ATT&CK框架关于信息收集与资产梳理实战介绍

MITRE ATT&CK 是一个全球可访问的基于现实世界观察的攻击者战术和技术知识库。ATT&CK 知识库被用作在私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。
通过统计发现，任何恶意攻击一定是以侦察作为前奏，不论是内网还是外网，信息收集一定是攻击者下的第一步棋。根据资料显示，侦察占据整个攻击过程的60%，由此可见，一个全面、精准的侦察在整个攻击里面的重要性。
ATT&CK框架中对于信息收集与资产梳理主要涉及战术为侦查战术。下面是对于侦查战术与其相关子技术的介绍。

侦察战术

侦察包括涉及攻击者主动或被动收集可用于支持目标定位的信息的技术。此类信息可能包括受害组织、基础设施或人员的详细信息。攻击者可以利用这些信息来帮助攻击者完成其他工作，例如使用收集的信息来计划和执行初始访问、确定入侵目标的范围和优先级，或者推动进一步的侦察工作。

侦察战术包含10个技术：

下面我们逐一介绍这10个技术内容。

1.主动扫描

攻击者可能会执行主动侦察扫描，以收集可用于锁定目标的信息。主动扫描是指攻击者通过网络流量探测目标基础设施的扫描，与不涉及直接交互的其他形式的侦察相反。
主动扫描包含三个子技术，下面将对各个子技术进行介绍以及子技术涉及到的工具：

• 1、扫描IP段：攻击者可能会扫描目标的IP地址段，以收集可用于锁定目标的信息。公共IP地址可以按块或一系列连续地址分配给组织。

• 2、漏洞扫描：攻击者可能会扫描目标的漏洞，以便在锁定目标时加以利用。漏洞扫描通常会检查目标主机/应用程序的配置(例如软件和版本)是否与攻击者可能寻求利用的特定漏洞的目标一致。

• 3、目录扫描：攻击者可能会使用暴力破解和爬行技术反复探测基础设施。虽然这种技术采用类似蛮力的方法来探测，它的目标是识别内容和基础结构，而不是发现有效的凭据。这些扫描中使用的单词表可能包含通用的、常用的名称和文件扩展名，或者特定软件专用的术语。攻击者也可能使用从其他侦察技术(例如:[收集目标组织信息]，或者[搜索目标拥有的网站]).

2.收集目标主机信息

攻击者可能会收集有关目标主机的信息，这些信息可在锁定目标时使用。关于主机的信息可能包括各种详细信息，包括管理数据(例如:名称、分配的IP、功能等。)以及关于其配置的细节(例如:操作系统、语言等。).

攻击者可能通过各种方式收集这些信息，例如通过以下方式直接收集信息主动扫描或者信息网络钓鱼。攻击者也可能危害网站，然后包含旨在从访问者那里收集主机信息的恶意内容。[1]关于主机的信息也可能通过在线或其他可访问的数据集暴露给攻击者(例如:社会化媒体或者搜索目标拥有的网站).收集这些信息可能会发现其他形式的侦察机会(例如:搜索开放的网站/域或者搜索开放的技术数据库)，建立运营资源(例如:发展能力或者获得能力)，或初始访问(例如:供应链妥协或者外部远程服务).

• 1、主机硬件信息搜集
  攻击者可能会收集有关目标主机硬件的信息，这些信息可用于攻击目标。有关硬件基础架构的信息可能包括各种详细信息，例如特定主机上的类型和版本，以及是否存在可能表明增加了防御保护的其他组件(例如:卡/生物识别读卡器、专用加密硬件等)。

• 2、主机软件信息搜集
  攻击者可能会收集目标主机软件的信息，这些信息可在攻击目标时使用。有关已安装软件的信息可能包括各种详细信息，例如特定主机上的类型和版本，以及是否存在其他组件，这些可能表明增加了防御保护(例如:防病毒软件、SIEMs等)。
  攻击者可能通过各种方式收集这些信息，例如通过以下方式直接收集信息主动扫描(例如:端口扫描、服务器标题)或信息网络钓鱼。攻击者也可能危害网站，然后包含旨在从访问者那里收集主机信息的恶意内容。关于已安装软件的信息也可能通过在线或其他可访问的数据集暴露给攻击者(例如:职位发布、网络地图、评估报告、简历)。收集这些信息可能会发现其他形式的侦察机会(例如:搜索开放的网站/域或者搜索开放的技术数据库)，建立运营资源，用于初始访问(例如:供应链妥协或者外部远程服务).

