Active Scanning: Scanning IP Blocks

ID Name
T1595.001 Scanning IP Blocks
T1595.002 Vulnerability Scanning

Adversaries may scan victim IP blocks to gather information that can be used during targeting. Public IP addresses may be allocated to organizations by block, or a range of sequential addresses.

Adversaries may scan IP blocks in order to Gather Victim Network Information, such as which IP addresses are actively in use as well as more detailed information about hosts assigned these addresses. Scans may range from simple pings (ICMP requests and responses) to more nuanced scans that may reveal host software/versions via server banners or other network artifacts.[1] Information from these scans may reveal opportunities for other forms of reconnaissance (ex: Search Open Websites/Domains or Search Open Technical Databases), establishing operational resources (ex: Develop Capabilities or Obtain Capabilities), and/or initial access (ex: External Remote Services).

Angreifer können IP-Blöcke von Opfern scannen, um Informationen zu sammeln, die bei der gezielten Ansprache verwendet werden können. Öffentliche IP-Adressen können Organisationen nach Blöcken oder einem Bereich von aufeinanderfolgenden Adressen zugewiesen werden.

Angreifer können IP-Blöcke scannen, um Informationen über das Netzwerk des Opfers zu sammeln, z. B. welche IP-Adressen aktiv genutzt werden, sowie detaillierte Informationen über Hosts, denen diese Adressen zugewiesen sind. Die Scans können von einfachen Pings (ICMP-Anfragen und -Antworten) bis hin zu differenzierteren Scans reichen, die Host-Software/Versionen über Server-Banner oder andere Netzwerk-Artefakte aufdecken können.(Zitat: Botnet Scan) Die Informationen aus diesen Scans können Möglichkeiten für andere Formen der Aufklärung aufzeigen (z.B.: Search Open Websites/Domains oder Search Open Technical Databases), den Aufbau operativer Ressourcen (z.B. Develop Capabilities oder Obtain Capabilities) und/oder den Erstzugang (z.B. External Remote Services).

Les adversaires peuvent scanner les blocs d'adresses IP des victimes pour recueillir des informations qui peuvent être utilisées lors du ciblage. Les adresses IP publiques peuvent être attribuées aux organisations par bloc, ou une gamme d'adresses séquentielles.

Les adversaires peuvent scanner les blocs IP afin de [recueillir des informations sur le réseau de la victime] (/techniques/T1590), comme les adresses IP activement utilisées ainsi que des informations plus détaillées sur les hôtes assignés à ces adresses. Les balayages peuvent aller de simples pings (requêtes et réponses ICMP) à des balayages plus nuancés qui peuvent révéler les logiciels/versions des hôtes via des bannières de serveur ou d'autres artefacts de réseau. (Citation : Botnet Scan) Les informations provenant de ces balayages peuvent révéler des opportunités pour d'autres formes de reconnaissance (ex : Search Open Websites/Domains ou Rechercher des bases de données techniques ouvertes), d'établir des ressources opérationnelles (ex : Développer des capacités ou Obtenir des capacités), et/ou un accès initial (ex : Services distants externes).

Gli avversari possono scansionare i blocchi IP delle vittime per raccogliere informazioni che possono essere usate durante il targeting. Gli indirizzi IP pubblici possono essere assegnati alle organizzazioni per blocco o per una serie di indirizzi sequenziali.

Gli avversari possono scansionare blocchi IP per Gather Victim Network Information, come ad esempio quali indirizzi IP sono attivamente in uso e informazioni più dettagliate sugli host assegnati a questi indirizzi. Le scansioni possono variare da semplici ping (richieste e risposte ICMP) a scansioni più sfumate che possono rivelare software/versioni di host tramite banner di server o altri artefatti di rete.(Citazione: Botnet Scan) Le informazioni da queste scansioni possono rivelare opportunità per altre forme di ricognizione (es: Search Open Websites/Domains o Search Open Technical Databases), stabilire risorse operative (ex: Develop Capabilities o Obtain Capabilities, e/o accesso iniziale (ex: External Remote Services.

Law Assessment

Soweit sich die Strafnormen im Verhältnis zu ihrem Grundtatbestand nur durch ihre Ausgestaltung zum Antragsdelikt unterscheiden (Privilegierung), wurden für diese Tatbestände keine zusätzlichen Assessments erfasst.[1]

Das gilt z.B. für die Datenbeschaffung nach Art. 143 Abs. 2 StGB oder das Hacking nach Art. 143bis Abs. 2 StGB zum Nachteil eines Angehörigen oder eines Familiengenossen. Die einzige Differenz zum Grundtatbestand der Datenbeschaffung nach Art. 143 Abs. 1 StGB resp. Art. 143bis Abs. 2 StGB besteht in der Ausgestaltung zum Antragsdelikt (siehe dazu Art. 30 ff. StGB).

Literatur- und Quellenhinweise

  • Ammann Matthias, Sind Phishing-Mails strafbar?, in: Aktuelle Juristische Praxis (AJP), S. 195-203
  • Koch Alexander, Strafrechtliche Probleme des Angriffs und der Verteidigung in Computernetzen, Diss., Baden-Baden, 2008 (Für DE)
  • Pfister Christa, Hacking in der Schweiz – Im Spiegel des europäischen, deutschen und des österreichischen Computerstrafrechts, Diss., Zürich, 2008 (zit. Pfister, S.)
  • Stucki Daniel, Die Strafbarkeit von «Phishing» nach StGB, in: Jusletter 9. Januar 2012
  • Weissenberger Philippe, in: Basler Kommentar, Strafrecht, 5. Aufl., 2019, Art. 143bis StGB, (zit. Weissenberger, Art. 143bis, N 20)

Soweit sich die Strafnormen im Verhältnis zu ihrem Grundtatbestand nur durch ihre Ausgestaltung zum Antragsdelikt unterscheiden (Privilegierung), wurden für diese Tatbestände keine zusätzlichen Assessments erfasst.[1]

Das gilt z.B. für die Datenbeschaffung nach Art. 143 Abs. 2 StGB oder das Hacking nach Art. 143bis Abs. 2 StGB zum Nachteil eines Angehörigen oder eines Familiengenossen. Die einzige Differenz zum ...

