TA0007

کشف

Discovery

توضیحات

مهاجم سعی می‌کند محیط را بشناسد. تکنیک‌های کشف به مهاجمان اجازه می‌دهد اطلاعاتی درباره سیستم و شبکه داخلی به دست آورند. این اطلاعات به مهاجم کمک می‌کند محیط را بشناسد و تصمیم بگیرد چه اقداماتی انجام دهد.

تکنیک‌ها (34)

شناسهنام تکنیکزیرتکنیک

T1007

کشف سرویس‌های سیستمSystem Service Discovery

مهاجمان سرویس‌های در حال اجرا روی سیستم را برای کشف اطلاعات درباره نرم‌افزارهای نصب شده و شناسایی فرصت‌های بعدی شناسایی می‌کنند.

—

T1010

کشف پنجره برنامهApplication Window Discovery

مهاجمان پنجره‌های برنامه‌های باز شده را برای شناسایی برنامه‌های در حال اجرا و فعالیت کاربر شناسایی می‌کنند.

—

T1012

کشف رجیستریQuery Registry

مهاجمان رجیستری ویندوز را برای جمع‌آوری اطلاعات درباره سیستم، پیکربندی و نرم‌افزارهای نصب شده query می‌کنند.

—

T1016

کشف پیکربندی شبکه سیستمSystem Network Configuration Discovery

مهاجمان اطلاعات پیکربندی شبکه سیستم مانند آدرس IP، تنظیمات DNS، routing table و interface ها را جمع‌آوری می‌کنند.

└T1016.001

کشف پیکربندی اینترنتInternet Connection Discovery

مهاجمان بررسی می‌کنند که آیا سیستم به اینترنت دسترسی دارد تا رفتار بدافزار را بر اساس اتصال تنظیم کنند.

T1018

کشف سیستم‌های راه دورRemote System Discovery

مهاجمان سیستم‌های دیگر موجود در شبکه را برای شناسایی اهداف بعدی و مسیرهای حرکت جانبی شناسایی می‌کنند.

—

T1033

کشف مالک/کاربر سیستمSystem Owner/User Discovery

مهاجمان اطلاعاتی درباره کاربر فعلی سیستم، مالک دستگاه و کاربران لاگین شده جمع‌آوری می‌کنند.

—

T1040

sniffing شبکهNetwork Sniffing

مهاجمان ترافیک شبکه را برای جمع‌آوری اطلاعات اعتباری و اطلاعات حساس از ارتباطات رمزنگاری نشده ضبط می‌کنند.

—

T1046

اسکن سرویس شبکهNetwork Service Discovery

مهاجمان سرویس‌ها و پورت‌های باز روی سیستم‌های شبکه را برای شناسایی آسیب‌پذیری‌ها و مسیرهای دسترسی اسکن می‌کنند.

—

T1049

کشف اتصالات شبکه سیستمSystem Network Connections Discovery

مهاجمان اتصالات شبکه فعال روی سیستم را برای شناسایی ارتباطات و سرویس‌های در حال اجرا بررسی می‌کنند.

—

T1057

کشف فرآیندProcess Discovery

مهاجمان فرآیندهای در حال اجرا روی سیستم را برای شناسایی نرم‌افزارهای امنیتی، برنامه‌های هدف و اطلاعات محیطی بررسی می‌کنند.

—

T1069

کشف گروه‌های مجوزPermission Groups Discovery

مهاجمان گروه‌های مجوز محلی و دامنه را برای شناسایی کاربران با دسترسی بالا و مسیرهای ارتقاء سطح دسترسی بررسی می‌کنند.

└T1069.001

گروه‌های مجوز محلیLocal Groups

مهاجمان گروه‌های محلی سیستم را برای شناسایی کاربران با دسترسی بالا enumerate می‌کنند.

└T1069.002

گروه‌های دامنهDomain Groups

مهاجمان گروه‌های دامنه Active Directory را برای شناسایی کاربران با دسترسی بالا و مسیرهای ارتقاء سطح دسترسی enumerate می‌کنند.