• 3、主机固件信息
  攻击者可能会收集目标主机固件的信息，这些信息可用于攻击目标。关于主机固件的信息可以包括各种细节，例如特定主机上的类型和版本，其可以用于推断关于环境中的主机的更多信息(例如:配置、用途、年龄/补丁级别等）。
  攻击者可以通过各种方式收集这些信息，例如通过以下方式直接获取信息网络钓鱼。有关主机固件的信息只能通过在线或其他可访问的数据集(例如:招聘公告、网络地图、评估报告、简历)暴露给攻击者。收集这些信息可能会发现其他形式的侦察机会(例如:搜索开放的网站/域或者搜索开放的技术数据库)，建立运营资源(例如:发展能力或者获得能力)，或初始访问(例如:供应链妥协或者开发面向公众的应用

• 4、客户端配置信息
  攻击者可能会收集有关目标客户端配置的信息，这些信息可以在定位期间使用。有关客户端配置的信息可能包括各种详细信息和设置，包括操作系统/版本、虚拟化、架构（例如：32 位或 64 位）、语言或时区。
  有关客户端配置的信息也可能通过在线或其他可访问的数据集(例如:职位发布、网络地图、评估报告、简历)暴露给攻击者。收集这些信息可能会发现其他形式的侦察机会(例如:搜索开放的网站/域或者搜索开放的技术数据库)，建立运营资源(例如:发展能力或者获得能力)，或初始访问(例如:供应链妥协或者外部远程服务).

3、搜集目标身份信息

攻击者可能会收集有关目标身份的信息，这些信息可在锁定目标时使用。关于身份的信息可能包括各种细节，包括个人数据(例如:员工姓名、电子邮件地址等。)以及凭据等敏感细节。
攻击者可以通过各种方式收集这些信息，例如通过以下方式直接获取信息网络钓鱼。关于用户的信息也可以通过其他主动方式(即主动扫描)例如探查和分析来自认证服务的响应，这些响应可能会泄露系统中的有效用户名。目标的信息也可能通过在线或其他可访问的数据集暴露给攻击者(例如:社会化媒体或者搜索目标拥有的网站)
收集这些信息可能会发现其他形式的侦察机会(例如:搜索开放的网站/域或者信息网络钓鱼)，建立运营资源(例如:妥协账户)，或初始访问(例如:网络钓鱼或者有效账户).

• 1、凭证
  攻击者可能会收集可在锁定目标时使用的凭证。攻击者收集的帐户凭据可能与目标目标组织直接相关，或者试图利用用户跨个人和企业帐户使用相同密码的趋势。
  攻击者可能会以各种方式从潜在目标那里收集凭据，例如通过以下方式直接诱导信息网络钓鱼。攻击者也可能危害网站，然后添加旨在从访问者那里收集网站认证cookies的恶意内容。凭据信息也可能通过泄露到在线或其他可访问的数据集(例如:搜索引擎、违规转储、代码库等。).攻击者也可以从暗网或其他黑市购买凭证。最后，在使用基于带外通信的多因素身份认证(MFA)的情况下，攻击者可能会危及服务提供商的安全，以获得对MFA代码和一次性密码(OTP)的访问权。

• 2、电子邮件地址
  攻击者可能会收集电子邮件地址，以便在锁定目标时使用。即使存在内部实例，组织也可能拥有面向公众的电子邮件基础架构和员工地址。
  由于电子邮件地址很容易通过在线或其他可访问的数据集(例如:社会化媒体或者搜索目标拥有的网站).电子邮件地址也可以通过更主动的方式(即主动扫描)，例如探查和分析来自身份验证服务的响应，这些响应可能会泄露系统中的有效用户名。例如，攻击者可以通过查询各种公开可用的API端点(如autodiscover和GetCredentialType)来枚举Office 365环境中的电子邮件地址。

