MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) — это открытая база знаний о тактиках, техниках и процедурах (TTPs), используемых киберпреступниками на разных этапах атак.
Она помогает специалистам по кибербезопасности анализировать поведение злоумышленников, разрабатывать стратегии защиты и выявлять угрозы.
🔹 Ключевые особенности MITRE ATT&CK:
✅ Матрица атак – разделена на тактики (цели атак) и техники (способы их достижения).
✅ Охватывает разные платформы – Windows, Linux, macOS, облачные сервисы, мобильные устройства.
✅ Используется в SOC, Red/Blue Team, Threat Intelligence для защиты от атак.
✅ Открытая база – постоянно обновляется с учетом новых методов атак.
Давайте вместе разберем эту самую важную для хакеров и пентестеров "методичку".
Подписывайтесь на мой канал в Телеграмм, чтобы ничего не пропустить.
Ну или на канал в VK, если хотите видеть новые статьи у себя в ленте.
Начнем с первой "тактики" - Reconnaissance (разведка).
🔍 Что такое Reconnaissance?
Reconnaissance (разведка) — это первая фаза кибератаки, в которой злоумышленники собирают информацию о своей цели. В MITRE ATT&CK эта тактика обозначена как TA0043.
На этапе разведки хакеры могут:
- Изучать инфраструктуру компании (домены, IP-адреса, открытые сервисы).
- Собирать данные о сотрудниках (имена, email-адреса, социальные сети).
- Анализировать уязвимости в публично доступных системах.
- Искать утекшие пароли и другие конфиденциальные данные.
💡 Главная цель: Получить максимум информации, чтобы подготовить успешную атаку (фишинг, эксплуатация уязвимостей, подделка персональных данных и т. д.).
Техники Reconnaissance с примерами атак
В MITRE ATT&CK тактика Reconnaissance (TA0043) включает 10 техник, каждая из которых представляет методы сбора информации.
1️⃣ Active Scanning (T1595) – Активное сканирование
🔹 Хакеры отправляют запросы на серверы компании, чтобы выявить открытые порты, сервисы, домены и уязвимости.
🔹 Инструменты:
- nmap – сканирование портов и сервисов
- masscan – быстрый поиск открытых портов
- Shodan/Censys – поиск устройств в интернете
- Nikto – поиск уязвимостей веб-серверов
🔹 Примеры команд:
# Сканирование всех открытых портов
nmap -p- -sV -T4 example.com
# Быстрое сканирование сети /24
masscan -p1-65535 192.168.1.0/24 --rate=10000
# Проверка веб-сервера на уязвимости
nikto -h http://example.com
🔸 Примеры атак:
- В 2021 году хакеры сканировали интернет в поисках серверов Microsoft Exchange с уязвимостью ProxyLogon (CVE-2021-26855).
- Группировка APT29 (Cozy Bear) использовала массовое сканирование для поиска уязвимых VPN-серверов.
2️⃣ Gather Victim Identity Information (T1589) – Сбор информации о жертве
🔹 Злоумышленники ищут имена, email-адреса, должности сотрудников, номера телефонов.
🔹 Инструменты:
- theHarvester – поиск email-адресов, доменов, соцсетей
- LinkedInt – сбор данных с LinkedIn
- hunter.io – поиск корпоративных email-адресов
🔹 Примеры команд:
# Поиск email-адресов, доменов и аккаунтов в соцсетях
theHarvester -d example.com -l 500 -b google
# Поиск email-адресов через hunter.io (нужен API-ключ)
curl "https://api.hunter.io/v2/domain-search?domain=example.com&api_key=YOUR_API_KEY"
🔸 Примеры атак:
- Перед атакой на Twitter в 2020 году хакеры собирали информацию о сотрудниках, чтобы выбрать жертву для социальной инженерии.
- Группировка FIN7 использовала данные из LinkedIn, чтобы отправлять фишинговые письма конкретным сотрудникам.
3️⃣ Gather Victim Network Information (T1590) – Сбор информации о сети жертвы
🔹 Анализ инфраструктуры компании: домены, IP-адреса, VPN, используемые технологии.
