شناسایی

مهاجمان اعتبارنامه‌هایی مانند نام کاربری و رمزعبور را جمع‌آوری می‌کنند که می‌توانند در هدف‌گیری استفاده شوند. این اطلاعات ممکن است از طریق نقض داده‌های قبلی، paste site ها، dark web یا فیشینگ اطلاعاتی به دست آیند. اعتبارنامه‌های به دست آمده ممکن است برای دسترسی اولیه از طریق Valid Accounts استفاده شوند.

مهاجمان آدرس‌های ایمیل کارمندان سازمان را جمع‌آوری می‌کنند که می‌توانند برای فیشینگ هدفمند، credential stuffing یا سایر حملات استفاده شوند. این اطلاعات ممکن است از وب‌سایت‌های شرکت، شبکه‌های اجتماعی، آگهی‌های استخدام، نقض داده‌های قبلی یا ابزارهای OSINT مانند theHarvester به دست آیند.

مهاجمان نام کارمندان سازمان را جمع‌آوری می‌کنند که می‌توانند برای ساخت لیست‌های نام کاربری، فیشینگ هدفمند یا مهندسی اجتماعی استفاده شوند. این اطلاعات ممکن است از LinkedIn، وب‌سایت شرکت، آگهی‌های استخدام یا سایر منابع عمومی به دست آیند. نام‌های کارمندان اغلب با الگوهای رایج ایمیل ترکیب می‌شوند تا آدرس‌های ایمیل حدس زده شوند.

مهاجمان اطلاعاتی درباره دامنه‌های ثبت‌شده قربانی جمع‌آوری می‌کنند، از جمله اطلاعات اداری مانند نام‌ها، آدرس‌ها، شماره تلفن و آدرس‌های ایمیل. این اطلاعات ممکن است از طریق WHOIS lookup یا سایر پایگاه‌های داده ثبت دامنه به دست آیند. این اطلاعات می‌توانند برای ساخت ایمیل‌های فیشینگ متقاعدکننده‌تر استفاده شوند.

مهاجمان رکوردهای DNS قربانی را جمع‌آوری می‌کنند تا اطلاعاتی درباره زیرساخت شبکه به دست آورند. این شامل رکوردهای A، MX، NS، TXT و CNAME است که می‌توانند آدرس‌های IP سرورها، ارائه‌دهندگان ایمیل و سایر سرویس‌ها را آشکار کنند. DNS zone transfer غیرمجاز نیز ممکن است اطلاعات جامعی از زیرساخت DNS آشکار کند.

مهاجمان اطلاعاتی درباره روابط اعتماد شبکه قربانی جمع‌آوری می‌کنند، از جمله اتصالات VPN، روابط اعتماد دامنه و سایر وابستگی‌های شبکه. این اطلاعات می‌توانند برای شناسایی مسیرهای حرکت جانبی یا دسترسی به سیستم‌های مرتبط استفاده شوند.

مهاجمان اطلاعاتی درباره توپولوژی شبکه قربانی جمع‌آوری می‌کنند، از جمله نقشه‌های شبکه، روترها، سوئیچ‌ها و سایر تجهیزات زیرساخت. این اطلاعات می‌توانند برای برنامه‌ریزی مسیرهای نفوذ و حرکت جانبی استفاده شوند. این اطلاعات ممکن است از اسناد عمومی، آگهی‌های استخدام یا اسکن فعال به دست آیند.

مهاجمان آدرس‌های IP قربانی را جمع‌آوری می‌کنند که می‌توانند برای اسکن بیشتر یا حملات مستقیم استفاده شوند. این اطلاعات ممکن است از رکوردهای DNS، WHOIS، BGP routing table ها یا ابزارهای OSINT به دست آیند. شناخت محدوده IP‌های سازمان به مهاجم کمک می‌کند تا اهداف بالقوه را شناسایی کند.