Dans la mesure où les normes pénales ne se distinguent de leur infraction de base que par leur aménagement en délit poursuivi sur plainte (privilège), aucune évaluation supplémentaire n'a été saisie pour ces infractions.(Citation : Botnet Scan)

C'est le cas, par exemple, de la collecte de données au sens de l'article 143, paragraphe 2, du code pénal ou du piratage informatique au sens de l'article 143bis, paragraphe 2, du code pénal au détriment d'un proche ou d'un membre de la famille. La seule différence avec l'infraction de base de la collecte de données selon l'art. 143 al. 1 CP ou l'art. 143bis al. 2 CP réside dans son aménagement en délit de requête (voir à ce sujet Art. 30 ss CP).

Littérature et sources

  • Ammann Matthias, Les e-mails de phishing sont-ils punissables ?, in : Pratique juridique actuelle (PJA), p. 195-203
  • Koch Alexander, Strafrechtliche Probleme des Angriffs und der Verteidigung in Computernetzen, Diss., Baden-Baden, 2008 (Pour DE)
  • Pfister Christa, Hacking in der Schweiz - Im Spiegel des europäischen, deutschen und des österreichischen Computerstrafrechts, Diss., Zurich, 2008 (cit. Pfister, S.)
  • Stucki Daniel, La punissabilité du "phishing" selon le CP, in : Jusletter 9 janvier 2012
  • Weissenberger Philippe, in : Commentaire bâlois, droit pénal, 5e édition, 2019, art. 143bis CP, (cit. Weissenberger, art. 143bis, N 20)

Dans la mesure où les normes pénales ne se distinguent de leur infraction de base que par leur aménagement en délit poursuivi sur plainte (privilège), aucune évaluation supplémentaire n'a été saisie pour ces infractions.(Citation : Botnet Scan)

C'est le cas, par exemple, de la collecte de données au sens de l'article 143, paragraphe 2, du ...

Nella misura in cui le norme penali differiscono rispetto al loro reato base solo per la loro progettazione come reato applicativo (privilegio), non sono state registrate valutazioni aggiuntive per questi reati.(Citazione: Botnet Scan).

Questo vale, per esempio, per l'acquisizione di dati ai sensi dell'art. 143 comma 2 SCC o per l'hacking ai sensi dell'art. 143a comma 2 SCC a danno di un parente o di un membro della famiglia. L'unica differenza rispetto al reato base di ottenimento di dati ai sensi dell'art. 143 comma 1 SCC o dell'art. 143bis comma 2 SCC è che è strutturato come un reato di applicazione (vedi art. 30 ff. StGB).

Riferimenti bibliografici e fonti.

  • Ammann Matthias, Sind Phishing-Mails strafbar?, in: Aktuelle Juristische Praxis (AJP), pp. 195-203.
  • Koch Alexander, Strafrechtliche Probleme des Angriffs und der Verteidigung in Computernetzen, Diss., Baden-Baden, 2008 (Per DE).
  • Pfister Christa, Hacking in Switzerland - In the Mirror of European, German and Austrian Computer Criminal Law, Diss., Zurigo, 2008 (cit. Pfister, S.).
  • Stucki Daniel, Die Strafbarkeit von "Phishing" nach StGB, in: Jusletter 9 gennaio 2012.
  • Weissenberger Philippe, in: Basler Kommentar, Strafrecht, 5th ed., 2019, Art. 143bis StGB, (cit. Weissenberger, Art. 143bis, N 20).

Nella misura in cui le norme penali differiscono rispetto al loro reato base solo per la loro progettazione come reato applicativo (privilegio), non sono state registrate valutazioni aggiuntive per questi reati.(Citazione: Botnet Scan).

Questo vale, per esempio, per l'acquisizione di dati ai sensi dell'art. 143 comma 2 SCC o per l'hacking ai sensi dell'art ...

To the extent that the penal norms differ in relation to their basic offense only by their configuration into an application offense (privileging), no additional assessments were recorded for these offenses.[1].

This applies, for example, to data acquisition under Article 143(2) SCC or hacking under Article 143to(2) SCC to the detriment of a relative or family member. The only difference to the basic offense of data procurement according to Art. 143 para. 1 SCC or Art. 143bis para. 2 SCC consists in the design as an application offense (see Art. 30 ff. StGB).

Literature and source references.

  • Ammann Matthias, Sind Phishing-Mails strafbar?, in: Current Legal Practice (AJP), pp. 195-203.
  • Koch Alexander, Strafrechtliche Probleme des Angriffs und der Verteidigung in Computernetzen, Diss., Baden-Baden, 2008 (For DE).
  • Pfister Christa, Hacking in Switzerland - In the Mirror of European, German and Austrian Computer Criminal Law, Diss., Zurich, 2008 (cit. Pfister, S.).
  • Stucki Daniel, Die Strafbarkeit von "Phishing" nach StGB, in: Jusletter 9. Januar 2012.
  • Weissenberger Philippe, in: Basler Kommentar, Strafrecht, 5th ed., 2019, Art. 143bis StGB, (cit. Weissenberger, Art. 143bis, N 20).

To the extent that the penal norms differ in relation to their basic offense only by their configuration into an application offense (privileging), no additional assessments were recorded for these offenses.[1].

This applies, for example, to data acquisition under Article 143(2) SCC or hacking under Article 143to(2) SCC to the detriment ...

