Active Scanning: Vulnerability Scanning

Other sub-techniques of Active Scanning (2)

ID	Name
T1595.001	Scanning IP Blocks
T1595.002	Vulnerability Scanning

Adversaries may scan victims for vulnerabilities that can be used during targeting. Vulnerability scans typically check if the configuration of a target host/application (ex: software and version) potentially aligns with the target of a specific exploit the adversary may seek to use.

These scans may also include more broad attempts to Gather Victim Host Information that can be used to identify more commonly known, exploitable vulnerabilities. Vulnerability scans typically harvest running software and version numbers via server banners, listening ports, or other network artifacts.^[1] Information from these scans may reveal opportunities for other forms of reconnaissance (ex: Search Open Websites/Domains or Search Open Technical Databases), establishing operational resources (ex: Develop Capabilities or Obtain Capabilities), and/or initial access (ex: Exploit Public-Facing Application).

Angreifer können ihre Opfer auf Schwachstellen scannen, die sie für ihre Angriffe nutzen können. Bei Schwachstellen-Scans wird in der Regel geprüft, ob die Konfiguration eines Ziel-Hosts/einer Ziel-Anwendung (z. B. Software und Version) potenziell mit dem Ziel eines bestimmten Exploits übereinstimmt, den der Angreifer möglicherweise verwenden möchte.

Diese Scans können auch umfassendere Versuche beinhalten, [Gathering Victim Host Information] (/techniques/T1592), die zur Identifizierung allgemein bekannter, ausnutzbarer Schwachstellen verwendet werden können. Schwachstellen-Scans sammeln in der Regel laufende Software und Versionsnummern über Server-Banner, lauschende Ports oder andere Netzwerk-Artefakte.(Zitat: OWASP Vuln Scanning) Die Informationen aus diesen Scans können Möglichkeiten für andere Formen der Aufklärung aufzeigen (z.B.: Search Open Websites/Domains oder Search Open Technical Databases), den Aufbau operativer Ressourcen (z.B. Develop Capabilities oder Obtain Capabilities) und/oder den Erstzugang (z.B. Exploit Public-Facing Application).

Les adversaires peuvent scanner les victimes à la recherche de vulnérabilités qui peuvent être utilisées lors du ciblage. Les analyses de vulnérabilité vérifient généralement si la configuration d'un hôte/application cible (ex : logiciel et version) s'aligne potentiellement sur la cible d'un exploit spécifique que l'adversaire peut chercher à utiliser.

Ces analyses peuvent également inclure des tentatives plus larges de [collecte d'informations sur l'hôte de la victime] (/techniques/T1592) qui peuvent être utilisées pour identifier les vulnérabilités exploitables les plus connues. Les analyses de vulnérabilité récoltent généralement les logiciels en cours d'exécution et les numéros de version par le biais de bannières de serveur, de ports d'écoute ou d'autres artefacts de réseau. (Citation : OWASP Vuln Scanning) Les informations de ces analyses peuvent révéler des opportunités pour d'autres formes de reconnaissance (ex : Search Open Websites/Domains ou Search Open Technical Databases), d'établir des ressources opérationnelles (ex : Develop Capabilities ou Obtain Capabilities), et/ou un accès initial (ex : Exploit Public-Facing Application).

Gli avversari possono scansionare le vittime alla ricerca di vulnerabilità che possono essere usate durante il targeting. Le scansioni di vulnerabilità tipicamente controllano se la configurazione di un host/applicazione target (es: software e versione) si allinea potenzialmente con il target di un exploit specifico che l'avversario potrebbe cercare di usare.

Queste scansioni possono anche includere tentativi più ampi di Gather Victim Host Information che possono essere usati per identificare vulnerabilità più comunemente note e sfruttabili. Le scansioni di vulnerabilità tipicamente raccolgono software in esecuzione e numeri di versione tramite banner di server, porte di ascolto o altri artefatti di rete.(Citazione: OWASP Vuln Scanning) Le informazioni di queste scansioni possono rivelare opportunità per altre forme di ricognizione (es: Search Open Websites/Domains o Search Open Technical Databases), stabilire risorse operative (ex: Develop Capabilities o Obtain Capabilities, e/o accesso iniziale (ex: Exploit Public-Facing Application.

