Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1592 , T1592.001 , T1592.002 , T1592.003 , T1592.004
Злоумышленники могут собирать информацию о хостах жертвы, которая может быть использована при таргетинге. Информация о хостах может включать различные сведения, в том числе административные данные (например, имя, назначенный IP, функциональность и т. д.), а также сведения о конфигурации хоста (например, операционная система, язык и т. д.).
Злоумышленники могут собирать эту информацию различными способами, например, путем прямого сбора с помощью Активного сканирования или Фишинга для получения информации. Злоумышленники также могут взламывать сайты и размещать на них вредоносное содержимое, предназначенное для сбора информации о хостах посетителей.(Цит. по: ATT ScanBox) Информация о хостах также может быть доступна злоумышленникам через онлайн или другие доступные наборы данных (например, Социальные сети или Поиск веб-сайтов, принадлежащих жертвам). Сбор этой информации может открыть возможности для других форм разведки (например, Search Open Websites/Domains или Search Open Technical Databases), установления оперативных ресурсов (например, Develop Capabilities или Obtain Capabilities) и/или первоначального доступа (например, Supply Chain Compromise или External Remote Services).
Злоумышленники также могут собирать информацию о хосте жертвы через HTTP-заголовки User-Agent, которые отправляются на сервер для определения приложения, операционной системы, производителя и/или версии запрашивающего пользовательского агента. Эта информация может быть использована для определения последующих действий злоумышленника. Например, злоумышленники могут проверять пользовательские агенты на наличие запрашиваемой операционной системы, а затем предлагать вредоносное ПО только для целевых операционных систем, игнорируя другие.(цит. по: TrellixQakbot)
https://attack.mitre.org/techniques/T1592
Визуализация смежных техник для T1592
| № | Техника |
|---|