Article Assessment
(Datenbeschaffung)
Contribution Details
Last update: 2021-11-13
Autoren: Roman Kost

En principe, rien n'est effacé lors du scannage des adresses IP. La détérioration de données prévue par l'article 144bis du Code pénal ne s'applique pas à cette technique d'attaque.

In linea di principio, non si cancella nulla quando si scannerizzano gli indirizzi IP. La corruzione dei dati secondo l'Art. 144bis SCC non è rilevante con questa tecnica di attacco.

When IP addresses are scanned, nothing is deleted as a matter of principle. The data damage according to Art. 144bis SCC is not relevant for this attack technique.

Beim Scannen von IP-Adressen wird grundsätzlich nichts gelöscht. Die Datenbeschädigung nach Art. 144bis StGB ist bei dieser Angriffstechnik nicht einschlägig.

(Hacking)
Contribution Details
Last update: 2021-11-13
Autoren: Roman Kost, Viola Kost

Les balayages de ports lancés avant un piratage pour obtenir des informations sur le système cible sont des actes préparatoires non punissables. Les portscans peuvent déjà être motivés par une volonté délictueuse, mais ils restent dans le cadre de ce qui est socialement acceptable (ici, plutôt ce qui est techniquement habituel). Au regard de la théorie du seuil du Tribunal fédéral (BGE 83 IV 142, consid. 1a) le point de non-retour n'est pas encore atteint avec un scan de port. Même après le scan de port, le pirate peut abandonner son projet de pirater le système cible en toute impunité. Pfister (p. 130) est d'un autre avis et conclut, en appliquant le test du film, que le port scan est déjà un piratage punissable : le spectateur ordinaire d'un film montrant un pirate en train d'effectuer un port scan va supposer que le pirate montré va ensuite pénétrer dans le système cible. Pfister affirme que le scan de ports ne peut plus être considéré comme totalement adapté à la société, car il est moins probable qu'une personne qui scanne un système étranger à la recherche de ports ouverts ne pense pas déjà au moins de loin à une intrusion. Ce raisonnement a quelque chose de vrai, mais il est en fin de compte faux ; la Suisse ne connaît pas de droit pénal de l'opinion

.

De plus, le balayage des ports, ou plus généralement l'adressage des ports, fait partie de la fonctionnalité de base de ces ports :

Un système informatique dont les ports sont ouverts se prête explicitement à un contact avec lui via ce port. Le fait qu'un port soit ouvert ne signifie pas pour autant qu'il n'est pas protégé. Un port ouvert signifie simplement qu'un service est en cours d'exécution à une adresse réseau sous un certain numéro et qu'il attend des demandes. Par exemple, sur le système local, à l'adresse 127.0.0.1:80 (ici, par exemple, le Loop back Device, généralement simplement [adresse IP] :[port]), un serveur Web est généralement en cours d'exécution et une page Web peut être consultée en visitant cette adresse avec un navigateur.

Lors d'une analyse de port, il se passe donc quelque chose pour lequel les ports existent en premier lieu : Ils permettent la communication via des protocoles entre deux ordinateurs (comme Koch, p. 50). Lors d'une analyse de port, la variante la plus simple consiste simplement à essayer d'établir une connexion. Si la connexion réussit, on sait qu'un service écoute sur ce port (écoute dans un sens purement technique) ; si elle échoue, aucun service ne fonctionne sur le port ou le port a été contrôlé par un pare-feu (les requêtes sont alors bloquées, rejetées). Un scan plus sophistiqué, en fonction du numéro de port, fait une demande concrète au service sous ce numéro et peut recevoir une réponse appropriée (par exemple, le numéro de version du service peut être fourni, ou une liste de fonctions offertes ou de paramètres de configuration, etc.).

Il est inadmissible, compte tenu du fonctionnement et de la nature des ports, d'accuser quelqu'un qui effectue un scan de port d'avoir l'intention de commettre une infraction en se référant simplement au spectateur ordinaire. Il est de notoriété publique que la technologie de l'information actuelle n'est pas comprise de manière suffisamment approfondie par l'observateur moyen. La comparaison avec un observateur ordinaire semble en soi inappropriée.

Les portscans sont, selon ce qui a été dit, des &ndash ; si tant est qu'il y ait &ndash ; actes préparatoires non punissables (également Weissenberger, N 20 ; voir également Koch, p. 51).

Les balayages de ports lancés avant un piratage pour obtenir des informations sur le système cible sont des actes préparatoires non punissables. Les portscans peuvent déjà être motivés par une volonté délictueuse, mais ils restent dans le cadre de ce qui est socialement acceptable (ici, plutôt ce qui est techniquement habituel). Au regard de la ...

I portali avviati nel periodo che precede un hacking per ottenere informazioni sul sistema obiettivo sono atti preparatori senza penalità. I portuali possono già essere basati su un'intenzione criminale, ma sono ancora nei limiti di ciò che è socialmente accettabile (in questo caso, piuttosto il tecnicamente usuale). In considerazione della teoria della soglia del Tribunale federale (BGE 83 IV 142, E. 1a) con un portscan il punto di non ritorno non è ancora stato raggiunto. L'hacker può rinunciare alla sua intenzione di violare il sistema target anche dopo il portscan e rimane impunito. Pfister (p. 130) ha una visione diversa e, applicando il cosiddetto test del film, conclude che i portscan sono già hacking punibile: lo spettatore ordinario di un film che mostra un hacker che esegue un portscan supporrà che l'hacker mostrato penetrerà poi nel sistema obiettivo. Pfister sostiene che il portscanning non può più essere considerato del tutto socialmente adeguato, poiché è meno ovvio che una persona che scannerizza un sistema straniero alla ricerca di porte aperte non stia già almeno lontanamente pensando all'intrusione. Questa considerazione ha del vero, ma in definitiva è sbagliata; la Svizzera non ha un Gesinnungsstrafrecht.

