T1595

اسکن فعال

Active Scanning

توضیحات

مهاجمان با ارسال مستقیم ترافیک شبکه، اطلاعاتی را جمع‌آوری می‌کنند که می‌توانند در هدف‌گیری استفاده شوند. برخلاف سایر اشکال شناسایی، اسکن فعال ارتباط مستقیمی با زیرساخت قربانی برقرار می‌کند. اطلاعات جمع‌آوری‌شده ممکن است شامل محدوده‌های IP، نام‌های DNS، سرویس‌های در حال اجرا، آسیب‌پذیری‌ها و سایر جزئیات باشد.

زیرتکنیک‌ها (3)

شناسهنام

T1595.001

اسکن بلوک‌های IPScanning IP Blocks

مهاجمان بلوک‌های IP را برای شناسایی میزبان‌های فعال اسکن می‌کنند. این کار ممکن است با ارسال پینگ (ICMP) یا درخواست‌های TCP/UDP به محدوده‌ای از آدرس‌های IP انجام شود تا مشخص شود کدام میزبان‌ها آنلاین هستند. این اطلاعات می‌توانند برای شناسایی اهداف بالقوه و درک محدوده زیرساخت قربانی استفاده شوند.

T1595.002

اسکن آسیب‌پذیریVulnerability Scanning

مهاجمان از ابزارهایی مانند Nessus، OpenVAS یا Shodan برای شناسایی آسیب‌پذیری‌های شناخته‌شده در سرویس‌های عمومی قربانی استفاده می‌کنند. این اسکن‌ها می‌توانند نسخه‌های نرم‌افزار، پیکربندی‌های ضعیف و آسیب‌پذیری‌های CVE را شناسایی کنند. اطلاعات به دست آمده برای انتخاب بهترین روش نفوذ استفاده می‌شود.

T1595.003

اسکن با لیست کلماتWordlist Scanning

مهاجمان از لیست‌های کلمات (wordlist) برای کشف منابع پنهان یا محافظت‌نشده در وب‌سرورها استفاده می‌کنند. این شامل brute-force کردن نام‌های دایرکتوری، فایل‌ها، پارامترهای API و زیردامنه‌ها با استفاده از ابزارهایی مانند Gobuster، DirBuster یا ffuf است. هدف یافتن صفحات مدیریتی، فایل‌های پشتیبان یا endpoint های API پنهان است.

روش‌های شناسایی

پایش ترافیک شبکه برای الگوهای اسکن مانند درخواست‌های متوالی به پورت‌های مختلف یا محدوده‌های IP. استفاده از honeypot برای شناسایی اسکنرها. تحلیل لاگ‌های فایروال و IDS/IPS برای شناسایی رفتار اسکن.

روش‌های مقابله

این تکنیک قبل از نفوذ رخ می‌دهد و کنترل‌های پیشگیرانه محدودی دارد. استفاده از WAF و IPS برای محدودسازی اسکن. کاهش سطح حمله با پنهان‌سازی سرویس‌های غیرضروری. اعمال rate limiting روی درخواست‌های ورودی.