DESCRIPCIÓN.

Los atacantes buscan información del host tratando de identificar si puede ser un objetivo potencial. La información puede ser de carácter administrativo o de configuración, como el nombre del host, la dirección IP, el sistema operativo, el software, el lenguaje, etc.

Para conseguir esta información pueden utilizar el ESCANEO ACTIVO (ACTIVE SCANNING), PHISHING o comprometer algún sitio y por medio de software malicioso recoger información del host a través de los visitantes al sitio. La información también puede estar accesible a los atacantes a través de redes sociales, sitios web de la víctima u otros datos accesibles como ofertas de empleo, reportes, facturas, entre otros.

SUBTÉCNICAS.

• Hardware: Busca recoger información de la infraestructura de hardware como los tipos y versiones de los hosts y componentes adicionales de defensa como lectores biométricos, elementos de cifrado, etc.
• Software: Busca recoger información sobre los software instalados: Antivirus, navegador, versión de Flash Player, etc. Firmware: Configuraciones, parches, etc.
• Client Configurations: Sistemas operativos, arquitectura, entornos de virtualización, etc.

La información del host puede ser utilizada en otras técnicas de RECONOCIMIENTO, en tácticas de DESARROLLO DE RECURSOS OPERACIONALES o en técnicas de ACCESO INICIAL.

CÓMO MITIGAR.

No se puede mitigar de forma preventiva debido a que se basa en el comportamiento fuera del alcance y control de la organización. Todos los esfuerzos se deben enfocar en reducir al mínimo la cantidad de información expuesta.

DETECCIÓN.

Se recomienda escanear el tráfico en los sitios web en busca de patrones asociados a software malicioso diseñado para recolectar información del host a través de los visitantes. Hay que aclarar que la tasa de falsos positivos es muy alta. Por eso se recomienda enfocar los esfuerzos de detección en etapas posteriores del ciclo de ataque, como el ACCESO INICIAL.