Inoltre, i portscan o, più fondamentalmente, l'indirizzamento delle porte fa parte della funzionalità di base di queste stesse porte:

Un sistema informatico che ha porte aperte si offre esplicitamente per essere contattato tramite questa porta. Il fatto che una porta sia aperta non significa che non sia protetta. Una porta aperta significa solo che un servizio sta funzionando su un indirizzo di rete sotto un certo numero ed è in attesa di richieste. Per esempio, sul sistema locale all'indirizzo 127.0.0.1:80 (qui esemplificato dal loop back device, generalmente semplicemente [indirizzo IP]:[port]) un server web sarebbe solitamente in funzione e una pagina web sarebbe visibile quando si visita questo indirizzo usando un browser.

Quindi quello che succede durante un portscan è qualcosa per cui i porti esistono in primo luogo: Permettono la comunicazione tramite protocolli tra due computer (simile a Koch, p. 50). Nella variante più semplice, un port scan cerca solo di stabilire una connessione. Se la connessione riesce, si sa che un servizio è in ascolto su questa porta (ascolto in senso puramente tecnico); se fallisce, nessun servizio è in esecuzione sulla porta o la porta è stata controllata da un firewall (le richieste vengono quindi bloccate, respinte). Una scansione più sofisticata fa una richiesta concreta al servizio sotto questo numero, a seconda del numero di porta, e può ricevere una risposta corrispondente (ad esempio può essere consegnato il numero di versione del servizio, o un elenco di funzioni o parametri di configurazione offerti, ecc.

In considerazione del funzionamento e della natura dei porti, non è ammissibile imputare un'intenzione di commettere un reato a qualcuno che esegue una scansione del porto, con il semplice ricorso all'osservatore ordinario. Dovrebbe essere risaputo che la tecnologia dell'informazione di oggi non è compresa in modo sufficientemente approfondito dall'osservatore medio ordinario. Il paragone con un osservatore ordinario sembra di per sé inadatto.

I porti sono, secondo quanto detto – se mai – atti di preparazione impunibili (anche Weissenberger, N 20; cfr. anche Koch, p. 51).

I portali avviati nel periodo che precede un hacking per ottenere informazioni sul sistema obiettivo sono atti preparatori senza penalità. I portuali possono già essere basati su un'intenzione criminale, ma sono ancora nei limiti di ciò che è socialmente accettabile (in questo caso, piuttosto il tecnicamente usuale). In considerazione della teoria della soglia del Tribunale ...

Portscans that are started in the run-up to a hack to gain information about the target system are preparatory acts without penalty. Portscans may already be based on criminal intent, but are still within the bounds of what is socially acceptable (in this case, rather what is technically customary). In view of the federal court's threshold theory (BGE 83 IV 142, E. 1a) with a portscan the point of no return has not yet been reached. The hacker can abandon his intention to hack the target system even after the portscan and remains unpunished. Pfister (p. 130) is of a different opinion, concluding that portscans are already punishable hacking by applying the so-called film test: the ordinary viewer of a film that shows a hacker performing a portscan will assume that the hacker shown will penetrate the target system next. Pfister argues that portscanning can no longer be considered fully socially acceptable, since it is less obvious that a person scanning a foreign system for open ports is not already at least remotely thinking about intrusion. This reasoning has some truth to it, but is ultimately wrong; Switzerland does not have a Gesinnungsstrafrecht.

In addition, portscans, or quite basically the addressing of ports, are part of the basic functionality of those very ports:

A computer system that has open ports explicitly lends itself to being contacted through that port. The fact that a port is open does not mean that it is not protected. An open port only means that a service is running on a network address under a certain number and is waiting for requests. For example, on the local system at address 127.0.0.1:80 (here exemplified by the loop back device, generally simply [IP address]:[port]) a web server would usually be running and a web page would be viewable when visiting this address using a browser.

So in a portscan, something happens that ports exist for in the first place: They enable communication via protocols between two computers (similar to Koch, p. 50). In the simplest variant, a portscan only attempts to establish a connection. If the connection succeeds, it is known that a service is listening on this port (listening in a purely technical sense); if it fails, no service is running on the port or the port has been controlled by a firewall (requests are then blocked, rejected). A more sophisticated scan makes a specific request to the service under that number, depending on the port number, and may receive an appropriate response (e.g., the version number of the service may be supplied, or a list of functions or configuration parameters offered, etc.).

In consideration of the functioning and nature of ports, it is not permissible to impute an intent to commit a crime to someone performing a port scan, with mere recourse to the ordinary observer. It should be generally known that today's information technology is not understood in sufficient depth by the ordinary average observer. The comparison with an ordinary observer seems per se unsuitable.

Portscans are according to what has been said – if at all – unpunishable preparatory acts (likewise Weissenberger, N 20; cf. also Koch, p. 51).

Portscans that are started in the run-up to a hack to gain information about the target system are preparatory acts without penalty. Portscans may already be based on criminal intent, but are still within the bounds of what is socially acceptable (in this case, rather what is technically customary). In view of the federal court's ...

