специальные инструменты, такие как s3recon и GCPBucketBrute, для поиска общедоступных и частных хранилищ в облачной инфраструктуре. После обнаружения объектов хранения может быть применена техника извлечения данных из облачных хранилищ, чтобы получить ценную информацию, которая может быть похищена и (или) использована для повышения привилегий и перемещения внутри периметра.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

pt_application_firewall: PT-CR-634: Web_Bulk_Failed_URL_Access: Множество неудачных попыток обратиться к несуществующим страницам pt_application_firewall: PT-CR-1883: PTAF_Scanner_Detected: Приложение PT AF обнаружило активность сканера веб-приложения pt_application_firewall: PT-CR-638: Web_Searching_Non_Existent_Artifacts: Неудачная попытка получить артефакт работы службы

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте подозрительный сетевой трафик, который может свидетельствовать о сканировании, например большое количество запросов, исходящих из одного источника (особенно если известно, что этот источник связан со злоумышленником или ботнетом).

Меры противодействия

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Удалите или отключите доступ к любым системам, ресурсам и инфраструктуре, которые явно не должны быть доступны извне.

IDM1056НазваниеПредкомпрометацияОписание

От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. Усилия должны быть направлены на минимизацию объема и конфиденциальности данных, доступных внешним сторонам.