对手可能会对受害者进行扫描,寻找漏洞用于目标定位。漏洞扫描通常检查目标主机/应用程序的配置(例如:软件和版本)是否与对手可能寻求使用的特定漏洞的目标潜在一致。
之前,我们了解了主动扫描攻击的相关手法。在这种手法中,有三种子技术,之前我们已经了解了IP区块扫描,今天,我们来看看漏洞扫描。
01 定义与手法
对手可能会对受害者进行扫描,寻找漏洞用于目标定位。漏洞扫描通常检查目标主机/应用程序的配置(例如:软件和版本)是否与对手可能寻求使用的特定漏洞的目标潜在一致。
这些扫描还可能包括收集受害者主机信息的尝试,用于识别更常见的、可利用的漏洞。漏洞扫描通常通过服务器横幅、监听端口或其他网络构件获取运行软件和版本号。来自这些扫描的信息可能揭示其他形式侦察的机会(例如:搜索开放网站/域或搜索开放技术数据库),建立操作资源(例如:开发能力或获得能力),和/或初始访问(例如:利用面向公众的应用程序)。
02 程序示例
03 缓解措施
|
名称 |
描述 |
|
被攻破前 |
|
04 检测方法
|
ID |
数据来源 |
数据组件 |
检测方式 |
|
DS0029 |
网络 流量 |
流量 内容 |
监视和分析与不遵循预期协议标准和流量流(例如不属于已建立的流的外部数据包、无理由或异常的流量模式、异常语法或结构)相关协议的流量模式和包检查。考虑与进程监视和命令行的相关性,以检测异常的进程执行和与流量模式相关的命令行参数(例如,监视使用的文件异常,这些文件通常不会为各自的协议启动连接)。 |
|
DS0029 |
网络 流量 |
网络数 据流 |
监控网络数据,警惕不常见的数据流。使用非正常网络通信或从未见过的网络进程通常都是有可疑的。 |
**参考来源:ATT&CK,胖头鱼编译,欢迎转载,转载请注明出处,非常感谢~~
往期推荐
|
|||
|
|||
|
关于我们
云纷科技自成立以来,将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”;高效整合人、技术和流程,基于云原生的分析平台InsightX,为不同的企业客户提供符合现状和中远期发展的安全运营能力。同时,以十年安全管理经验为依托,我们的安全托管服务(MSS)可以为企业提供7×24小时全天候安全保障,全面提高企业安全抵御能力,为抵抗威胁建立可靠屏障。
云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,协同利用开发能力、开发并调用各类自动以及半自动化工具,为客户提供最切合实际的安全运营服务,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。
每个企业都需要安全运营
云纷科技
Comments are closed