点击上方“安全攻防渗透”关注我~
攻击者可能会收集受害者的实际位置,这些位置可以在目标锁定期间使用。有关目标组织的物理位置的信息可能包括各种详细信息,包括关键资源和基础结构的存放位置。实际位置还可以指示受害者在哪个法律管辖区或机构内工作。
攻击者可以通过多种方式收集此信息,例如通过“网络钓鱼诱骗”直接诱捕。目标组织的实际位置也可能通过在线或其他可访问的数据集(例如:搜索受害人拥有的网站或社交媒体)暴露给攻击者。收集此信息可能会提供其他形式的侦察机会(例如:网络钓鱼以获取信息或搜索开放的网站或域),建立运营资源(例如:开发能力或获得能力)或初步访问(例如:网络钓鱼或硬件添加)。
- 案例 -
例如受害者的个人社交信息,微博、微信、QQ等。
例如受害组织的位置信息,通过官方网站即可查找到相关组织的位置。
- 检测日志 -
- 测试留痕 -
- 检测规则/思路 -
- 建议 -
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
攻击者可能会收集有关受害者的业务关系的信息,这些信息可在目标确定期间使用。有关组织业务关系的信息可能包括各种详细信息,包括已连接(并可能提升了)网络访问权限的第二或第三方组织或域(例如:托管服务提供商,承包商等)。此信息还可能揭示受害者的硬件和软件资源的供应链和运送路径。
攻击者可以通过多种方式收集此信息,例如通过“网络钓鱼诱骗”直接诱捕。有关业务关系的信息也可能会通过在线或其他可访问的数据集(例如,社交媒体或受害人拥有的网站)暴露给攻击者。收集此信息可能会提供其他形式的侦察机会(例如:网络钓鱼以获取信息或搜索开放的网站或域),建立运营资源(例如:建立帐户或损害帐户)或初始访问权限(例如:供应链妥协,驱动式妥协,或“信任关系”)。
- 案例 -
例如受害者的个人社交信息,微博、微信、QQ等。
例如受害组织的上下游关系,比如母子公司关系。
- 检测日志 -
- 测试留痕 -
- 检测规则/思路 -
- 建议 -
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
攻击者可能会收集有关受害者的业务关系的信息,这些信息可在目标确定期间使用。有关组织业务关系的信息可能包括各种详细信息,包括已连接(并可能提升了)网络访问权限的第二或第三方组织或域(例如:托管服务提供商,承包商等)。此信息还可能揭示受害者的硬件和软件资源的供应链和运送路径。
攻击者可以通过多种方式收集此信息,例如通过“网络钓鱼诱骗”直接诱捕。有关业务关系的信息也可能会通过在线或其他可访问的数据集(例如,社交媒体或受害人拥有的网站)暴露给攻击者。收集此信息可能会提供其他形式的侦察机会(例如:网络钓鱼以获取信息或搜索开放的网站或域),建立运营资源(例如:建立帐户或损害帐户)或初始访问权限(例如:供应链妥协,驱动式妥协,或“信任关系”)。
- 案例 -
此技术可能在社工前期使用,观察受害者上下班时间、车辆进入情况,为后续物理入侵提供一些帮助。
- 检测日志 -
- 测试留痕 -
- 检测规则/思路 -
- 建议 -
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
攻击者可能会在目标组织中收集有关受害者组织内的身份和角色的信息。有关业务角色的信息可能会揭示各种可针对性的细节,包括关键人员的可识别信息以及他们可以访问哪些数据/资源。
攻击者可以通过多种方式收集此信息,例如通过“网络钓鱼诱骗”直接诱捕。有关业务角色的信息也可以通过在线或其他可访问的数据集(例如,社交媒体或受害人拥有的网站)暴露给攻击者。收集此信息可能会提供其他形式的侦察机会(例如:网络钓鱼以获取信息或搜索开放的网站/域),建立运营资源(例如:建立帐户或破坏帐户)或初始访问权限(例如:网络钓鱼)。
- 案例 -
攻击者可能会收集运维、网络管理员相关信息,后续可以进行精准社工,或者相关人员的账号密码爆破,也可能是发送受害者感兴趣的邮件,实现邮件钓鱼等。
- 检测日志 -
- 测试留痕 -
- 检测规则/思路 -
- 建议 -
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
在入侵受害者之前,攻击者可能会收集有关受害者主机硬件的信息,这些信息可以在目标定位期间使用。有关硬件基础设施的信息可能包括各种详细信息,例如特定主机上的类型和版本,以及是否存在可能指示附加防御保护措施的其他组件(例如:卡/生物识别器,专用加密硬件等)。
