Ở giai đoạn này, kẻ tấn công đang cố gắng thu thập thông tin mà họ có thể sử dụng để lập kế hoạch hoạt động trong tương lai. Thông tin đó có thể bao gồm các chi tiết về tổ chức nạn nhân, cơ sở hạ tầng hoặc nhân viên / nhân viên. Thông tin này có thể được các tác nhân, kẻ tấn công tận dụng để sử dụng trong các giai đoạn khác, chẳng hạn như sử dụng thông tin thu thập được để lập kế hoạch và thực hiện khởi tạo truy cập ban
đầu, để xác định phạm vi và ưu tiên các mục tiêu sau thỏa hiệp, hoặc thúc đẩy và dẫn dắt các nỗ lực trinh sát hơn nữa.
ID Tên Mô tả
T1592 Thu thập thông tin máy chủ nạn nhân
Kẻ tấn công có thể thu thập thông tin về máy chủ của nạn nhân có thể được sử dụng trong quá trình nhắm mục tiêu. Thông tin về máy chủ có thể bao gồm nhiều chi tiết, bao gồm dữ liệu quản trị (ví dụ: tên, IP được chỉ định, chức năng, v.v.) cũng như các chi tiết cụ thể về cấu hình của máy (ví dụ: hệ điều hành, ngôn ngữ, v.v.).
T1589
Thu thập thông tin nhận dạng nạn nhân:
- Thông tin xác thực
- Địa chỉ Email - Tên nhân viên
Kẻ tấn công có thể thu thập thông tin về danh tính của nạn nhân có thể được sử dụng trong quá trình nhắm mục tiêu. Thông tin về danh tính có thể bao gồm nhiều chi tiết, bao gồm dữ liệu cá nhân (ví dụ: tên nhân viên, địa chỉ email, v.v.) cũng như các chi tiết nhạy cảm như thông tin xác thực.
T1590
Thu thập Thông tin Mạng của Nạn nhân: - Domain - DNS - Độ tin cậy mạng - Cấu trúc mạng - Địa chỉ IP - Các thiết bị trong mạng
Kẻ tấn công có thể thu thập thông tin về các thiết bị an ninh mạng của nạn nhân có thể được sử dụng trong quá trình nhắm mục tiêu. Thông tin về các thiết bị bảo mật mạng có thể bao gồm nhiều chi tiết khác nhau, chẳng hạn như sự tồn tại và các chi tiết cụ thể của tường lửa đã triển khai, bộ lọc nội dung và proxy / máy chủ pháo đài. Kẻ tấn công cũng có thể nhắm mục tiêu thông tin về hệ thống phát hiện xâm nhập dựa trên mạng của nạn nhân (NIDS) hoặc các thiết bị khác liên quan đến các hoạt động phòng thủ an ninh mạng.
T1591
Thu thập thông tin về tổ chức của nạn nhân:
- Xác định vị trí thực tế
Kẻ tấn công có thể thu thập thông tin về tổ chức của nạn nhân có thể được sử dụng trong quá trình nhắm mục tiêu. Thông tin về một tổ chức có thể bao gồm nhiều thông tin chi tiết, bao gồm tên của các bộ phận / phòng ban, chi tiết cụ thể của hoạt động kinh doanh, cũng như vai trò và trách nhiệm của các nhân
- Quan hệ kinh doanh
- Xác định vai trò
viên chủ chốt.
T1598
Lừa đảo để lấy thông tin thông qua liên kết, phần đính kèm hoặc các dịch vụ của bên thứ ba.
Kẻ tấn công có thể gửi tin nhắn lừa đảo để lấy thông tin nhạy cảm có thể được sử dụng trong quá trình nhắm mục tiêu. Lừa đảo lấy thông tin là một nỗ lực để lừa các mục tiêu tiết lộ thông tin, thông tin đăng nhập thường xuyên hoặc thông tin có thể hành động khác. Lừa đảo lấy thông tin khác với Lừa đảo ở chỗ mục tiêu là thu thập dữ liệu từ nạn nhân hơn là thực thi mã độc.
T1597 Tìm kiếm các nguồn đã đóng
Kẻ tấn công có thể tìm kiếm và thu thập thông tin về nạn nhân từ các nguồn đóng có thể được sử dụng trong quá trình nhắm mục tiêu. Thông tin về nạn nhân có thể có sẵn để mua từ các nguồn và cơ sở dữ liệu tư nhân có uy tín, chẳng hạn như đăng ký trả phí cho nguồn cấp dữ liệu tình báo kỹ thuật / mối đe dọa. Kẻ tấn công cũng có thể mua thông tin từ các nguồn kém uy tín hơn như web đen hoặc chợ đen tội phạm mạng.
T1596
Tìm kiếm thông qua cơ sở dữ liệu mở( DNS, whois, chứng chỉ số…)
Kẻ tấn công có thể tìm kiếm cơ sở dữ liệu kỹ thuật có sẵn miễn phí để biết thông tin về nạn nhân có thể được sử dụng trong quá trình nhắm mục tiêu. Thông tin về nạn nhân có thể có sẵn trong cơ sở dữ liệu và kho lưu trữ trực tuyến, chẳng hạn như đăng ký tên miền / chứng chỉ cũng như bộ sưu tập công khai dữ liệu mạng / hiện vật thu thập được từ lưu lượng truy cập và / hoặc quét.
T1593
Tìm kiếm trang web / tên miền đang mở
Kẻ tấn công có thể tìm kiếm các trang web và / hoặc miền có sẵn miễn phí để biết thông tin về nạn nhân có thể được sử dụng trong quá trình nhắm mục tiêu. Thông tin về nạn nhân có thể có sẵn trên các trang web trực tuyến khác nhau, chẳng hạn như phương tiện truyền thông xã hội, trang web mới hoặc những trang web lưu trữ thông tin về hoạt động kinh
doanh như tuyển dụng hoặc hợp đồng được yêu cầu / khen thưởng. T1594 Tìm kiếm các trang web do nạn nhân sở hữu
Kẻ tấn công có thể tìm kiếm các trang web do nạn nhân sở hữu để tìm thông tin có thể được sử dụng trong quá trình nhắm mục tiêu. Các trang web do nạn nhân sở hữu có thể chứa nhiều thông tin chi tiết, bao gồm tên của các phòng ban / bộ phận, vị trí thực tế và dữ liệu về các nhân viên chính như tên, vai trò và thông tin liên hệ (ví dụ: Địa chỉ Email ). Các trang web này cũng có thể có các chi tiết làm nổi bật các hoạt động kinh doanh và các mối quan hệ.