• 3、员工姓名
  攻击者可能会收集可在锁定目标时使用的员工姓名。员工姓名可用于获取电子邮件地址，以及帮助指导其他侦察工作和制作更可信的诱饵。
  攻击者可以轻松收集员工姓名，因为他们可以通过在线或其他可访问的数据集(例如:社会化媒体或者搜索目标拥有的网站).收集这些信息可能会发现其他形式的侦察机会(例如:搜索开放的网站/域或者信息网络钓鱼)，建立运营资源(例如:妥协账户)，或初始访问(例如:网络钓鱼或者有效账户).

4、搜集目标网络信息

攻击者可能会收集目标网络的信息，这些信息可在攻击目标时使用。关于网络的信息可能包括各种细节，包括管理数据(例如:IP范围、域名等。)以及关于其拓扑和操作的细节。
攻击者可能通过各种方式收集这些信息，例如通过以下方式直接收集信息主动扫描或者信息网络钓鱼。关于网络的信息也可能通过在线或其他可访问的数据集暴露给攻击者(例如:搜索开放的技术数据库).收集这些信息可能会发现其他形式的侦察机会(例如:主动扫描或者搜索开放的网站/域)，建立运营资源(例如:获得基础设施或者危及基础设施)，和初始访问(例如:信任关系).

• 1、域属性
  攻击者可能会收集有关目标网络域的信息，这些信息可在锁定目标时使用。关于域及其属性的信息可能包括各种细节，包括目标拥有的域以及管理数据(例如:名称、注册商等。)和更直接的可操作信息，如联系人(电子邮件地址和电话号码)、公司地址和域名服务器。

• 2、域名服务器信息
  攻击者可能会收集目标的DNS信息，这些信息可在锁定目标时使用。DNS信息可能包括各种详细信息，包括注册的名称服务器以及概述目标子域、邮件服务器和其他主机寻址的记录。

• 3、网络信任依赖关系
  攻击者可能会收集有关目标网络信任依赖关系的信息，这些信息可在锁定目标时使用。有关网络信任的信息可能包括各种详细信息，包括第二或第三方组织/域(例如:托管服务提供商、承包商等。)具有连接的(和潜在提升的)网络访问。

• 4、网络拓扑结构
  攻击者可能会收集目标的网络拓扑信息，这些信息可用于攻击目标。关于网络拓扑的信息可以包括各种细节，包括面向外部和内部网络环境的物理或逻辑布置。该信息还可以包括关于网络设备(网关、路由器等)等基础设施的细节。

• 5、IP地址
  攻击者可能会收集目标的IP地址，这些地址可在锁定目标时使用。公共IP地址可以按块或一系列连续地址分配给组织。关于分配的IP地址的信息可能包括各种细节，例如哪些IP地址正在使用中。IP地址还可能让攻击者获得目标的其他详细信息，如组织规模、物理位置、互联网服务提供商或其面向公众的基础设施位于何处/如何托管。

• 6、网络安全设备
  攻击者可能会收集有关目标网络安全设备的信息，这些信息可在攻击目标时使用。关于网络安全设备的信息可能包括各种细节，例如部署的防火墙、内容过滤器和代理/堡垒主机的存在和细节。攻击者还可能将基于目标网络的入侵检测系统(NIDS)或其他与防御性网络安全操作相关的设备的信息作为目标。

5、搜集目标组织信息

攻击者可能会收集有关目标组织的信息，这些信息可在锁定目标时使用。关于组织的信息可能包括各种细节，包括分部/部门的名称、业务运营的细节以及关键员工的角色和职责。
攻击者可以通过各种方式收集这些信息，例如通过以下方式直接获取信息网络钓鱼。关于组织的信息也可能通过在线或其他可访问的数据集暴露给攻击者(例如:社会化媒体或者搜索目标拥有的网站).收集这些信息可能会发现其他形式的侦察机会(例如:信息网络钓鱼或者搜索开放的网站/域)，建立运营资源(例如:建立账户或者妥协账户)，与初始访问(例如:网络钓鱼或者信任关系).