└T1069.003

گروه‌های ابریCloud Groups

مهاجمان گروه‌های ابری مانند Azure AD groups و AWS IAM groups را enumerate می‌کنند.

T1082

کشف اطلاعات سیستمSystem Information Discovery

مهاجمان اطلاعات دقیق درباره سیستم‌عامل، سخت‌افزار، نسخه‌ها و پیکربندی سیستم جمع‌آوری می‌کنند.

—

T1083

کشف فایل و دایرکتوریFile and Directory Discovery

مهاجمان فایل‌ها و دایرکتوری‌های سیستم را برای یافتن اطلاعات حساس، اطلاعات اعتباری و فرصت‌های بعدی بررسی می‌کنند.

—

T1087

کشف حساب کاربریAccount Discovery

مهاجمان حساب‌های کاربری محلی و دامنه را برای شناسایی اهداف بعدی و مسیرهای دسترسی enumerate می‌کنند.

└T1087.001

حساب محلیLocal Account

مهاجمان حساب‌های کاربری محلی سیستم را enumerate می‌کنند.

└T1087.002

حساب دامنهDomain Account

مهاجمان حساب‌های کاربری دامنه Active Directory را enumerate می‌کنند.

└T1087.003

حساب ایمیلEmail Account

مهاجمان حساب‌های ایمیل سازمان را برای شناسایی کاربران و اهداف فیشینگ enumerate می‌کنند.

└T1087.004

حساب ابریCloud Account

مهاجمان حساب‌های ابری مانند Azure AD، AWS IAM و GCP را enumerate می‌کنند.

T1120

کشف دستگاه‌های جانبیPeripheral Device Discovery

مهاجمان دستگاه‌های جانبی متصل به سیستم مانند USB، پرینتر و دستگاه‌های صوتی را شناسایی می‌کنند.

—

T1124

کشف زمان سیستمSystem Time Discovery

مهاجمان زمان و تاریخ سیستم را برای تنظیم رفتار بدافزار، دور زدن sandbox ها و هماهنگی با عملیات بررسی می‌کنند.

—

T1135

کشف اشتراک‌گذاری شبکهNetwork Share Discovery

مهاجمان اشتراک‌گذاری‌های شبکه موجود را برای یافتن منابع قابل دسترس و اطلاعات حساس شناسایی می‌کنند.

—

T1201

کشف سیاست رمز عبورPassword Policy Discovery

مهاجمان سیاست‌های رمز عبور سازمان را برای بهینه‌سازی حملات brute force و password spraying بررسی می‌کنند.

—

T1217

کشف bookmark مرورگرBrowser Information Discovery

مهاجمان bookmark ها، تاریخچه و اطلاعات مرورگر را برای شناسایی سیستم‌های داخلی، اطلاعات اعتباری و اهداف بعدی بررسی می‌کنند.

—

T1482

کشف اعتماد دامنهDomain Trust Discovery

مهاجمان روابط اعتماد بین دامنه‌ها را برای شناسایی مسیرهای حرکت جانبی به دامنه‌های دیگر بررسی می‌کنند.

—

T1497

فرار از مجازی‌سازی/SandboxVirtualization/Sandbox Evasion

مهاجمان محیط‌های مجازی‌سازی و تحلیل را شناسایی می‌کنند تا از اجرا در sandbox جلوگیری کنند. بدافزار ممکن است آثار VM، ابزارهای نظارت امنیتی یا فعالیت کاربر را بررسی کند. در صورت شناسایی محیط تحلیل، بدافزار ممکن است خود را غیرفعال کند.

└T1497.001

بررسی سیستمSystem Checks

مهاجمان آثار مجازی‌سازی مانند registry key‌های VM، فایل‌های VM، فرآیندهای VM و سخت‌افزار VM را بررسی می‌کنند. در صورت شناسایی محیط مجازی، بدافزار ممکن است خود را غیرفعال کند یا رفتار خود را تغییر دهد.

└T1497.003

فرار مبتنی بر زمانTime Based Evasion

مهاجمان از تأخیرهای زمانی برای فرار از sandbox‌های با محدودیت زمانی استفاده می‌کنند. این شامل sleep‌های طولانی، حلقه‌های زمانی، API hammering و تشخیص شتاب‌دهی زمان در sandbox می‌شود.

