ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1046

术语表: /attack/glossary

网络服务扫描

攻击者可能会尝试获取在远程主机上运行的服务列表,包括那些可能容易受到远程软件攻击的服务。获取此信息的方法包括使用引入系统的工具进行端口扫描和漏洞扫描。

缓解

使用网络入侵检测/防御系统来检测和防止远程服务扫描。确保关闭不必要的端口和服务,并遵循适当的网络分割来保护关键的服务器和设备。 识别可能用于获取远程系统上运行的服务信息的不必要的系统实用程序或潜在的恶意软件,并在适当的情况下使用白名单工具(如 AppLocker、 或软件限制策略 ) 审计和/或拦截它们。

检测

由于攻击者了解环境,系统和网络披露技术通常可以发生在整个操作过程中。不应孤立地查看数据和事件,而应将其视为可能导致其他活动的行为链的一部分,例如基于所获得的信息的横向移动。 合法远程服务扫描的正常的、良性的系统和网络事件可能并不常见,这取决于环境和使用它们的方式。合法的开放端口和漏洞扫描可以在环境中进行,不能与所开发的任何检测功能冲突。网络入侵检测系统也可用于识别扫描活动。监控网络的进程使用,并检查网络内部流以检测端口扫描。