• 1、确定物理位置
  攻击者可能会收集目标的物理位置，这些位置可在锁定目标时使用。关于目标组织的物理位置的信息可能包括各种细节，包括关键资源和基础设施所在的位置。物理位置也可以表明目标在哪个法律管辖区或当局内活动。

• 2、商业关系
  攻击者可能会收集目标的业务关系信息，这些信息可在锁定目标时使用。关于组织业务关系的信息可能包括各种详细信息，包括第二或第三方组织/域(例如:托管服务提供商、承包商等。)具有连接的(和有可能提升的)网络访问。这些信息还可能揭示目标硬件和软件资源的供应链和运输路径。

• 3、识别业务节奏
  攻击者可能会收集有关目标业务节奏的信息，这些信息可在锁定目标时使用。关于组织的业务节奏的信息可以包括各种细节，包括一周的运营时间/天数。该信息还可能揭示目标硬件和软件资源的购买和运输时间/日期。|

• 4、确定身份信息
  攻击者可能会收集目标组织内的身份和角色信息，这些信息可在锁定目标时使用。关于业务角色的信息可以揭示各种可确定的细节，包括关键人员的可识别信息以及他们可以访问哪些数据/资源。

6、通过网络钓鱼搜集信息

攻击者可能会发送网络钓鱼邮件，以获取可用于锁定目标的敏感信息。信息网络钓鱼是一种企图欺骗目标泄露信息，通常是凭据或其他可操作的信息。信息网络钓鱼不同于网络钓鱼因为目标是从目标那里收集数据，而不是执行恶意代码。
所有形式的网络钓鱼都是电子传递的社会工程。网络钓鱼是有针对性的，称为鱼叉式网络钓鱼。在鱼叉式网络钓鱼中，特定的个人、公司或行业将成为攻击者的目标。更一般地说，攻击者可以进行无针对性的网络钓鱼，例如在大规模凭据收集活动中。
攻击者也可能试图通过交换电子邮件、即时消息或其他电子对话方式直接获取信息。目标还可能收到网络钓鱼消息，这些消息会引导他们拨打攻击者试图收集机密信息的电话号码。
针对信息的网络钓鱼通常涉及社会工程技术，例如伪装成一个有理由收集信息的来源(例如:建立账户或者妥协账户)或发送多个看似紧急的消息。另一种方法是通过伪造或欺骗发送者的身份可以用来欺骗人类接收者和自动安全工具。
针对信息的网络钓鱼还可能涉及规避技术，例如从被滥用来发送消息的受损账户中移除或操纵电子邮件或元数据/标题(例如，电子邮件隐藏规则).

• 1、诱惑信息钓鱼
  攻击者可能会通过第三方服务发送鱼叉式网络钓鱼消息，以获取可在锁定目标时使用的敏感信息。

• 2、钓鱼附件
  攻击者可能会发送带有恶意附件的鱼叉式网络钓鱼邮件，以获取可用于攻击的敏感信息。

• 3、钓鱼链接
  攻击者可能会发送带有恶意链接的鱼叉式网络钓鱼邮件，以获取可用于攻击的敏感信息。

• 4、语音/电话钓鱼
  攻击者可能会使用语音通信来获取敏感信息，这些信息可能会在攻击目标时被利用。

7、从非公开源搜集信息

攻击者可能会从封闭的来源搜索和收集目标的信息，这些信息可在锁定目标时使用。关于目标的信息可以从著名的私人来源和数据库购买，例如付费订阅技术/威胁情报数据。攻击者也可能从声誉较差的来源购买信息，如暗网或网络犯罪黑市。
攻击者可以根据他们想要收集的信息在不同的封闭数据库中进行搜索。来自这些来源的信息可能揭示其他形式的侦察机会(例如:信息网络钓鱼或者搜索开放的网站/域)，建立运营资源(例如:发展能力或者获得能力)，或初始访问(例如:外部远程服务或者有效账户).

