滲透测试ATT&CK攻击模型一（Reconnaissance侦查）_attck攻击模型

侦察战术主要包括攻击者主动或被动地收集可用于达成目标的信息的技术。此类信息可能包括目标的组织、基础设施或工作人员的详细信息。攻击者可以利用此信息为攻击生命周期的其他阶段提供帮助。例如使用收集的信息来规划和执行初始访问，确定沦陷目标的范围和优先顺序，以及驱动和领导进一步的侦察行动。

目录

T1595 Active Scanning 主动扫描

T1592 Gather Victim Host Information 收集目标主机信息

T1589 Gather Victim Identity Information 收集目标身份信息

T1590 Gather Victim Network Information 收集目标网络信息

T1591 Gather Victim Org Information 收集目标组织信息

T1598 Phishing for Information 网络钓鱼

T1597 Search Closed Sources 搜索闭源信息

T1596 Search Open Technical Databases 搜索开放式技术数据库

T1593 Search Open Websites/Domains 搜索公开网站/域名

T1594 Search Victim-Owned Websites 搜索目标所拥有的网站

T1595 Active Scanning 主动扫描

主动扫描可以用于在网络中收集资产信息，便于快速掌握开放到公网上的网络服务。主动扫描是指通过网络流量探查目标基础设施的扫描，与不涉及直接交互的其他形式的侦察相反。攻击者会根据收集的信息而执行不同形式的主动扫描。

T1595.001 Scanning IP Blocks (IP地址扫描)

攻击者可能会扫描IP的方式收集目标网络信息。扫描的方式可以是简单的ping扫描到更细微的扫描，后者可能会通过服务器响应或其他网络组件显示主机软件/版本。为后续进一步利用打好了基础。

由于本地扫描不开启代理的情况下会暴漏个人IP，容易导致被ban IP，或者溯源甚至被反控等风险。攻击者隐藏自己的方法除了代理以外还可以借助各大安全厂商的网络空间扫描引擎。

相关工具

本地工具： Nmap，Masscan

在线工具： ZoomEye，Shodan，Censys，FOFA

T1595.002 Vulnerability Scanning (扫描漏洞)

攻击者可能会进一步扫描目标以查找可以使用的漏洞。漏洞扫描通常检查目标主机/应用程序（例如：软件和版本）的配置是否存在攻击者可以利用的攻击点。一般的攻击者会通过老旧版本软件存在的漏洞趁虚而入。

这些扫描还可能包括更广泛的尝试来收集目标主机信息，这些信息可用于识别更常见的可利用漏洞。漏洞扫描通常通过服务器上正在运行的软件版本，侦听端口或其他网络组件来收集正在运行的软件和版本号。系统地枚举和检查可识别、可猜测和未知的内容位置、路径、文件名、参数，以发现可能存在安全漏洞的弱点。

相关工具

主动漏洞扫描器： awvs，nessus，Appscan

被动漏洞扫描器： w13scan，xray

防御措施

可通过减少暴露面来缓解，关注可能表示扫描的可疑网络流量，例如来自单个源的大量流量。分析Web数据也可能会发现可归因于潜在恶意活动的对象。

目前市面上大部分主流扫描器都被一些入侵检测软件记录了特征。直接暴露渗透时使用的软件也是有隐患的。在某次hvv过程中，笔者从流量中发现了大规模的icmp包，疑似探测行为，查看数据为十六进制，转字符串得“Pinging from Delphi code written by F. Piette”，将此字符串进行搜索比较发现此段字符串出现自XX扫描器或其简单变种，若将此特征写入入侵检测软件，那么每次触发特征值都能捕捉到类似XX扫描器或其变种的攻击从而进行预警甚至阻断。从攻击方的角度可以通过更换扫描器特征的方式绕过入侵检测系统，或者使用更加小众的扫描器亦或者自己去编写一个扫描器。

根据目标主机对应的端口响应来做出相应判断，最好扫描速度可控，大规模接收到来自同一ip的icmp这种事并不常见，一旦出现十有八九是探测扫描甚至更恶劣的行为。

T1592 Gather Victim Host Information 收集目标主机信息

攻击者可以通过各种方式收集此信息，例如通过主动扫描（例如：主机名，服务器标语，用户代理字符串）或 网络钓鱼诱骗直接收集信息。攻击者还可能直接破坏站点，然后收集访问者主机信息。有关硬件基础结构的信息也可能通过在线或其他可访问的数据集（例如：招聘网站，网络地图，评估报告，简历或发票）暴露给攻击者。

