MITRE ATT&CK框架：信息收集与资产梳理实战指南

1. 侦察战术概述

MITRE ATT&CK框架中的侦察战术是指攻击者主动或被动收集可用于支持目标定位的信息的技术。这些信息包括受害组织、基础设施或人员的详细信息，用于规划初始访问、确定入侵范围和优先级，或推动进一步侦察工作。

侦察占据整个攻击过程的60%，是攻击链中至关重要的第一步。

2. 侦察战术的10项关键技术

2.1 主动扫描

攻击者通过网络流量探测目标基础设施的扫描技术：

扫描IP段：扫描目标的IP地址段，识别组织拥有的公共IP块
漏洞扫描：检查目标主机/应用程序的配置，识别可利用的特定漏洞
目录扫描：使用暴力破解和爬行技术反复探测基础设施，识别内容和基础结构

2.2 收集目标主机信息

收集有关目标主机的详细信息：

主机硬件信息：类型、版本、特殊组件（如加密硬件）
主机软件信息：安装的软件类型、版本、安全产品（如防病毒、SIEM）
主机固件信息：固件类型和版本，推断配置、用途和补丁级别
客户端配置信息：OS/版本、虚拟化、架构、语言、时区

2.3 搜集目标身份信息

收集有关目标身份的信息：

凭证：通过钓鱼、网站入侵或购买泄露凭证获取账号凭据
电子邮件地址：通过社交媒体、网站或主动扫描身份验证服务获取
员工姓名：用于制作可信诱饵和指导进一步侦察

2.4 搜集目标网络信息

收集目标网络的详细信息：

域属性：域名、注册商、联系人信息、公司地址
域名服务器信息：注册的名称服务器、子域、邮件服务器记录
网络信任依赖关系：托管服务提供商、承包商等第三方访问
网络拓扑结构：内外网环境的物理/逻辑布置
IP地址：识别组织使用的IP块，推断组织规模、位置等
网络安全设备：防火墙、IDS/IPS、代理服务器等

2.5 搜集目标组织信息

收集目标组织的业务信息：

物理位置：关键资源和基础设施的位置
商业关系：托管服务提供商、承包商等第三方关系
业务节奏：运营时间、采购周期等
身份信息：关键人员的角色和访问权限

2.6 通过网络钓鱼搜集信息

发送钓鱼邮件获取敏感信息的技术：

诱惑信息钓鱼：通过第三方服务发送钓鱼消息
钓鱼附件：带有恶意附件的钓鱼邮件
钓鱼链接：带有恶意链接的钓鱼邮件
语音/电话钓鱼：通过电话通信获取信息

2.7 从非公开源搜集信息

从封闭来源获取信息：

威胁情报供应商：付费订阅的威胁情报源
购买技术数据：从私人数据库或暗网购买目标信息

2.8 从公开技术数据库搜集信息

从免费技术数据库获取信息：

DNS信息：名称服务器、子域、邮件服务器记录
WHOIS信息：IP地址块、联系人信息、域名服务器
数字证书：包含组织名称和位置的SSL/TLS证书
CDN数据：内容交付网络中的目标信息
扫描数据库：公共扫描数据库中的IP、端口、证书信息

2.9 搜集公开网站/域

从公开网站获取信息：

社交媒体：商业公告、员工角色和兴趣
搜索引擎：使用专门语法搜索特定内容
代码库：GitHub等代码库中的目标信息

2.10 搜集目标自有网站

从目标拥有的网站获取信息：

部门/分部名称、物理位置、关键员工数据
商业运作和关系的细节

3. 侦察工具与技术验证

3.1 可技术验证的工具

dirsearch：暴力扫描页面结构和文件目录
nmap：
- 检测主机在线状态
- 扫描端口开放状态
- 检测服务类型及版本
- 检测操作系统版本
- 使用NSE脚本进行交互
类似工具：goby、masscan等

3.2 不可技术验证的技术

社交媒体信息收集
商业关系分析
物理位置确定
建议定期检测新增资产和信息泄露

4. 资产梳理实战应用

4.1 资产梳理流程

梳理域名信息：
- 使用爱企查、天眼查获取目标域名、备案、控股公司信息
获取互联网资产：
- 通过FOFA、Quake、鹰图平台获取公网资产信息
- 进行去重和无效信息过滤
主动扫描补充：
- 对IP进行端口、路径扫描
- 识别网络空间测绘未收录的资产
- 持续去重处理
指纹识别与漏洞扫描：
- 对资产进行指纹识别，确定重点资产
- 对重点资产进行漏洞扫描
漏洞修复：
- 根据扫描结果修复漏洞
持续监控：
- 建立资产清单
- 快速响应0day/Nday威胁

4.2 关键注意事项

影子资产发现：数字化时代导致企业IT资产暴涨，需提升暴露资产的可见性
全面性：覆盖子公司、分公司、关联公司资产
持续性：资产梳理是持续过程，需定期更新
自动化：利用工具提高效率，减少人工遗漏

5. 防御建议

最小化公开信息：限制公开的资产和技术信息
监控扫描活动：通过防火墙、IPS检测异常扫描行为
员工安全意识：防范钓鱼和社会工程攻击
定期资产审计：持续发现和管理影子资产
漏洞管理：及时修复已知漏洞，减少攻击面

