1. Home
  2. Techniques
  3. Enterprise
  4. 收集受害者主机信息

收集受害者主机信息

ID Name
T1592.001 合法云服务API滥用
T1592.002 浏览器指纹隐蔽收集
T1592.003 第三方供应链数据窃取
T1592.004 社交工程伪装工具

收集受害者主机信息是指攻击者通过多种渠道获取目标系统配置、网络拓扑等数据的情报搜集行为,这些信息为后续攻击阶段的武器构建、漏洞利用提供关键支撑。传统技术手段包括主动扫描、钓鱼攻击、网站渗透等,防御方通常通过监控异常数据请求、分析用户代理字符串、检测恶意Web脚本等方式进行防护。但由于信息收集行为常混杂在正常业务流量中,且可能发生在供应链环节或第三方平台,导致传统检测手段存在高误报率和可见性盲区。

当前主机信息收集匿迹技术的核心演进方向体现在攻击面的多维拓展与数据获取的间接化。攻击者通过云服务API滥用将侦察行为转化为合规运维操作,利用浏览器指纹收集将攻击触手延伸至客户端合法功能,借助供应链入侵实现攻击链的拓扑跳转,最终通过社交工程工具获取用户主动提供的高价值数据。四类技术的共性在于突破传统端到端的直接对抗模式,转而构建包含第三方服务提供商、云平台、供应链节点、终端用户的立体化攻击面。在技术实现层面,均注重行为上下文环境的适配性改造,通过协议合规化封装、权限合法化获取、节奏常态化控制等手段,使每个操作环节均符合目标环境的业务基准模型。这种攻击方式使得传统基于单点异常检测的防御机制难以奏效,迫使防御方必须建立跨域行为关联分析能力。

ID: T1592
Sub-techniques:  T1592.001, T1592.002, T1592.003, T1592.004
Tactic: 目标侦查
Platforms: PRE
Contributors: Sam Seabrook, Duke Energy
Version: 1.2
Created: 02 October 2020
Last Modified: 03 October 2024

匿迹效应

效应类型 是否存在
特征伪装
行为透明
数据遮蔽
时空释痕

特征伪装

攻击者通过云服务API标准化调用、浏览器功能合法化使用等手法,将主机信息收集行为伪装成正常业务操作。例如将数据查询请求封装为云监控API参数,或利用WebRTC等标准协议获取网络配置,使得恶意行为在协议特征层面与合法流量完全一致,规避基于特征指纹的检测机制。

行为透明

在供应链数据窃取场景中,攻击者利用第三方服务与目标主机的信任关系,通过日志同步、配置推送等标准业务流程被动获取信息。这种间接攻击模式使得数据收集行为完全隐藏在供应链的正常交互中,防御方难以察觉异常数据流动。

数据遮蔽

采用HTTPS加密传输、数据隐写术及合法文件格式封装等手段,对收集的主机信息进行多层加密和混淆。例如将窃取的配置数据嵌入软件更新包的元数据字段,或使用TLS 1.3加密回传数据,使得防御方无法通过流量解密直接获取攻击证据。

时空释痕

通过多地域云账户轮询调用、长周期渐进式浏览器指纹收集等策略,将集中式信息收集任务分解为低频次、分散化的操作序列。这种时空维度上的行为稀释使得单次操作特征低于检测阈值,同时破坏攻击链的时间连续性与空间关联性。

Procedure Examples

ID Name Description
G1017 Volt Typhoon

Volt Typhoon has conducted pre-compromise reconnaissance for victim host information.[1]

Mitigations

ID Mitigation Description
M1056 Pre-compromise

This technique cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls. Efforts should focus on minimizing the amount and sensitivity of data available to external parties.

Detection

ID Data Source Data Component Detects
DS0035 Internet Scan Response Content

Internet scanners may be used to look for patterns associated with malicious content designed to collect host information from visitors.[2][3]Much of this activity may have a very high occurrence and associated false positive rate, as well as potentially taking place outside the visibility of the target organization, making detection difficult for defenders. Detection efforts may be focused on related stages of the adversary lifecycle, such as during Initial Access.

References

  1. CISA et al.. (2024, February 7). PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure. Retrieved May 15, 2024.
  2. ThreatConnect. (2020, December 15). Infrastructure Research and Hunting: Boiling the Domain Ocean. Retrieved October 12, 2021.
  1. Blasco, J. (2014, August 28). Scanbox: A Reconnaissance Framework Used with Watering Hole Attacks. Retrieved October 19, 2020.