TA0009

جمع‌آوری

Collection

توضیحات

مهاجم سعی می‌کند داده‌هایی را که برای اهداف او مرتبط هستند جمع‌آوری کند. تکنیک‌های جمع‌آوری شامل روش‌هایی برای شناسایی و جمع‌آوری اطلاعات مانند فایل‌های حساس از شبکه هدف قبل از استخراج است.

تکنیک‌ها (17)

شناسهنام تکنیکزیرتکنیک

T1005

داده از سیستم محلیData from Local System

مهاجمان داده‌های حساس را مستقیماً از سیستم محلی جمع‌آوری می‌کنند، از جمله فایل‌های کاربر، اسناد، اطلاعات اعتباری و سایر اطلاعات ارزشمند.

—

T1025

داده از رسانه قابل حملData from Removable Media

مهاجمان داده‌های حساس را از رسانه‌های قابل حمل متصل به سیستم مانند USB، CD و درایوهای خارجی جمع‌آوری می‌کنند.

—

T1039

داده از اشتراک‌گذاری شبکهData from Network Shared Drive

مهاجمان داده‌های حساس را از درایوهای اشتراکی شبکه جمع‌آوری می‌کنند.

—

T1056

ضبط ورودیInput Capture

مهاجمان از روش‌هایی برای ضبط ورودی کاربر استفاده می‌کنند تا اطلاعات اعتباری را به دست آورند، از جمله keylogging و ضبط فرم‌های وب.

└T1056.001

KeyloggingKeylogging

مهاجمان از keylogger ها برای ضبط کلیدهای فشرده شده توسط کاربر استفاده می‌کنند تا اطلاعات اعتباری و اطلاعات حساس را به دست آورند.

└T1056.002

ضبط ورودی GUIGUI Input Capture

مهاجمان از dialog box های جعلی یا overlay ها برای ضبط اطلاعات اعتباری وارد شده توسط کاربر استفاده می‌کنند.

└T1056.003

ضبط پورتال وبWeb Portal Capture

مهاجمان صفحات ورود وب را تغییر می‌دهند تا اطلاعات اعتباری وارد شده توسط کاربران را ضبط کنند.

└T1056.004

Credential API HookingCredential API Hooking

مهاجمان API های احراز هویت ویندوز را hook می‌کنند تا اطلاعات اعتباری را هنگام استفاده ضبط کنند.

T1074

مرحله‌بندی دادهData Staged

مهاجمان داده‌های جمع‌آوری شده را در یک مکان مرکزی یا دایرکتوری مرحله‌بندی می‌کنند تا قبل از استخراج آماده شوند.

└T1074.001

مرحله‌بندی محلیLocal Data Staging

مهاجمان داده‌های جمع‌آوری شده را در یک مکان محلی روی سیستم هدف مرحله‌بندی می‌کنند.

└T1074.002

مرحله‌بندی راه دورRemote Data Staging

مهاجمان داده‌های جمع‌آوری شده را روی یک سیستم راه دور در شبکه هدف مرحله‌بندی می‌کنند.

T1113

캡처 صفحهScreen Capture

مهاجمان از صفحه نمایش کاربر عکس می‌گیرند تا اطلاعات نمایش داده شده، فعالیت کاربر و اطلاعات حساس را جمع‌آوری کنند.

—

T1114

جمع‌آوری ایمیلEmail Collection

مهاجمان ایمیل‌های کاربر را از client های ایمیل، سرورهای ایمیل و سرویس‌های ابری جمع‌آوری می‌کنند.

└T1114.001

جمع‌آوری ایمیل محلیLocal Email Collection

مهاجمان ایمیل‌ها را از فایل‌های محلی client ایمیل مانند PST و OST جمع‌آوری می‌کنند.

└T1114.002

جمع‌آوری ایمیل راه دورRemote Email Collection

مهاجمان ایمیل‌ها را از سرور ایمیل از راه دور با استفاده از پروتکل‌هایی مانند IMAP، POP3 و Exchange جمع‌آوری می‌کنند.

└T1114.003

forwarding قانون ایمیلEmail Forwarding Rule

مهاجمان قوانین forwarding ایمیل را تنظیم می‌کنند تا ایمیل‌های دریافتی به آدرس خارجی ارسال شوند.