Portscans, die im Vorfeld eines Hacks zum Gewinnen von Informationen über das Zielsystem gestartet werden, sind straflose Vorbereitungshandlungen. Portscans können bereits vom deliktischen Willen getragen sein, sind aber immer noch im Rahmen des Sozialkonformen (hier eher des technisch Üblichen) anzusiedeln. Im Hinblick auf die bundesgerichtliche Schwellentheorie (BGE 83 IV 142, E. 1a) ist mit einem Portscan der point of no return noch nicht erreicht. Der Hacker kann auch nach dem Portscan sein Vorhaben, das Zielsystem zu hacken, aufgeben und bleibt dabei straffrei. Anderer Auffassung ist Pfister (S. 130), die unter Anwendung des sog. Film-Tests zum Schluss gelangt, Portscans seien bereits strafbares Hacking: Der gewöhnliche Betrachter eines Films, der einen Hacker beim Portscan zeigt, werde annehmen, dass der gezeigte Hacker als nächstes in das Zielsystem eindringt. Pfister führt an, Portscanning könne nicht mehr als vollständig sozialadäquat betrachtet werden, da es weniger nahe liege, dass eine Person, die ein fremdes System auf offene Ports abscannt, nicht schon wenigstens entfernt an ein Eindringen denkt. Diese Überlegung hat etwas Wahres an sich, ist aber letzten Endes falsch; die Schweiz kennt kein Gesinnungsstrafrecht.

Dazu kommt, dass Portscans resp. ganz grundsätzlich das Ansprechen von Ports zur grundlegenden Funktionalität ebendieser Ports gehört:

Ein Computersystem, das offene Ports aufweist, bietet sich explizit an, um mit ihm über diesen Port in Kontakt zu treten. Dass ein Port offen ist, bedeutet dabei noch nicht, dass er nicht geschützt ist. Ein offener Port bedeutet nur, dass auf einer Netzwerkadresse unter einer gewissen Nummer ein Dienst läuft und auf Anfragen wartet. So würde z.B. auf dem lokalen System auf der Adresse 127.0.0.1:80 (hier beispielhaft das Loop back Device, generell einfach [IP-Adresse]:[Port]) für gewöhnlich ein Webserver laufen und beim Besuch dieser Adresse unter Verwendung eines Browsers eine Webseite einsehbar sein.

Bei einem Portscan geschieht also etwas, wofür Ports überhaupt erst existieren: Sie ermöglichen die Kommunikation über Protokolle zwischen zwei Computern (ähnlich Koch, S. 50). Bei einem Portscan wird in der einfachsten Variante nur versucht, eine Verbindung herzustellen. Gelingt die Verbindung, ist bekannt, dass ein Dienst auf diesem Port lauscht (lauschen in einem rein technischen Sinne); gelingt er nicht, läuft auf dem Port kein Dienst oder der Port wurde durch eine Firewall kontrolliert (Anfragen werden dann geblockt, rejected). Ein ausgeklügelterer Scan stellt in Abhängigkeit der Portnummer eine konkrete Anfrage an den Dienst unter dieser Nummer und erhält unter Umständen eine entsprechende Antwort (z.B. kann die Versionsnummer des Dienstes geliefert werden, oder eine Liste von angebotenen Funktionen oder Konfigurationsparametern etc.).

Es ist in Anbetracht der Funktionsweise und des Wesens von Ports nicht zulässig, jemandem, der einen Portscan durchführt, unter blossem Rückgriff auf den gewöhnlichen Betrachter, einen Vorsatz auf eine Straftat zu unterstellen. Es dürfte allgemein bekannt sein, dass heutige Informationstechnik vom gewöhnlichen durchschnittlichen Betrachter nicht in genügender Tiefe verstanden wird. Der Vergleich mit einem gewöhnlichen Betrachter scheint per se untauglich.

Portscans sind dem Gesagten nach – wenn überhaupt – straflose Vorbereitungshandlungen (ebenso Weissenberger, N 20; vgl. auch Koch, S. 51).

Portscans, die im Vorfeld eines Hacks zum Gewinnen von Informationen über das Zielsystem gestartet werden, sind straflose Vorbereitungshandlungen. Portscans können bereits vom deliktischen Willen getragen sein, sind aber immer noch im Rahmen des Sozialkonformen (hier eher des technisch Üblichen) anzusiedeln. Im Hinblick auf die bundesgerichtliche Schwellentheorie (BGE 83 IV 142, E. 1a) ist mit einem ...

(Datenbeschädigung)
Contribution Details
Last update: 2021-11-13
Autoren: Roman Kost

En principe, rien n'est effacé lors du scannage des adresses IP. La détérioration de données prévue par l'article 144bis du Code pénal ne s'applique pas à cette technique d'attaque.

Quando gli indirizzi IP vengono scansionati, per principio non viene cancellato nulla. Il danno ai dati secondo l'Art. 144bis SCC non è rilevante con questa tecnica di attacco.

When IP addresses are scanned, nothing is deleted as a matter of principle. Data corruption according to Art. 144bis StGB is not relevant for this attack technique.

Beim Scannen von IP-Adressen wird grundsätzlich nichts gelöscht. Die Datenbeschädigung nach Art. 144bis StGB ist bei dieser Angriffstechnik nicht einschlägig.

Forensics

Forensic Domain Assessment

Portscans werden in aller Regel in Logfiles dokumentiert, vorausgesetzt es werden entsprechende Sensoren eingesetzt. Als Sensoren können z.B. HIDS oder NIDS zum Einsatz kommen.

There exists an assessment but it was not translated or not approved for release. Please contact us about this assessment and provide a link to this assessment.

Les analyses de ports sont généralement documentées dans des fichiers journaux, à condition que des capteurs appropriés soient utilisés. Les capteurs peuvent être des HIDS ou des NIDS.

I portali sono di solito documentati nei file di log, a condizione che vengano usati sensori appropriati. HIDS o NIDS, per esempio, possono essere usati come sensori.

Portscans are usually documented in log files, provided that appropriate sensors are used. HIDS or NIDS, for example, can be used as sensors

.

NIDS zeichnen an einer Netzwerkschnittstelle den Traffic mit und können so die Portscans detektieren. Sie führen selber Logfiles und/oder sende ihre Logfiles an einen zentralen Logserver.