🔹 Инструменты:
- whois – информация о домене
- nslookup / dig – получение DNS-записей
- Sublist3r – поиск поддоменов
- crt.sh – поиск сертификатов
🔹 Примеры команд:
# Проверка информации о домене
whois example.com
# Получение MX-записей домена
nslookup -type=MX example.com
# Поиск поддоменов
sublist3r -d example.com
# Поиск SSL-сертификатов, связанных с доменом
curl -s "https://crt.sh/?q=%.example.com&output=json" | jq .
🔸 Примеры атак:
- Группировка APT41 изучала конфигурации корпоративных сетей через открытые базы данных (Shodan, Censys).
- В 2021 году хакеры проверяли, какие компании используют Fortinet VPN, зная о критической уязвимости (CVE-2021-22893).
4️⃣ Gather Victim Org Information (T1591) – Сбор информации об организации
🔹 Поиск общедоступных данных о компании: партнеры, филиалы, финансовые отчеты.
🔹 Инструменты:
- Google Dorks – поиск корпоративных документов
- Wayback Machine – просмотр архивных данных сайта
- EDGAR (SEC) – поиск финансовых отчетов компаний
🔹 Примеры запросов:
# Поиск PDF-документов компании
site:example.com filetype:pdf
# Поиск страниц с логинами и паролями
site:example.com inurl:admin
# Поиск старых версий сайта
https://web.archive.org/web/*/example.com
🔸 Примеры атак:
- Северокорейская группа Lazarus изучала банковские отчеты, чтобы атаковать финансовые организации.
- Хакеры перед атакой на SolarWinds анализировали деловые связи компании.
5️⃣ Phishing for Information (T1598) – Фишинг для сбора данных
🔹 Отправка фальшивых писем или сообщений, чтобы выманить пароли, номера карт, логины.
🔹 Инструменты:
- GoPhish – создание фишинговых атак
- Evilginx2 – перехват MFA-токенов
- SET (Social Engineering Toolkit) – социальная инженерия
🔹 Примеры команд:
# Запуск GoPhish для фишинговой атаки
./gophish
# Настройка Evilginx2 для кражи сессий
sudo ./evilginx -p phishlets/openvpn.yaml
🔸 Примеры атак:
- Группировка Evil Corp рассылала письма с вредоносными ссылками, запрашивая данные учетных записей.
- В 2020 году хакеры атаковали ФБР, отправляя поддельные письма от имени IT-отдела.
6️⃣ Search Open Technical Databases (T1596) – Поиск в технических базах
🔹 Использование Shodan, Censys, VirusTotal, GitHub, Pastebin для поиска данных о компании.
🔹 Инструменты:
- Shodan – поиск устройств и сервисов
- Censys – анализ сетевой инфраструктуры
- GitHub Dorks – поиск утекших данных
🔹 Примеры команд:
# Поиск серверов с открытым RDP
shodan search "port:3389"
# Поиск уязвимых Elasticsearch-экземпляров
shodan search "product:Elasticsearch"
# Поиск утекших ключей в GitHub
site:github.com "AWS_SECRET_ACCESS_KEY"
🔸 Примеры атак:
- В 2019 году утекли данные NASA, потому что пароли были случайно загружены на GitHub.
- Группировка APT33 (Иран) искала уязвимые серверы в Shodan перед атаками.
7️⃣ Search Open Websites/Domains (T1593) – Поиск на открытых сайтах
🔹 Анализ веб-сайтов, форумов, социальных сетей, пресс-релизов.
🔹 Инструменты:
- Google Dorks – поиск информации через Google
- Pastebin / BreachForums – поиск утекших данных
- Wayback Machine – анализ старых страниц сайта
🔹 Примеры запросов:
# Поиск конфиденциальных файлов
site:example.com filetype:xls OR filetype:csv
# Поиск страниц с логинами
site:example.com inurl:login
# Поиск утекших паролей компании
site:pastebin.com "example.com password"
🔸 Примеры атак:
- В 2021 году хакеры изучали сайты компаний, чтобы найти email-адреса и создать фишинговую атаку.
- APT28 (Fancy Bear) анализировала утекшие базы данных с паролями сотрудников НАТО.
8️⃣ Search Victim-Owned Websites (T1594) – Исследование сайтов жертвы
🔹 Сканирование официального сайта компании на наличие уязвимостей или конфиденциальной информации.
