对手可以执行主动侦察扫描来收集信息,以便在锁定目标时使用。与其他不涉及直接交互的侦察形式不同,主动扫描是指对手通过网络流量探测受害者的基础设施。

 

 

01  定义与手法

        对手可以执行主动侦察扫描来收集信息,以便在锁定目标时使用。与其他不涉及直接交互的侦察形式不同,主动扫描是指对手通过网络流量探测受害者的基础设施。

        对手可能会根据他们想要收集的信息而执行不同形式的主动扫描。这些扫描可以以各种方式执行,包括使用诸如ICMP等网络协议的本机特性。从这些扫描中获得的信息可能会揭示对手所使用的其他形式的侦察(例如:搜索开放网站/域名或搜索开放技术数据库)、建立操作资源(如:开发能力或获得能力)和/或初始访问(如:外部远程服务或利用面向公众的应用程序)的机会。

 

02  缓解措施

名称

描述

被攻破前

  • 由于这种技术是基于企业防御和控制范围之外的行为,因此无法通过预防性控制轻松地减轻这种技术的影响。努力的重点应是尽量减少向外部各方提供的数据数量和敏感性

 

03  检测方法

ID

数据来源

数据组件

检测方式

DS0029

网络

流量

网络流

量内容

监控和分析与不遵循预期协议标准和流量相关的协议的流量模式查(例如,不属于已建立流的外部数据包、不合理的或异常的流量模式、异常语法或结构)。

考虑与进程监控和命令行的相关性,以检测异常进程的执行,以及与流量模式相关的命令行参数(例如,监控异常使用的文件通常不启动各自协议的连接)。

DS0029

网络

流量

网络数

据流

监控网络数据,防止不常见的数据流。使用非正常网络通信或从未见过的网络进程通常都是有可疑的。

 

**参考来源:ATT&CK,胖头鱼编译,欢迎转载,转载请注明出处,非常感谢~~

 

往期推荐

01

● ATT&CK之蛮力攻击:凭据填充

► 点击阅读

02

● ATT&CK之蛮力攻击:密码喷洒攻击

► 点击阅读

03

● ATT&CK之蛮力攻击:密码破解

► 点击阅读

 

关于我们

        云纷科技自成立以来,将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”;高效整合人、技术和流程,基于云原生的分析平台InsightX,为不同的企业客户提供符合现状和中远期发展的安全运营能力。同时,以十年安全管理经验为依托,我们的安全托管服务(MSS)可以为企业提供7×24小时全天候安全保障,全面提高企业安全抵御能力,为抵抗威胁建立可靠屏障。

        云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,协同利用开发能力、开发并调用各类自动以及半自动化工具,为客户提供最切合实际的安全运营服务,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。

 

 

 

每个企业都需要安全运营

 

云纷科技

 

 

 

Share this content:

Categories:

Tags:

Comments are closed