攻击者可能会创建和培养具有可在攻击期间使用的服务帐户。攻击者可以创建可用于构建角色以进一步操作的帐户。人物角色开发包括公共信息、现在和过去以及适当从属关系的开发。
01 定义与手法
攻击者可能会创建和培养具有可在攻击期间使用的服务帐户。攻击者可以创建可用于构建角色以进一步操作的帐户。人物角色开发包括公共信息、现在和过去以及适当从属关系的开发。这种开发可以应用于社交媒体、网站或其他公开可用的信息,这些信息可以在使用该角色或身份的行动过程中被引用和审查合法性。
对于包含社会工程的操作,使用在线角色可能是重要一环。这些角色可能是虚构的,也可能是模仿真实的人。角色可以存在于单个站点或跨多个站点(例如:Facebook, LinkedIn, Twitter, Google, GitHub, Docker Hub等)。建立角色可能需要开发额外的文档以使其看起来真实。这可能包括填写个人资料信息、开发社交网络或合并照片。
建立帐户还可以包括与电子邮件供应商创建帐户,这可能直接用于网络钓鱼信息或网络钓鱼。
02 程序示例
03 缓解措施
|
名称 |
描述 |
|
被攻破前 |
|
04 检测方法
|
ID |
数据来源 |
数据组件 |
检测方式 |
|
DS0029 |
网络 流量 |
网络流 量内容 |
监控和分析与不遵循预期协议标准和流量流的协议相关的流量模式和数据包检测(例如不属于已建立流的外来数据包,无端或异常流量模式,异常语法或结构)。考虑与进程监控和命令行的相关性,以检测与流量模式相关的异常进程执行和命令行参数(例如,监控使用通常不为各自协议启动连接的文件的异常情况)。 |
|
DS0021 |
人员 |
社交 媒体 |
考虑监控与公司相关的社交媒体活动。可疑活动可能包括声称为组织工作的角色,或最近创建/修改的帐户向与组织关联的帐户发出大量连接请求。许多此类活动将发生在目标组织的可见性之外,这使得检测此类行为变得困难。检测工作可能集中在攻击者生命周期的相关阶段,例如在初始访问期间(例如:网络钓鱼)。 |
**参考来源:ATT&CK,胖头鱼编译,欢迎转载,转载请注明出处,非常感谢~~
关于我们
云纷科技自成立以来,就把成为交付“监测-分析-响应”完整能力闭环的下一代MSSP作为自己的使命。我们将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”;高效整合人、技术和流程。基于云原生和人工智能的安全运营平台——InsightX,为不同的企业客户提供符合现状和中远期发展的安全运营能力。
云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,以“实践+数据+AI”重塑安全运营链路,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。
每个企业都需要安全运营
云纷科技
Share this content:
Comments are closed