In der Praxis zeigt sich, dass in vielen Unternehmen Defizite bei der Inventarisierung und Dokumentation ihrer Systeme bestehen und nicht resp. nicht genügend bekannt ist, wo NIDS im Einsatz sind und was sie dokumentieren.

Wertvoll ist der Einsatz von zentralen Logservern, die nur einer stark beschränkten Nutzergruppe zugänglich sind; am besten ausschliesslich im Vier-Augen-Prinzip. Es sollte nicht ausschliesslich auf einen zentralen Logserver abgestützt werden, sondern die NIDS sollten zum einen eigenständig ihre Logs noch über einen längeren Zeitraum vorhalten können und zum andern sollten zentrale Logserver idealerweise Redundanzen und eine andere Lokalität aufweisen. Auch Logserver sollten Backuping betreiben.

Sensoren, die an einer Schnittstelle zum Internet aufzeichnen, stellen eine Vielzahl von Scans und Kontaktanfragen fest (sog. Grundrauschen). Gewisse Akteure gehen soweit, gar nicht erst Portscans zu betreiben, Ziele zu eruieren und dann gezielt anzugreifen, sondern führen direkt und blind massenhaft Angriffe aus. Sollte sich ein verwundbares Gerät melden, hat man sein Ziel bereits erreicht. Dieses Vorgehen ist bei professionellen Akteuren selten der Fall, da dieses Verhalten "zu laut" ist und sich nicht im Grundrauschen verstecken lässt.

Unter den scannenden Akteuren finden sich neben Kriminellen, auch staatliche, private (im Sinne einer Geschäftstätigkeit) sowie wissenschaftliche Akteure. Staatliche Akteure benutzen Portscanning, um Informationen über andere Staaten und Organisationen zu erhalten, geschäftliche Akteure, um die gesammelten Informationen in Datenbanken gegen Entgelt zugänglich zu machen und wissenschaftliche selbstredend, um ihre Forschung voranzutreiben. Betrachtet man die NIDS-Logfiles, so fallen die geschäftlichen Akteure regelmässig auf; diese lassen sich durch ein revers lookup der IP-Adresse relativ zuverlässig erkennen (Scanning-Bots von shodan.io, censys.io, scans.io, etc.). Beschränkt aussagekräftig ist geolocating, bei dem anhand der IP-Range auf die geografische Lage geschlossen wird. Kaum Aussagen lassen sich beim Scans aus dem "Darknet" machen, bei Tor ist es z.B. gerade der Zweck, dass über das Onion-Routing verscheliert werden soll, wer effektiv die Kommunikation initiiert hat. Da die Tor-Exit-Nodes grundsätzlich bekannt sind, lässt sich immerhin eine Aussage treffen, ob die Kommunikation aus dem Tor-Netz stammt. Kommunikation aus dem Tor-Netz wird von NIDS geflagt und kann in Reputation-Groups eingeteilt werden. Auch hier sind solche Einteilungen mit Zurückhaltung zu benutzen und zu werten. Attribution, also das Zuordnen von Vorgängen auf technische Adressierungselemente wie IP-Adressen sind immer mit Unsicherheiten behaftet, denen man mit zusätzlichen Information und mit zusätzlichen Zusammenhängen begegnen muss.

NIDS zeichnen an einer Netzwerkschnittstelle den Traffic mit und können so die Portscans detektieren. Sie führen selber Logfiles und/oder sende ihre Logfiles an einen zentralen Logserver.

In der Praxis zeigt sich, dass in vielen Unternehmen Defizite bei der Inventarisierung und Dokumentation ihrer Systeme bestehen und nicht resp. nicht genügend bekannt ist, wo NIDS im Einsatz sind und was sie ...

Les NIDS enregistrent le trafic sur une interface réseau et peuvent ainsi détecter les scans de ports. Ils tiennent eux-mêmes des fichiers journaux et/ou envoient leurs fichiers journaux à un serveur de journaux central.

Dans la pratique, il s'avère que de nombreuses entreprises ont des lacunes dans l'inventaire et la documentation de leurs systèmes et ne savent pas ou pas suffisamment où les NIDS sont utilisés et ce qu'ils documentent.

L'utilisation de serveurs de logs centralisés, accessibles uniquement à un groupe d'utilisateurs très restreint, est précieuse ; il est préférable d'utiliser exclusivement le principe du double contrôle. Il ne faut pas s'appuyer exclusivement sur un serveur de log central, mais les NIDS doivent d'une part pouvoir conserver leurs logs de manière autonome sur une période plus longue et d'autre part, les serveurs de log centraux doivent idéalement présenter des redondances et un autre emplacement. Les serveurs de logs devraient également effectuer des sauvegardes.

Les capteurs qui enregistrent à une interface avec Internet constatent un grand nombre de balayages et de demandes de contact (ce qu'on appelle le bruit de fond). Certains acteurs vont même jusqu'à ne pas effectuer de scans de ports, à identifier des cibles puis à les attaquer de manière ciblée, mais à lancer directement et aveuglément des attaques de masse. Si un appareil vulnérable se présente, l'objectif est déjà atteint. Cette approche est rarement adoptée par les acteurs professionnels, car ce comportement est "trop bruyant" et ne peut pas être dissimulé dans le bruit de fond.