T1518

کشف نرم‌افزارSoftware Discovery

مهاجمان نرم‌افزارهای نصب شده روی سیستم را برای شناسایی ابزارهای امنیتی، آسیب‌پذیری‌ها و فرصت‌های بعدی بررسی می‌کنند.

└T1518.001

کشف نرم‌افزار امنیتیSecurity Software Discovery

مهاجمان نرم‌افزارهای امنیتی نصب شده مانند آنتی‌ویروس، firewall و EDR را برای تنظیم رفتار خود شناسایی می‌کنند.

T1526

کشف سرویس‌های ابریCloud Service Discovery

مهاجمان سرویس‌های ابری موجود در محیط هدف را برای شناسایی منابع قابل دسترس و فرصت‌های بعدی enumerate می‌کنند.

—

T1538

کشف داشبورد سرویس ابریCloud Service Dashboard

مهاجمان از داشبوردهای مدیریت ابری برای کشف منابع، پیکربندی‌ها و اطلاعات محیط ابری استفاده می‌کنند.

—

T1580

کشف زیرساخت ابریCloud Infrastructure Discovery

مهاجمان زیرساخت ابری مانند instance ها، bucket ها، database ها و سرویس‌های مدیریت شده را enumerate می‌کنند.

—

T1613

کشف کانتینر و منابعContainer and Resource Discovery

مهاجمان کانتینرها و منابع مرتبط مانند image ها، volume ها و شبکه‌های کانتینری را enumerate می‌کنند.

—

T1614

کشف موقعیت سیستمSystem Location Discovery

مهاجمان موقعیت جغرافیایی سیستم را برای تنظیم رفتار بدافزار بر اساس منطقه جغرافیایی بررسی می‌کنند.

└T1614.001

کشف زبان سیستمSystem Language Discovery

مهاجمان زبان سیستم را بررسی می‌کنند تا رفتار بدافزار را بر اساس منطقه جغرافیایی تنظیم کنند.

T1615

کشف تنظیمات Group PolicyGroup Policy Discovery

مهاجمان تنظیمات Group Policy را برای شناسایی پیکربندی‌های امنیتی، محدودیت‌ها و فرصت‌های دور زدن بررسی می‌کنند.

—

T1619

کشف Object های ذخیره‌سازی ابریCloud Storage Object Discovery

مهاجمان object های ذخیره شده در سرویس‌های ابری مانند S3 bucket ها را برای یافتن اطلاعات حساس enumerate می‌کنند.

—

T1622

فرار از DebuggerDebugger Evasion

مهاجمان از روش‌هایی برای شناسایی و فرار از debugger‌های استفاده شده توسط تحلیلگران امنیتی استفاده می‌کنند. این شامل بررسی IsDebuggerPresent، NtQueryInformationProcess، بررسی PEB و سایر تکنیک‌های anti-debugging می‌شود.

—

T1652

کشف Device DriverDevice Driver Discovery

مهاجمان driver های نصب شده روی سیستم را برای شناسایی نرم‌افزارهای امنیتی، آسیب‌پذیری‌ها و فرصت‌های بعدی enumerate می‌کنند.

—

T1654

کشف لاگLog Enumeration

مهاجمان لاگ‌های سیستم و برنامه را برای جمع‌آوری اطلاعات درباره محیط، فعالیت‌های کاربر و پیکربندی‌های امنیتی بررسی می‌کنند.

—

T1655

کشف اطلاعات هویتAsset Discovery

مهاجمان دارایی‌های سازمان مانند دستگاه‌ها، سرویس‌ها و منابع شبکه را برای شناسایی اهداف بعدی enumerate می‌کنند.

—

T1656

جعل هویتImpersonation

مهاجمان هویت کاربران، سرویس‌ها یا سیستم‌های قانونی را جعل می‌کنند تا اعتماد را جلب کرده و به اطلاعات یا سیستم‌ها دسترسی پیدا کنند.

—