T1592.001 Hardware (硬件)

通过主机信息可以探测硬件基础结构和是否使用了防御型硬件

T1592.002 Software (软件)

通过主机信息可以探测软件版本和是否使用了防御型软件

T1592.003 Firmware (固件)

通过主机信息来推断主机的配置，用途，补丁程序级别等

T1592.004 Client Configurations 客户端配置)

主要包括客户端操作系统版本、语言、位置、虚拟化等信息

T1589 Gather Victim Identity Information 收集目标身份信息

身份信息包括个人数据（例如：员工姓名，电子邮件地址等）以及诸如凭据之类的敏感信息。

T1589.001 Credentials (帐户凭据)

收集目标的凭据可以通过多种方式，比如网络钓鱼、水坑攻击、开源代码库敏感信息泄露、社工、转储泄露等。攻击者在获得账户和密码后可以做成字典用于其它系统的撞库。

T1589.002 Email Addresses (邮件地址)

收集被攻击目标所使用的电子邮箱地址，可以配合收集到的账号凭证制作字典对邮箱进行撞库。攻击者一旦拿到邮箱控制权就可以通过邮箱找回密码获得目标系统的账号权限或根据历史邮件获得更多目标信息。

相关工具

maltego

T1589.003 Employee Names (员工信息)

收集员工名称也是信息收集的一环，有很多员工名称会被呈现在其业务相关的网站上。这些员工名称可以作为字典合成的一部分或者查找域名等信息的关键所在，也可用其来制造更加逼真的“诱饵”做网络钓鱼用。

T1590 Gather Victim Network Information 收集目标网络信息

T1590.001 Domain Properties (域属性)

通过收集域属性可以获得目标的域名、拥有者信息（联系人，公司信息）、注册服务商、更新日期，创建日期、服务器信息等。

相关工具

whois

T1590.002 DNS (域名解析)

收集目标DNS的信息可以获得注册服务器、目标子域、邮件服务器、历史解析记录和其他主机地址的记录。

相关工具

dnsdbq

T1590.003 Network Trust Dependencies (网络可信依赖)

收集与目标有潜在联系的第二方或第三方组织/域信息（例如托管服务商商、技术承包商等）。可以使用网络钓鱼（T1595）、搜索开放式技术数据库（T1596）获得。攻击者可以通过获得的可信网络信息继续进行主动扫描（T1595）和搜索公开网站/域名（T1593）继续获得更多目标信息。

T1590.004 Network Topology (网络拓扑)

网络拓扑信息包括面向外部和内部网络环境的物理、逻辑布局。此信息可能还包括有关网络设备（网关，路由器等）和其他基础结构的详细信息。网络拓扑的获取难度比较大，主要是通过社工攻击的方法进入内部网络获取。

相关工具

BloodHound

T1590.005 IP Addresses (IP地址)

收集目标正在使用的IP地址，可以使攻击者获得有关目标的更多详细信息，例如组织规模，地理位置，Internet服务提供商。收集IP地址可以通过域名直接寻找IP地址（ping 域名）也可以使用whois查询和DNS查询，通过whois查询和DNS查询可以获取相关IP。获取IP后就可以进行一系列的扫描探测行为。

T1590.006 Network Security Appliances (网络安全设备)

收集有关目标网络安全设备的信息。例如已部署的防火墙，IPS，IDS，EDR，堡垒机、NIDS（网络入侵检测系统）等。

相关工具

WAF识别： waf00f

T1591 Gather Victim Org Information 收集目标组织信息

收集目标组织的信息，包括部门/部门的名称、业务运营的详细信息以及关键员工的角色和职责，在获得这些关键信息后攻击者可以使用网络钓鱼（T1598）或搜索目标所拥有的网站（T1594）继续获得更详细的信息，并为使用开发资源战术和初始访问战术提供基础信息。

T1591.001 Determine Physical Locations (确定物理位置)

物理位置信息包括关键资源和基础架构的存放位置。攻击者可以使用IP定位，钓鱼，社工等一系列方式获得（例如：通过从社交媒体中发布的文字图片中提取位置信息）。

T1591.002 Business Relationships (业务关系)

收集与目标业务相关的企业/组织（例如：服务提供商、技术承包商已经子公司信息），这些机构可能会通过网络访问目标系统（例如：VPN、堡垒机、受信任的域），从而进行运维或获取公司内部的信息和服务。攻击者可以通过搜索公开网站/域名（T1593 ）进行信息收集，例如招投标信息、公司信息和组织架构等。