• 1、威胁情报供应商
  攻击者可能会从威胁情报供应商处搜索私人数据，以获取在锁定目标时可以使用的信息。威胁情报供应商可能会提供付费订阅源或门户网站，提供比公开报道更多的数据。尽管敏感细节(如客户姓名和其他标识符)可能会被编辑，但这些信息可能包含有关违规的趋势，如目标行业、归属声明和成功的TTPs对策。

• 2、购买技术数据
  攻击者可能会购买目标的技术信息，这些信息可以在锁定目标时使用。关于目标的信息可以在声誉良好的私人来源和数据库中购买，例如付费订阅扫描数据库或其他数据聚合服务。攻击者也可能从声誉较差的来源购买信息，如暗网或网络犯罪黑市。

8、从公开技术数据库搜集信息

攻击者可以在免费的技术数据库中搜索目标的信息，这些信息可以在锁定目标时使用。关于目标的信息可以在在线数据库和储存库中获得，例如域/证书的注册以及从流量或扫描中收集的网络数据/工件的公共集合。
攻击者可以根据他们想要收集的信息在不同的开放数据库中进行搜索。来自这些来源的信息可能揭示其他形式的侦察机会(例如:信息网络钓鱼或者搜索开放的网站/域)，建立运营资源(例如:获得基础设施或者危及基础设施)，或初始访问(例如:外部远程服务或者信任关系).

• 1、DNS信息
  攻击者可能会搜索DNS数据，以获取可用于锁定目标的目标信息。DNS信息可能包括各种详细信息，包括注册的名称服务器以及概述目标子域、邮件服务器和其他主机寻址的记录。

• 2、WHOIS信息
  攻击者可能会搜索公开的WHOIS数据，以获取目标的相关信息，从而在锁定目标时加以利用。WHOIS数据由负责分配互联网资源(如域名)的地区互联网注册管理机构(RIR)存储。任何人都可以向WHOIS服务器查询有关注册域名的信息，如分配的IP地址块、联系信息和DNS域名服务器。

• 3、数字证书
  攻击者可能会搜索公共数字证书数据，以获取可在锁定目标时使用的目标信息。数字证书由认证机构(CA)颁发，以便加密验证签名内容的来源。这些证书，如用于加密web流量(HTTPS SSL/TLS通信)的证书，包含注册组织的信息，如名称和位置。

• 4、CDN数据
  攻击者可能会搜索内容交付网络(CDN)中有关目标的数据，这些数据可在锁定目标时使用。cdn允许组织托管来自分布式、负载平衡的服务器阵列的内容。cdn还允许组织基于请求者的地理区域定制内容交付。

• 5、扫描数据库
  攻击者可以在公共扫描数据库中搜索关于目标的信息，这些信息可以在锁定目标时使用。各种在线服务不断发布互联网扫描/调查的结果，经常收集活动IP地址、主机名、开放端口、证书甚至服务器横幅等信息。

9、搜集公开网站/域

攻击者可能会搜索免费提供的网站或域，以获取可在锁定目标时使用的目标信息。关于目标的信息可以在各种在线网站中获得，例如社交媒体、新闻网站或那些托管关于商业操作的信息的网站，例如雇用或请求/奖励合同。
攻击者可能会根据他们想要收集的信息在不同的在线站点进行搜索。来自这些来源的信息可能揭示其他形式的侦察机会(例如:信息网络钓鱼或者搜索开放的技术数据库)，建立运营资源(例如:建立账户或者妥协账户)，或初始访问(例如:外部远程服务或者网络钓鱼).