🔹 Инструменты:
- Burp Suite – перехват и анализ запросов
- Nikto – поиск уязвимостей веб-серверов
- Wappalyzer – определение используемых технологий
🔹 Примеры команд:
# Запуск Nikto для поиска уязвимостей
nikto -h http://example.com
# Использование Wappalyzer для анализа сайта
wappalyzer example.com
🔸 Примеры атак:
- Группировка Magecart внедряла вредоносные скрипты в сайты интернет-магазинов для кражи данных карт.
- В 2021 году хакеры нашли ошибочную конфигурацию API на сайте Tesla, что позволило им получить данные.
9️⃣ Gather Victim Host Information (T1592) – Сбор информации об устройствах
🔹 Определение операционных систем, установленных программ, типов серверов.
Инструменты:
- Netcraft – анализ серверов
- WhatWeb – определение используемых технологий
- Nmap OS Detection – определение ОС
🔹 Примеры команд:
# Определение технологий веб-сайта
whatweb example.com
# Определение ОС и сервисов на сервере
nmap -O example.com
🔸 Примеры атак:
- Группировка FIN8 анализировала ПО ресторанов, чтобы атаковать POS-терминалы.
- Хакеры искали компании, использующие Windows Server 2008, зная, что поддержка уже прекращена.
🔟 Gather Victim Business Information (T1599) – Сбор деловой информации
🔹 Анализ финансовых показателей компании, рыночной стратегии, акционеров.
🔹 Инструменты:
- SEC EDGAR – поиск финансовых отчетов
- Crunchbase – анализ стартапов и компаний
- LinkedIn – поиск сотрудников
🔹 Примеры запросов:
# Поиск отчетов компании в SEC EDGAR
https://www.sec.gov/edgar/searchedgar/companysearch.html
# Поиск финансовых данных в Crunchbase
https://www.crunchbase.com/organization/example
🔸 Примеры атак:
- Кибершпионы из Китая атаковали фармацевтические компании, чтобы украсть данные о вакцинах.
- Группировка APT38 (Lazarus) изучала финансовые отчеты банков перед атаками.
🛡 Как защититься от Reconnaissance?
✅ Защита от активного сканирования:
- Используйте файрволы и IDS/IPS для блокировки подозрительных запросов.
- Отключите ненужные сервисы и закройте неиспользуемые порты.
✅ Защита от сбора информации:
- Не публикуйте лишние данные о сотрудниках и инфраструктуре.
- Используйте DMARC, DKIM, SPF для защиты email-адресов.
- Мониторьте утечки данных в даркнете.
✅ Защита от фишинга:
- Обучайте сотрудников кибербезопасности.
- Используйте многофакторную аутентификацию (MFA).
- Настройте фильтры для блокировки подозрительных писем.
🎯 Вывод
Тактика Reconnaissance (TA0043) — это первая фаза атаки, где хакеры собирают информацию о жертве. Чем меньше данных о компании в открытом доступе, тем сложнее злоумышленникам подготовить атаку.
💡 Факт: Многие атаки можно предотвратить на этапе разведки, если вовремя обнаружить подозрительную активность!
💬 Как вы защищаете свою компанию от разведки хакеров? Напишите в комментариях!
📌 Полезные ссылки:
🔗 MITRE ATT&CK Reconnaissance: https://attack.mitre.org/tactics/TA0043
🔗 Shodan (поиск уязвимостей): https://www.shodan.io
🔗 Have I Been Pwned (проверка утечек паролей): https://haveibeenpwned.com
Поддержать блог можно лайком и комментарием. А если хочется сделать больше, можно кинуть монетку на кофе.
Раз вы прочитали эту статью, скорее всего вам будет интересен весь раздел про Анонимность в сети, а также Инструменты хакера / пентестера
Если Вам интересно, что еще можно найти на канале QA Helper, прочитайте статью: Вместо оглавления. Что вы найдете на канале QA Helper - справочник тестировщика?
Не забудьте подписаться на канал, чтобы не пропустить полезную информацию: QA Helper - справочник тестировщика
Пишите в комментариях что еще было бы интересно рассмотреть более подробно.