相关工具

天眼查

T1591.003 Identify Business Tempo (确定业务周期)

收集目标的业务周期信息（例如：工作时间、工作周期），可以用来制定攻击计划（例如：社工、网络钓鱼）。攻击者可以通过搜索目标企业的招聘信息、社交媒体等方式获得。

T1591.004 Identify Roles (确定角色)

收集目标有关组织内的身份和角色的信，这些信息包括关键人员的可识别信息以及他们在机构内的访问权限。攻击者可以通过搜索社交媒体、官网发布的信息、员工发表的文章等方式获取。

T1598 Phishing for Information 网络钓鱼

T1598.001 Spearphishing Service (鱼叉式钓鱼服务)

鱼叉式钓鱼服务是针对特定个人、公司或行业的社会工程学。攻击者通过虚假的网络社交账号与被攻击目标建立联系，从而更容易的刺探内部信息和服务，甚至是诱使被攻击目标点开恶意链接或附件。

T1598.002 Spearphishing Attachment (鱼叉式钓鱼攻击)

攻击者通过将文件附加到鱼叉式钓鱼邮件中，通常需要诱导用户打开才能执行其内的恶意程序。

附件有很多选项，如Microsoft Office文档、可执行文件、PDF、压缩文件等。攻击者会在邮件中给出一个合理的打开文件的理由，并可能解释如何绕过系统保护，从而让附件中的攻击载荷在用户的系统中执行。

防御措施

如果安装了杀毒软件或部署了邮件防御系统，都可以对邮件中包含的恶意脚本附件进行拦截，在日常攻击行为中为了躲避防御，很少使用附件进行钓鱼攻击，大多会使用带有恶意脚本的链接。

T1598.003 Spearphishing Link (鱼叉式钓鱼链接)

该攻击会暗示或者要求目标去点击邮件中的链接，被攻击目标一旦访问链接，攻击者就可能通过浏览器漏洞获得权限，或者转到鱼叉式钓鱼攻击让目标下载应用程序，文档，压缩包等，亦或者模仿被攻击目标常用的网站做一个虚假的界面欺骗用户提供账户密码或者其他隐秘信息。

T1597 Search Closed Sources 搜索闭源信息

在开始攻击之前攻击者可能会从闭源收集被攻击目标的信息，这些信息可以从信誉良好的私有资源或数据库购买（例如：付费的技术/威胁情报），也可以从信誉较差的暗网或网络黑市购买（例如：telegram或者黑产群等）。

T1597.001 Threat Intel Vendors (私人威胁情报库)

T1597.002 Purchase Technical Data (购买目标相关数据)

T1596 Search Open Technical Databases 搜索开放式技术数据库

攻击者可以通过搜索免费的技术数据库，搜集可以用在攻击阶段的信息（例如：域/证书的注册信息）。

T1596.001 DNS/Passive DNS (DNS信息)

T1596.002 WHOIS (域名信息)

T1596.003 Digital Certificates (CA数字证书)

T1596.004 CDNs (CDN数据)

T1596.005 Scan Databases (第三方扫描数据)

T1593 Search Open Websites/Domains 搜索公开网站/域名

攻击者可以通过各种网站或社交媒体搜索与目标相关的网站/域名，获得可用于对目标进行下一步侦查的关键信息。

T1593.001 Social Media 社交媒体

攻击者可以通过社交媒体中企业员工/实习生/新员工在社交媒体的视频/图片/文字中获得企业的相关信息，比如企业办公室布局，电脑桌面程序，徽章图片，公开在白板上的信息/密码等，从而使攻击者更好的进行钓鱼攻击或者直接获得初始账号，收集业务资源等。

T1593.002 Search Engines 搜索引擎

攻击者可以通过google/百度语法搜索特定的关键词或特定文件类型获得信息。

相关工具

Google hacking， 百度高级搜索

T1594 Search Victim-Owned Websites 搜索目标所拥有的网站

攻击者可以搜目标所拥有的网站，这些网站可能会包含多种信息，比如部门名称，物理位置，关键员工的相关数据（姓名，职务，联系方式等）。这些网站可能还会包含关键业务运作和商业关系的细节。

声明：本文仅作为信息安全和攻防演练技术的研究与学习使用，请勿用于其他用途，任何未经授权的测试、入侵及破坏均属违法违规行为，如使用本文内涉及的技术从事违法违规行为，由此所产生的一切后果均有读者自行承担，与本文作者无关！