通过全面理解ATT&CK框架中的侦察战术，组织可以更好地"摸清家底"，建立有效的资产管理和安全防御体系，从攻击链的最初阶段就提高防御能力。

MITRE ATT&CK框架：信息收集与资产梳理实战指南 1. 侦察战术概述 MITRE ATT&CK框架中的侦察战术是指攻击者主动或被动收集可用于支持目标定位的信息的技术。这些信息包括受害组织、基础设施或人员的详细信息，用于规划初始访问、确定入侵范围和优先级，或推动进一步侦察工作。侦察占据整个攻击过程的60%，是攻击链中至关重要的第一步。 2. 侦察战术的10项关键技术 2.1 主动扫描攻击者通过网络流量探测目标基础设施的扫描技术：扫描IP段：扫描目标的IP地址段，识别组织拥有的公共IP块漏洞扫描：检查目标主机/应用程序的配置，识别可利用的特定漏洞目录扫描：使用暴力破解和爬行技术反复探测基础设施，识别内容和基础结构 2.2 收集目标主机信息收集有关目标主机的详细信息：主机硬件信息：类型、版本、特殊组件（如加密硬件）主机软件信息：安装的软件类型、版本、安全产品（如防病毒、SIEM）主机固件信息：固件类型和版本，推断配置、用途和补丁级别客户端配置信息：OS/版本、虚拟化、架构、语言、时区 2.3 搜集目标身份信息收集有关目标身份的信息：凭证：通过钓鱼、网站入侵或购买泄露凭证获取账号凭据电子邮件地址：通过社交媒体、网站或主动扫描身份验证服务获取员工姓名：用于制作可信诱饵和指导进一步侦察 2.4 搜集目标网络信息收集目标网络的详细信息：域属性：域名、注册商、联系人信息、公司地址域名服务器信息：注册的名称服务器、子域、邮件服务器记录网络信任依赖关系：托管服务提供商、承包商等第三方访问网络拓扑结构：内外网环境的物理/逻辑布置 IP地址：识别组织使用的IP块，推断组织规模、位置等网络安全设备：防火墙、IDS/IPS、代理服务器等 2.5 搜集目标组织信息收集目标组织的业务信息：物理位置：关键资源和基础设施的位置商业关系：托管服务提供商、承包商等第三方关系业务节奏：运营时间、采购周期等身份信息：关键人员的角色和访问权限 2.6 通过网络钓鱼搜集信息发送钓鱼邮件获取敏感信息的技术：诱惑信息钓鱼：通过第三方服务发送钓鱼消息钓鱼附件：带有恶意附件的钓鱼邮件钓鱼链接：带有恶意链接的钓鱼邮件语音/电话钓鱼：通过电话通信获取信息 2.7 从非公开源搜集信息从封闭来源获取信息：威胁情报供应商：付费订阅的威胁情报源购买技术数据：从私人数据库或暗网购买目标信息 2.8 从公开技术数据库搜集信息从免费技术数据库获取信息： DNS信息：名称服务器、子域、邮件服务器记录 WHOIS信息：IP地址块、联系人信息、域名服务器数字证书：包含组织名称和位置的SSL/TLS证书 CDN数据：内容交付网络中的目标信息扫描数据库：公共扫描数据库中的IP、端口、证书信息 2.9 搜集公开网站/域从公开网站获取信息：社交媒体：商业公告、员工角色和兴趣搜索引擎：使用专门语法搜索特定内容代码库：GitHub等代码库中的目标信息 2.10 搜集目标自有网站从目标拥有的网站获取信息：部门/分部名称、物理位置、关键员工数据商业运作和关系的细节 3. 侦察工具与技术验证 3.1 可技术验证的工具 dirsearch ：暴力扫描页面结构和文件目录 nmap ：检测主机在线状态扫描端口开放状态检测服务类型及版本检测操作系统版本使用NSE脚本进行交互类似工具：goby、masscan等 3.2 不可技术验证的技术社交媒体信息收集商业关系分析物理位置确定建议定期检测新增资产和信息泄露 4. 资产梳理实战应用 4.1 资产梳理流程梳理域名信息：使用爱企查、天眼查获取目标域名、备案、控股公司信息获取互联网资产：通过FOFA、Quake、鹰图平台获取公网资产信息进行去重和无效信息过滤主动扫描补充：对IP进行端口、路径扫描识别网络空间测绘未收录的资产持续去重处理指纹识别与漏洞扫描：对资产进行指纹识别，确定重点资产对重点资产进行漏洞扫描漏洞修复：根据扫描结果修复漏洞持续监控：建立资产清单快速响应0day/Nday威胁 4.2 关键注意事项影子资产发现：数字化时代导致企业IT资产暴涨，需提升暴露资产的可见性全面性：覆盖子公司、分公司、关联公司资产持续性：资产梳理是持续过程，需定期更新自动化：利用工具提高效率，减少人工遗漏 5. 防御建议最小化公开信息：限制公开的资产和技术信息监控扫描活动：通过防火墙、IPS检测异常扫描行为员工安全意识：防范钓鱼和社会工程攻击定期资产审计：持续发现和管理影子资产漏洞管理：及时修复已知漏洞，减少攻击面通过全面理解ATT&CK框架中的侦察战术，组织可以更好地"摸清家底"，建立有效的资产管理和安全防御体系，从攻击链的最初阶段就提高防御能力。