مهاجمان اطلاعاتی درباره تجهیزات امنیتی شبکه قربانی جمع‌آوری می‌کنند، از جمله فایروال‌ها، IDS/IPS، WAF ها و سایر راهکارهای امنیتی. این اطلاعات می‌توانند به مهاجم کمک کنند تا روش‌های دور زدن این تجهیزات را برنامه‌ریزی کند. این اطلاعات ممکن است از طریق اسکن فعال، آگهی‌های استخدام یا اسناد عمومی به دست آیند.

مهاجمان موقعیت‌های فیزیکی سازمان قربانی را شناسایی می‌کنند، از جمله دفاتر، مراکز داده و سایر تأسیسات. این اطلاعات می‌توانند برای برنامه‌ریزی حملات فیزیکی، مهندسی اجتماعی یا شناسایی نقاط ضعف امنیت فیزیکی استفاده شوند. این اطلاعات ممکن است از وب‌سایت شرکت، LinkedIn، Google Maps یا سایر منابع عمومی به دست آیند.

مهاجمان اطلاعاتی درباره روابط تجاری سازمان قربانی جمع‌آوری می‌کنند، از جمله شرکای تجاری، تأمین‌کنندگان، مشتریان و سایر ذینفعان. این اطلاعات می‌توانند برای شناسایی اهداف زنجیره تأمین، حملات BEC یا مهندسی اجتماعی استفاده شوند.

مهاجمان ریتم و زمان‌بندی فعالیت‌های تجاری سازمان قربانی را شناسایی می‌کنند، از جمله ساعات کاری، دوره‌های اوج فعالیت، رویدادهای مهم و زمان‌بندی عملیات. این اطلاعات می‌توانند برای انتخاب بهترین زمان برای حمله استفاده شوند، مثلاً در زمان‌هایی که پرسنل امنیتی کمتری حضور دارند.

مهاجمان نقش‌ها و مسئولیت‌های کارمندان کلیدی سازمان قربانی را شناسایی می‌کنند، از جمله مدیران ارشد، تیم‌های IT و امنیت، و سایر افراد با دسترسی ویژه. این اطلاعات می‌توانند برای حملات spear-phishing هدفمند، BEC یا مهندسی اجتماعی استفاده شوند.

مهاجمان اطلاعاتی درباره سخت‌افزار قربانی جمع‌آوری می‌کنند، از جمله انواع و نسخه‌های دستگاه‌ها و اجزای دفاعی مانند کارت‌خوان‌های بیومتریک و سخت‌افزار رمزنگاری. این اطلاعات ممکن است از طریق اسکن فعال، فیشینگ اطلاعاتی یا از طریق وب‌سایت‌های در معرض خطر جمع‌آوری شوند. آگهی‌های استخدام، نقشه‌های شبکه، گزارش‌های ارزیابی و فاکتورهای خرید نیز ممکن است این اطلاعات را آشکار کنند.

مهاجمان اطلاعاتی درباره نرم‌افزارهای نصب‌شده روی میزبان‌های قربانی جمع‌آوری می‌کنند، از جمله انواع و نسخه‌های نرم‌افزار، وجود راهکارهای امنیتی مانند آنتی‌ویروس و EDR. این اطلاعات می‌توانند به مهاجم کمک کنند تا بهترین روش نفوذ را انتخاب کند و از شناسایی توسط ابزارهای امنیتی جلوگیری کند.

مهاجمان اطلاعاتی درباره فریمور میزبان‌های قربانی جمع‌آوری می‌کنند، از جمله نوع و نسخه‌های فریمور روی میزبان‌های خاص. این اطلاعات می‌توانند جزئیاتی درباره پیکربندی، هدف، عمر و سطح patch دستگاه‌ها آشکار کنند. این اطلاعات ممکن است از طریق فیشینگ مستقیم یا از طریق مجموعه داده‌های قابل دسترس مانند آگهی‌های استخدام و فاکتورهای خرید به دست آیند.

مهاجمان اطلاعاتی درباره پیکربندی‌های نرم‌افزار کلاینت روی سیستم‌های قربانی جمع‌آوری می‌کنند. این اطلاعات ممکن است شامل تنظیمات مرورگر، پیکربندی‌های VPN، تنظیمات proxy و سایر پیکربندی‌های نرم‌افزار کلاینت باشد. این اطلاعات می‌توانند به مهاجم کمک کنند تا حملات هدفمندتری طراحی کند.

