发现(MITRE 战术)
发现(MITRE 战术) 是什么?
发现(MITRE 战术)MITRE ATT&CK 战术 TA0007,涵盖攻击者获得访问后用于了解受害环境的各种技术。
发现(MITRE ATT&CK 战术 TA0007)描述的是攻击者获得立足点之后的内部侦察活动,包括账户枚举、系统与网络配置发现、域信任枚举、文件与目录列表、浏览器书签与密码库查看、云服务发现、安全软件发现,以及使用 BloodHound 等工具对 Active Directory 进行特权路径建模。发现阶段以只读操作为主,直接阻断难度较大,但会留下具有特征的命令行和 API 调用模式。防御者结合 EDR、命令行审计、欺骗手段(蜜罐账户/文件)以及针对 BloodHound、AdFind、net.exe 扫描等的检测,在初始访问与横向移动之间发现攻击者。
● 示例
- 01
运行 BloodHound 的 SharpHound 采集器,绘制通往域管理员的特权路径。
- 02
执行 net group "Domain Admins" /domain 枚举高权账户。
● 常见问题
发现(MITRE 战术) 是什么?
MITRE ATT&CK 战术 TA0007,涵盖攻击者获得访问后用于了解受害环境的各种技术。 它属于网络安全的 防御与运营 分类。
发现(MITRE 战术) 是什么意思?
MITRE ATT&CK 战术 TA0007,涵盖攻击者获得访问后用于了解受害环境的各种技术。
发现(MITRE 战术) 是如何工作的?
发现(MITRE ATT&CK 战术 TA0007)描述的是攻击者获得立足点之后的内部侦察活动,包括账户枚举、系统与网络配置发现、域信任枚举、文件与目录列表、浏览器书签与密码库查看、云服务发现、安全软件发现,以及使用 BloodHound 等工具对 Active Directory 进行特权路径建模。发现阶段以只读操作为主,直接阻断难度较大,但会留下具有特征的命令行和 API 调用模式。防御者结合 EDR、命令行审计、欺骗手段(蜜罐账户/文件)以及针对 BloodHound、AdFind、net.exe 扫描等的检测,在初始访问与横向移动之间发现攻击者。
如何防御 发现(MITRE 战术)?
针对 发现(MITRE 战术) 的防御通常结合技术控制与运营实践,详见上方完整定义。
发现(MITRE 战术) 还有哪些其他名称?
常见的别称包括: 内部侦察, TA0007。
● 相关术语
- compliance№ 687
MITRE ATT&CK
由 MITRE 维护、面向全球开放的对手战术与技术知识库,基于真实攻击观察持续更新。
- defense-ops№ 107
BloodHound
开源工具,利用图论方法绘制并分析 Active Directory 与 Azure AD 中通往域管理员等高价值目标的攻击路径。
- defense-ops№ 905
侦察
攻击的第一阶段,攻击者在尝试入侵之前,收集目标的人员、技术和暴露面等信息。
- defense-ops№ 606
横向移动
MITRE ATT&CK 战术 TA0008,涵盖攻击者从一个被攻陷主机扩展到环境中其他系统的各种技术。
- identity-access№ 013
Active Directory
微软面向 Windows 网络的企业级目录服务,为用户、计算机和资源提供集中式身份验证、授权与策略管理。
- defense-ops№ 265
网络杀伤链
洛克希德·马丁公司提出的七阶段模型,描述有针对性的入侵如何从侦察一路推进到目标行动。