T1115

داده clipboardClipboard Data

مهاجمان محتوای clipboard سیستم را برای جمع‌آوری اطلاعات حساس مانند رمزهای عبور و اطلاعات اعتباری کپی شده توسط کاربر می‌خوانند.

—

T1119

جمع‌آوری خودکارAutomated Collection

مهاجمان از اسکریپت‌ها و ابزارهای خودکار برای جمع‌آوری حجم زیادی از داده‌ها از سیستم‌ها و شبکه استفاده می‌کنند.

—

T1123

ضبط صداAudio Capture

مهاجمان از میکروفون سیستم برای ضبط صدای محیط، مکالمات و اطلاعات حساس استفاده می‌کنند.

—

T1125

ضبط تصویرVideo Capture

مهاجمان از دوربین سیستم برای ضبط تصویر محیط، فعالیت کاربر و اطلاعات حساس استفاده می‌کنند.

—

T1185

ربودن سشن مرورگرBrowser Session Hijacking

مهاجمان سشن‌های مرورگر را می‌ربایند تا ترافیک وب کاربر را رهگیری کنند و به حساب‌های آنلاین دسترسی پیدا کنند.

—

T1213

داده از مخازن اطلاعاتیData from Information Repositories

مهاجمان داده‌های حساس را از مخازن اطلاعاتی مانند SharePoint، Confluence، wiki ها و سیستم‌های مدیریت دانش جمع‌آوری می‌کنند.

└T1213.001

ConfluenceConfluence

مهاجمان داده‌های حساس را از Confluence جمع‌آوری می‌کنند.

└T1213.002

SharePointSharePoint

مهاجمان داده‌های حساس را از SharePoint جمع‌آوری می‌کنند.

T1530

داده از ذخیره‌سازی ابریData from Cloud Storage

مهاجمان داده‌های حساس را از سرویس‌های ذخیره‌سازی ابری مانند S3، Azure Blob و Google Drive جمع‌آوری می‌کنند.

—

T1557

مهاجم در میانهAdversary-in-the-Middle

مهاجمان خود را بین دستگاه‌های شبکه قرار می‌دهند تا ترافیک را رهگیری کرده و اطلاعات اعتباری را به سرقت ببرند.

└T1557.001

LLMNR/NBT-NS Poisoning و SMB RelayLLMNR/NBT-NS Poisoning and SMB Relay

مهاجمان پروتکل‌های LLMNR و NBT-NS را مسموم می‌کنند تا ترافیک احراز هویت را به سرور خود هدایت کنند.

└T1557.002

ARP Cache PoisoningARP Cache Poisoning

مهاجمان ARP cache را مسموم می‌کنند تا ترافیک شبکه را به سیستم خود هدایت کنند.

T1560

آرشیو داده جمع‌آوری شدهArchive Collected Data

مهاجمان داده‌های جمع‌آوری شده را قبل از استخراج فشرده‌سازی و رمزنگاری می‌کنند تا حجم را کاهش دهند و شناسایی را دشوارتر کنند.

└T1560.001

آرشیو از طریق ابزارArchive via Utility

مهاجمان از ابزارهای فشرده‌سازی مانند 7zip، WinRAR و tar برای آرشیو کردن داده‌های جمع‌آوری شده استفاده می‌کنند.

└T1560.002

آرشیو از طریق کتابخانهArchive via Library

مهاجمان از کتابخانه‌های برنامه‌نویسی برای فشرده‌سازی و آرشیو داده‌ها استفاده می‌کنند.

└T1560.003

آرشیو از طریق کانال C2Archive via Custom Method

مهاجمان از روش‌های سفارشی برای فشرده‌سازی و رمزنگاری داده‌ها قبل از استخراج استفاده می‌کنند.

T1602

داده از پیکربندی مخزن شبکهData from Configuration Repository

مهاجمان اطلاعات پیکربندی شبکه را از مخازن پیکربندی مانند SNMP MIB و پایگاه داده پیکربندی دستگاه‌های شبکه جمع‌آوری می‌کنند.

—