مهاجمان شبکه‌های اجتماعی مانند LinkedIn، Twitter، Facebook و Instagram را برای جمع‌آوری اطلاعات درباره سازمان و کارمندان جستجو می‌کنند. این اطلاعات می‌توانند شامل نام و نقش کارمندان، فناوری‌های مورد استفاده، رویدادهای سازمانی، روابط تجاری و سایر اطلاعات مفید برای حملات هدفمند باشند.

مهاجمان از موتورهای جستجو مانند Google، Bing یا DuckDuckGo برای جمع‌آوری اطلاعات درباره قربانیان استفاده می‌کنند. تکنیک‌های Google Dorking با استفاده از عملگرهای پیشرفته جستجو می‌توانند اطلاعات حساسی مانند فایل‌های پیکربندی، صفحات ورود، اسناد داخلی و سایر محتوای ایندکس‌شده را کشف کنند.

مهاجمان مخازن کد عمومی مانند GitHub، GitLab یا Bitbucket را برای جمع‌آوری اطلاعات درباره قربانیان جستجو می‌کنند. این مخازن ممکن است به اشتباه اطلاعات حساسی مانند کلیدهای API، اعتبارنامه‌های پایگاه داده، توکن‌های احراز هویت، جزئیات زیرساخت یا کد منبع اختصاصی را فاش کنند.

مهاجمان بلوک‌های IP را برای شناسایی میزبان‌های فعال اسکن می‌کنند. این کار ممکن است با ارسال پینگ (ICMP) یا درخواست‌های TCP/UDP به محدوده‌ای از آدرس‌های IP انجام شود تا مشخص شود کدام میزبان‌ها آنلاین هستند. این اطلاعات می‌توانند برای شناسایی اهداف بالقوه و درک محدوده زیرساخت قربانی استفاده شوند.

مهاجمان از ابزارهایی مانند Nessus، OpenVAS یا Shodan برای شناسایی آسیب‌پذیری‌های شناخته‌شده در سرویس‌های عمومی قربانی استفاده می‌کنند. این اسکن‌ها می‌توانند نسخه‌های نرم‌افزار، پیکربندی‌های ضعیف و آسیب‌پذیری‌های CVE را شناسایی کنند. اطلاعات به دست آمده برای انتخاب بهترین روش نفوذ استفاده می‌شود.

مهاجمان از لیست‌های کلمات (wordlist) برای کشف منابع پنهان یا محافظت‌نشده در وب‌سرورها استفاده می‌کنند. این شامل brute-force کردن نام‌های دایرکتوری، فایل‌ها، پارامترهای API و زیردامنه‌ها با استفاده از ابزارهایی مانند Gobuster، DirBuster یا ffuf است. هدف یافتن صفحات مدیریتی، فایل‌های پشتیبان یا endpoint های API پنهان است.

مهاجمان از پایگاه‌های داده DNS و Passive DNS برای جمع‌آوری اطلاعات درباره زیرساخت قربانی استفاده می‌کنند. Passive DNS داده‌های تاریخی DNS را ذخیره می‌کند که می‌توانند تغییرات IP، زیردامنه‌های قدیمی و الگوهای زیرساخت را آشکار کنند. این اطلاعات می‌توانند برای شناسایی سرورهای ایمیل، وب‌سرورها و سایر سرویس‌ها استفاده شوند.

مهاجمان از پایگاه‌های داده WHOIS برای جمع‌آوری اطلاعات درباره دامنه‌های ثبت‌شده قربانی استفاده می‌کنند. WHOIS اطلاعاتی مانند نام ثبت‌کننده، آدرس، شماره تلفن، آدرس ایمیل، تاریخ ثبت و تاریخ انقضا را ارائه می‌دهد. این اطلاعات می‌توانند برای ساخت ایمیل‌های فیشینگ متقاعدکننده‌تر یا شناسایی زیرساخت استفاده شوند.