Parmi les acteurs qui scannent, on trouve non seulement des criminels, mais aussi des acteurs gouvernementaux, privés (dans le sens d'une activité commerciale) et scientifiques. Les acteurs gouvernementaux utilisent le scanning de ports pour obtenir des informations sur d'autres pays et organisations, les acteurs commerciaux pour rendre les informations collectées accessibles dans des bases de données contre rémunération et les scientifiques, bien entendu, pour faire avancer leurs recherches. Si l'on examine les fichiers journaux du NIDS, les acteurs commerciaux se distinguent régulièrement ; ils peuvent être identifiés de manière relativement fiable par une recherche inverse de l'adresse IP (robots de balayage de shodan.io, censys.io, scans.io, etc.) La géolocalisation, qui permet de déduire la situation géographique à partir de la plage d'adresses IP, est moins pertinente. Il n'est guère possible d'obtenir des informations avec les scans du "Darknet" ; dans le cas de Tor, par exemple, l'objectif est justement de déterminer qui a effectivement initié la communication via le routage Onion. Comme les nœuds de sortie de Tor sont en principe connus, il est tout de même possible de déterminer si la communication provient du réseau Tor. Les communications provenant du réseau Tor sont évaluées par NIDS et peuvent être classées en groupes de réputation. Ici aussi, ces classifications doivent être utilisées et évaluées avec modération. L'attribution, c'est-à-dire l'attribution d'événements à des éléments d'adressage techniques tels que les adresses IP, est toujours entachée d'incertitudes auxquelles il faut faire face avec des informations et des contextes supplémentaires.

Les NIDS enregistrent le trafic sur une interface réseau et peuvent ainsi détecter les scans de ports. Ils tiennent eux-mêmes des fichiers journaux et/ou envoient leurs fichiers journaux à un serveur de journaux central.

Dans la pratique, il s'avère que de nombreuses entreprises ont des lacunes dans l'inventaire et la documentation de leurs systèmes ...

I NIDS registrano il traffico su un'interfaccia di rete e possono quindi rilevare le scansioni delle porte. Tengono loro stessi i file di log e/o inviano i loro file di log ad un server centrale di log.

In pratica, è stato dimostrato che molte aziende hanno deficit nell'inventario e nella documentazione dei loro sistemi e non sono o non sono sufficientemente consapevoli di dove sono in uso i NIDS e cosa documentano.

Valente è l'uso di server di log centrali che sono accessibili solo ad un gruppo molto ristretto di utenti; preferibilmente esclusivamente in un principio a quattro occhi. Non dovrebbe basarsi esclusivamente su un server centrale di log, ma i NIDS dovrebbero essere in grado di mantenere i loro log in modo indipendente per un periodo di tempo più lungo e i server centrali di log dovrebbero idealmente avere ridondanze e una posizione diversa. Anche i server di log dovrebbero essere sottoposti a backup.

I sensori che registrano in un'interfaccia con Internet rilevano un gran numero di scansioni e richieste di contatto (il cosiddetto rumore di fondo). Certi attori arrivano al punto di non eseguire nemmeno scansioni delle porte, elicitare gli obiettivi e poi prenderli di mira, ma invece eseguono direttamente e alla cieca attacchi di massa. Se un dispositivo vulnerabile segnala, hanno già raggiunto il loro obiettivo. Questo approccio è raramente il caso degli attori professionisti, poiché questo comportamento è "troppo forte" e non può essere nascosto nel rumore di fondo.

Gli attori della scansione includono criminali, attori statali, attori privati (nel senso di fare affari) e attori scientifici. Gli attori statali usano il portscanning per ottenere informazioni su altri stati e organizzazioni, gli attori commerciali per rendere disponibili le informazioni raccolte in banche dati a pagamento e gli attori scientifici, ovviamente, per far avanzare le loro ricerche. Se si guardano i file di log del NIDS, spiccano regolarmente gli attori commerciali; questi possono essere riconosciuti in modo relativamente affidabile da una ricerca inversa dell'indirizzo IP (bot di scansione da shodan.io, censys.io, scans.io, ecc.) La geolocalizzazione, che utilizza l'intervallo IP per dedurre la posizione geografica, ha un valore limitato. Difficilmente si possono fare affermazioni con scansioni dalla "darknet"; con Tor, per esempio, lo scopo è proprio quello di usare l'instradamento a cipolla per crivellare chi ha effettivamente iniziato la comunicazione. Dato che i nodi di uscita di Tor sono fondamentalmente noti, è almeno possibile dire se la comunicazione ha avuto origine dalla rete Tor. La comunicazione dalla rete Tor viene segnalata dal NIDS e può essere divisa in gruppi di reputazione. Anche qui, tali classificazioni devono essere usate e valutate con cautela. L'attribuzione, cioè l'assegnazione di eventi a elementi tecnici di indirizzamento come gli indirizzi IP, è sempre irta di incertezze che devono essere contrastate con informazioni aggiuntive e con contesti supplementari.

I NIDS registrano il traffico su un'interfaccia di rete e possono quindi rilevare le scansioni delle porte. Tengono loro stessi i file di log e/o inviano i loro file di log ad un server centrale di log.

In pratica, è stato dimostrato che molte aziende hanno deficit nell'inventario e nella documentazione dei loro sistemi ...

NIDS record the traffic at a network interface and can thus detect the port scans. They keep log files themselves and/or send their log files to a central log server.

In practice, it is apparent that in many companies there are deficits in the inventory and documentation of their systems and it is not or not sufficiently known where NIDS are in use and what they document.

Valuable is the use of central log servers that are only accessible to a highly restricted group of users; preferably exclusively on a four-eyes principle. It should not be based exclusively on a central log server, but the NIDS should on the one hand be able to maintain their logs independently over a longer period of time and on the other hand central log servers should ideally have redundancies and a different location. Log servers should also be backuping.

Sensors that log at an interface to the Internet detect a large number of scans and contact requests (called background noise). Certain actors go so far as to not even perform port scans, elicit targets and then target them, but instead directly and blindly perform mass attacks. If a vulnerable device reports in, they have already achieved their goal. This approach is rarely the case with professional actors, as this behavior is "too loud" and cannot be hidden in the background noise.