• 1、社交媒体
  攻击者可能会在社交媒体上搜索目标的信息，这些信息可以在锁定目标时使用。社交媒体网站可能包含受害组织的各种信息，如商业公告以及员工的角色、位置和兴趣等信息。

• 2、搜索引擎
  攻击者可能会使用搜索引擎来收集目标的信息，这些信息可以在锁定目标时使用。搜索引擎服务典型地爬行在线站点以索引上下文，并且可以向用户提供专门的语法来搜索特定关键字或特定类型的内容(即文件类型)。

• 3、代码库
  攻击者可能会搜索公共代码库，以获取可在锁定目标时使用的目标信息。目标可能将代码存储在各种第三方网站的存储库中，如GitHub、GitLab、SourceForge和BitBucket。用户通常通过web应用程序或命令行实用程序(如git)与代码库进行交互。

10、搜集目标自有网站

攻击者可能会在目标拥有的网站上搜索可用于锁定目标的信息。目标拥有的网站可能包含各种详细信息，包括部门/分部的名称、实际位置以及关键员工的数据，如姓名、角色和联系信息(例如:电子邮件地址)。这些网站还可能有突出商业运作和关系的细节。攻击者可能会搜索目标所有的网站来收集可操作的信息。来自这些来源的信息可能会暴露其他形式的侦察(例如:信息网络钓鱼或搜索开放的技术数据库)、建立运营资源(例如:建立帐户或泄露帐户)或初始访问(例如:信任关系或网络钓鱼)的机会。

侦查战术涉及工具：

可进行技术验证

以下涉及战术及工具一般可通过安全防火设备如防火墙、IPS等安全防护设备根据访问次数、特征关键字、日志等进行技术验证。

• dirsearch
  dirsearch是一款常用于暴力扫描页面结构，包括网页中的目录和文件的工具。

• nmap
  （1）检测主机是否在线。例如，列出响应TCP和/或ICMP请求或打开特定端口的主机。
  （2）扫描指定主机/主机列表端口开放状态，枚举目标主机上的开放端口，常用。
  （3）检测主机运行服务类型及版本，检测远程设备上的网络服务以确定应用程序名称和版本号。
  （4）检测操作系统版本和设备类型 ，确定网络设备的操作系统和硬件特性。
  （5）可与脚本进行脚本交互，使用Nmap脚本引擎（NSE）和Lua编程语言。

类似扫描端口工具还有goby、massan等。

不可技术验证

除了上面的三种可以进行技术验证的子技术以外，还有一部分子技术通常没有办法从技术上去验证的，这里面的很多信息并不保存在自己控制的环境内。此处建议定期检测是否存在新增资产、信息泄露等。

落地应用

数字化时代的到来，让企业所拥有的IT资产数量暴涨，这对于IT管理者来说，是一件不好的事情，IT管理如果跟不上数字化的发展，会导致企业出现越来越多的影子资产，而影子资产所带来的安全风险是未知和不可预见的。“摸清家底”是搞好安全运营的第一步，发现影子资产，提升暴露资产的看见能力已经成为企业安全运营需要具备的重要能力。att&ck框架中侦查战术可对目标企业资产进行更好的梳理。
对目标资产的梳理：
1、梳理目标自身及子机构、分公司相关域名，根据爱企查、天眼查等平台获取目标域名、备案、控股公司等信息。
2、根据上述信息通过fofa、quake、鹰图平台获取目标公网上的互联网资产信息。需对获取信息进行去重与无效信息过滤。
3、根据获取到的IP信息进行端口、路径等主动扫描，排查是否存在网络空间测绘引擎未收录的互联网资产。对获取到的信息同上述获取到的信息继续去重处理，从而获得更全面的资产，同时可对结果进行比对，查看是否存在新增影子资产。
4、对已去重后的资产进行指纹识别获取重点资产，并对重点资产进行漏洞扫描，验证是否存在漏洞。
5、根据扫描结果对资产进行漏洞修复。
6、对所有资产进行梳理，可对0day、Nday等临时威胁快速进行相应，减少应急响应时间。

来源：https://www.freebuf.com/articles/web/387351.html

原文始发于微信公众号（白帽子左一）：ATT&CK框架关于信息收集与资产梳理实战介绍