مهاجمان اطلاعاتی از گواهینامه‌های SSL/TLS قربانی جمع‌آوری می‌کنند. گواهینامه‌های دیجیتال اطلاعاتی مانند نام سازمان، زیردامنه‌ها، تاریخ انقضا و ارائه‌دهنده گواهینامه را آشکار می‌کنند. Certificate Transparency logs منبع عمومی مهمی برای کشف زیردامنه‌ها و زیرساخت‌های جدید است.

مهاجمان اطلاعاتی درباره استفاده قربانی از شبکه‌های توزیع محتوا (CDN) جمع‌آوری می‌کنند. این اطلاعات می‌توانند آدرس‌های IP واقعی سرورهای پشت CDN، ارائه‌دهنده CDN مورد استفاده و سایر جزئیات زیرساخت را آشکار کنند. روش‌هایی مانند بررسی هدرهای HTTP، رکوردهای DNS تاریخی یا اسکن مستقیم می‌توانند IP های واقعی را کشف کنند.

مهاجمان از پایگاه‌های داده اسکن عمومی مانند Shodan، Censys یا ZoomEye برای جمع‌آوری اطلاعات درباره سرویس‌های در معرض اینترنت قربانی استفاده می‌کنند. این پایگاه‌های داده اطلاعاتی مانند سرویس‌های باز، نسخه‌های نرم‌افزار، گواهینامه‌های SSL و banner های سرویس را ذخیره می‌کنند.

مهاجمان اطلاعاتی درباره قربانیان از فروشندگان اطلاعات تهدید خریداری می‌کنند. این فروشندگان ممکن است اطلاعاتی درباره آسیب‌پذیری‌های شناخته‌شده، پیکربندی‌های شبکه یا سایر داده‌های فنی داشته باشند. برخی مهاجمان ممکن است به عنوان مشتری قانونی به این سرویس‌ها دسترسی داشته باشند.

مهاجمان داده‌های فنی درباره قربانیان را از منابع زیرزمینی یا dark web خریداری می‌کنند. این داده‌ها ممکن است شامل اطلاعات آسیب‌پذیری‌های zero-day، اعتبارنامه‌های لو رفته، نقشه‌های شبکه یا سایر اطلاعات حساس باشند. این اطلاعات می‌توانند به مهاجم مزیت قابل توجهی در برنامه‌ریزی حمله بدهند.

مهاجمان از سرویس‌های شخص ثالث مانند شبکه‌های اجتماعی، پلتفرم‌های پیام‌رسانی یا سایر سرویس‌های آنلاین برای ارسال پیام‌های فیشینگ اطلاعاتی استفاده می‌کنند. این روش ممکن است از فیلترهای ایمیل سازمانی عبور کند زیرا از کانال‌های ارتباطی متفاوتی استفاده می‌کند.

مهاجمان ایمیل‌هایی با پیوست‌های فریبنده ارسال می‌کنند تا قربانیان را وادار به ارائه اطلاعات حساس کنند. برخلاف فیشینگ برای دسترسی اولیه، هدف این تکنیک جمع‌آوری اطلاعات است نه اجرای کد مخرب. پیوست‌ها ممکن است فرم‌های جعلی، نظرسنجی‌ها یا اسناد درخواست اطلاعات باشند.

مهاجمان ایمیل‌هایی با لینک‌هایی به وب‌سایت‌های جعلی ارسال می‌کنند تا قربانیان را وادار به ارائه اطلاعات حساس مانند اعتبارنامه‌ها یا اطلاعات شخصی کنند. این وب‌سایت‌ها اغلب شبیه سایت‌های قانونی مانند پورتال‌های ورود سازمانی یا سرویس‌های ایمیل هستند.

مهاجمان از تماس‌های تلفنی یا پیام‌های صوتی برای فریب قربانیان و کسب اطلاعات حساس استفاده می‌کنند. این تکنیک که به vishing معروف است، شامل جعل هویت افراد مورد اعتماد مانند همکاران، مدیران، پشتیبانی IT یا تأمین‌کنندگان است. مهاجمان از تکنیک‌های روانشناختی مانند ایجاد فوریت یا ترس برای متقاعد کردن قربانی استفاده می‌کنند.