攻击者可以通过各种方式收集此信息,例如通过主动扫描(例如:主机名,服务器旗标,用户代理字符串)、 钓鱼。攻击者还可能入侵站点,然后植入旨在收集访问者主机信息的恶意内容。有关硬件基础设施的信息也可能通过在线或其他可访问的数据集(例如:职位发布,网络地图,评估报告,履历表或购买发票)暴露给攻击者。收集这些信息可能为其他形式的侦察提供可能性(例如:搜索开放网站/域,或搜索公开技术数据库),建立运营资源(例如:开发能力或获取能力),或实现初始访问(例如:攻击硬件供应链或硬件添加)。
- 案例 -
无。
- 检测日志 -
- 测试留痕 -
- 检测规则/思路 -
- 建议 -
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
攻击者可能会事先收集攻击目标的主机软件信息,可能包括各种细节信息如主机上的软件类型和版本,是否有防御软件(如防病毒、SIEM组件)等。
软件信息可能是攻击者通过主动扫描(例如监听端口,服务器banner,用户代理字符串),钓鱼,或攻击网站后使用恶意软件等方式主动收集的,也可能是通过在线或其他可访问的数据集(例如职位发布,网络地图,评估报告,简历或购买发票)暴露给攻击者的。收集这些信息可能会触发其他形式的侦察行动(例如:搜索开放网站/域或者搜索公开技术数据库),从而建立运营资源(例如:开发能力或获取能力),或实现初始访问(例如:供应链攻陷或外部远程服务)。
- 案例 -
指纹识别:在渗透测试中,对目标服务器进行指纹识别是相当有必要的,因为只有识别出相应的Web容器或者CMS,才能查找与其相关的漏洞,然后才能进行相应的渗透操作。
在线指纹识别网站:
TSscan: <https://scan.top15.cn/web/>
BugScaner: <http://whatweb.bugscaner.com/look/>
云悉指纹: <http://www.yunsee.cn/finger.html>
WhatWeb: <http://whatweb.bugscaner.com/look/>
常见的网站指纹识别工具有:whatweb,wappalyzer火狐插件等。
- 检测日志 -
- 测试留痕 -
- 检测规则/思路 -
- 建议 -
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
在入侵受害者之前,攻击者可能会收集有关受害者主机固件的信息,这些信息可以在目标定位期间使用。有关主机固件的信息可能包括各种详细信息,例如特定主机上的类型和版本,这可以用来推测出更多目标环境中主机的信息(例如:配置,用途,使用期限/补丁级别等)。
攻击者可以通过各种方式收集此信息,例如通过网络钓鱼收集。有关固件的信息也可能通过在线或其他可访问的数据集(例如:职位发布,网络地图,评估报告,履历表或购买发票)暴露给攻击者。收集这些信息可能为如下活动提供可能性:其他形式的侦察活动(例如:搜索开放网站/域或者搜索公开技术数据库),建立运营资源(例如:开发能力或获取能力),或实现初始访问(例如:供应链攻陷或面向公众应用的漏洞利用)。
- 案例 -
无。
- 检测日志 -
- 测试留痕 -
- 检测规则/思路 -
- 建议 -
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
在入侵受害者之前,攻击者可能会收集有关受害者的客户端配置信息,这些信息可以在目标定位期间使用。有关客户端配置的信息可能包括各种详细信息和设置,包括操作系统/版本,虚拟化,体系结构(例如:32位或64位),语言或时区。
攻击者可以通过各种方式收集此信息,例如通过主动扫描(例如:主机名,服务器旗标,用户代理字符串)、 钓鱼。攻击者还可能入侵站点,然后植入旨在收集访问者客户端配置信息的恶意内容。有关硬件基础设施的信息也可能通过在线或其他可访问的数据集(例如:职位发布,网络地图,评估报告,履历表或购买发票)暴露给攻击者。收集这些信息可能为其他形式的侦察提供可能性(例如:搜索开放网站/域,或者搜搜索公开技术数据库),建立运营资源(例如:开发能力或获取能力),或实现初始访问(例如:供应链攻陷或外部远程服务)。
- 案例 -
beef-信息收集。
- 检测日志 -
- 测试留痕 -
- 检测规则/思路 -
- 建议 -
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
原文始发于微信公众号(安全攻防渗透):红队攻击:侦察(二)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论