Among scanning actors, in addition to criminals, there are governmental, private (in the sense of doing business), and scientific actors. State actors use portscanning to obtain information about other states and organizations, business actors to make the collected information available in databases for a fee, and scientific ones, of course, to advance their research. Looking at the NIDS logfiles, the business actors regularly stand out; these can be identified relatively reliably by a reverse lookup of the IP address (scanning bots from shodan.io, censys.io, scans.io, etc.). Geolocating, which uses the IP range to infer the geographical location, is of limited value. Hardly any statements can be made about scans from the "darknet"; in the case of Tor, for example, the purpose is precisely to use onion routing to scramble who effectively initiated the communication. Since the Tor exit nodes are basically known, it is at least possible to tell whether the communication originated from the Tor network. Communication from the Tor network is flagged by NIDS and can be classified into reputation groups. Again, such classifications should be used and evaluated with caution. Attribution, i.e., assigning events to technical addressing elements such as IP addresses are always subject to uncertainties that must be met with additional information and with additional context.

NIDS record the traffic at a network interface and can thus detect the port scans. They keep log files themselves and/or send their log files to a central log server.

In practice, it is apparent that in many companies there are deficits in the inventory and documentation of their systems and it is not ...

HIDS können Portscan für den entsprechenden Host detektieren. Der Einsatz eines NIDS beim Portscanning gegenüber einem HIDS liegt darin, dass das NIDS den ganzen von ihm Überwachten Netzwerkverkehr monitoren kann und dadurch ganze Adress-Range-Scans einfach feststellbar sind, als bei HIDS, wo man systembedingter Weise nur den Scan der jeweiligen Netzwerkadresse resp. den spezifisch konfigurierten Adressen feststellt.

There exists an assessment but it was not translated or not approved for release. Please contact us about this assessment and provide a link to this assessment.

Les HIDS peuvent détecter le scan de port pour l'hôte correspondant. L'utilisation d'un NIDS pour le scan de ports par rapport à un HIDS est que le NIDS peut surveiller tout le trafic réseau qu'il surveille, ce qui permet de détecter facilement des scans d'adresses entiers, contrairement aux HIDS qui, en raison de leur système, ne détectent que le scan de l'adresse réseau correspondante ou des adresses spécifiquement configurées.

HIDS può rilevare il portscan per l'host corrispondente. Il vantaggio di usare un NIDS per la scansione delle porte rispetto a un HIDS è che il NIDS può monitorare l'intero traffico di rete che sta monitorando, rendendo più facile rilevare scansioni di interi intervalli di indirizzi rispetto agli HIDS, dove il sistema rileva solo la scansione del rispettivo indirizzo di rete o degli indirizzi specificamente configurati.

.

HIDS can detect portscan for the corresponding host. The use of a NIDS in port scanning compared to a HIDS is that the NIDS can monitor the entire network traffic monitored by it and thus entire address range scans are easily detectable, as with HIDS, where one system-conditioned way only the scan of the respective network address or the specifically configured addresses is detected.

.

Login
ID: T1595.001
Sub-technique of:  T1595
Tactic: Reconnaissance
Platforms: PRE
Version: 1.0
Created: 02 October 2020
Last Modified: 15 April 2021
Translations:  DE FR IT EN
Provided by LAYER 8

Procedure Examples

ID Name Description
G0139 TeamTNT

TeamTNT has scanned specific lists of target IP addresses.[2]

Mitigations

ID Mitigation Description
M1056 Pre-compromise

This technique cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls. Efforts should focus on minimizing the amount and sensitivity of data available to external parties.

Detection

ID Data Source Data Component
DS0029 Network Traffic Network Traffic Flow

Monitor for suspicious network traffic that could be indicative of scanning, such as large quantities originating from a single source (especially if the source is known to be associated with an adversary/botnet).

Much of this activity may have a very high occurrence and associated false positive rate, as well as potentially taking place outside the visibility of the target organization, making detection difficult for defenders.

Detection efforts may be focused on related stages of the adversary lifecycle, such as during Initial Access.

Überwachen Sie verdächtigen Netzwerkverkehr, der auf ein Scanning hindeuten könnte, z.B. grosse Mengen, die von einer einzigen Quelle stammen (insbesondere wenn bekannt ist, dass die Quelle mit einem Gegner/Botnet verbunden ist).

Viele dieser Aktivitäten haben eine sehr hohe Auftretens- und Falsch-Positiv-Rate und finden möglicherweise ausserhalb der Sichtweite des Zielunternehmens statt, was die Entdeckung für die Verteidiger erschwert.

Die Entdeckungsbemühungen können sich auf die entsprechenden Phasen des Lebenszyklus des Angreifers konzentrieren, z. B. während des Erstzugriffs.

Surveillez le trafic réseau suspect qui pourrait indiquer un balayage, comme de grandes quantités provenant d'une source unique (surtout si la source est connue pour être associée à un adversaire/un réseau de robots).

Une grande partie de cette activité peut avoir un taux d'occurrence et un taux de faux positifs associés très élevés, et peut également avoir lieu en dehors de la visibilité de l'organisation cible, rendant la détection difficile pour les défenseurs.

Les efforts de détection peuvent être concentrés sur des étapes connexes du cycle de vie de l'adversaire, comme l'accès initial.

Monitorare il traffico di rete sospetto che potrebbe essere indicativo di una scansione, come grandi quantità provenienti da una singola fonte (specialmente se la fonte è nota per essere associata ad un avversario/botnet).

Molte di queste attività possono avere un tasso di occorrenza e di falsi positivi associato molto alto, oltre a svolgersi potenzialmente al di fuori della visibilità dell'organizzazione bersaglio, rendendo difficile la rilevazione per i difensori.

Gli sforzi di rilevamento possono essere concentrati su fasi correlate del ciclo di vita dell'avversario, come durante l'accesso iniziale.

References