Law Assessment

Article	Assessment
Art. 143 Abs. 1 StGB (Datenbeschaffung) Contribution Details Last update: 2021-11-13 Autoren: Roman Kost ⓘ	En principe, rien n'est effacé lors de la recherche de failles de sécurité. La détérioration de données selon l'article 144bis du Code pénal ne s'applique pas à cette technique d'attaque. Nella scansione delle vulnerabilità di sicurezza, non si cancella nulla per principio. La corruzione dei dati secondo l'Art. 144bis SCC non è rilevante per questa tecnica di attacco. When scanning for security vulnerabilities, nothing is deleted as a matter of principle. Data corruption according to Art. 144bis SCC is not relevant for this attack technique. Beim Scannen nach Sicherheitslücken wird grundsätzlich nichts gelöscht. Die Datenbeschädigung nach Art. 144bis StGB ist bei dieser Angriffstechnik nicht einschlägig.
Art. 143^bis Abs. 1 StGB (Hacking) Contribution Details Last update: 2021-11-13 Autoren: Roman Kost, Viola Kost ⓘ	Pour les considérations de base sur la procédure et sa comptabilisation en tant qu'acte préparatoire non punissable, voir Active Scanning : Scanning IP Blocks (Lien). Lors de l'analyse des vulnérabilités, la communication avec les systèmes cibles est à nouveau effectuée, mais l'analyse des vulnérabilités implique davantage de communication que la simple analyse des ports. Il ne s'agit pas seulement de vérifier si un port est ouvert (scan de port), mais aussi d'analyser la communication reçue et envoyée par le système cible. Dans certains cas, il est possible d'inciter le système cible à communiquer davantage à l'aide de paquets spécialement créés (appelés "crafting"). Tant que ces communications ne contournent pas les mesures de sécurité destinées à protéger contre les accès non autorisés, le scanning des vulnérabilités n'est pas punissable en vertu de l'article 143bis, paragraphe 1, du Code pénal. Si la personne qui effectue le scan utilise des paquets crackés, un service, voire un système entier, peut également tomber en panne selon la vulnérabilité (par exemple, CVE-2018-0833, qui était loin d'être la première vulnérabilité permettant à un seul paquet de faire tomber complètement un système). Avant de compromettre une victime, les attaquants peuvent scanner les victimes pour trouver des vulnérabilités qui peuvent être utilisées pour une action ciblée. L'analyse des vulnérabilités consiste généralement à vérifier si la configuration d'un hôte/d'une application cible (par exemple, le logiciel et la version par le biais de ce que l'on appelle le "banner grabbing") correspond potentiellement à la cible d'un exploit particulier que l'attaquant peut utiliser par la suite. Ces analyses peuvent également inclure des tentatives plus larges de collecte d'informations sur l'hôte de la victime, qui peuvent être utilisées pour identifier des vulnérabilités exploitables connues de tous. Les analyses de vulnérabilité capturent généralement des logiciels en cours d'exécution et des numéros de version via des bannières de serveur, des ports surveillés ou d'autres artefacts réseau[1]. Les informations obtenues grâce à ces analyses peuvent révéler des opportunités pour d'autres formes d'exploration (par exemple, la recherche de sites/domaines ouverts ou la recherche de bases de données techniques ouvertes), la création de ressources opérationnelles (par exemple, le développement de compétences ou l'obtention de compétences) et/ou l'accès initial (par exemple, l'exploitation d'applications accessibles au public). - Pour les considérations de base sur la procédure et sa comptabilisation en tant qu'acte préparatoire non punissable, voir Active Scanning : Scanning IP Blocks (Lien). Lors de l'analyse des vulnérabilités, la communication avec les systèmes cibles est à nouveau effectuée, mais l'analyse des vulnérabilités implique davantage de communication que la simple analyse des ports. Il ne ... + Per le considerazioni di base sulla procedura e la sua registrazione come atto preparatorio impunito, faccia riferimento a Active Scanning: Scanning IP Blocks (Linking). La scansione delle vulnerabilità implica di nuovo la comunicazione con i sistemi bersaglio, anche se la scansione delle vulnerabilità implica più comunicazione della semplice scansione delle porte. Non solo si controlla se una porta è aperta (port scanning), ma si analizza anche la comunicazione ricevuta inviata dal sistema target. In determinate circostanze, si possono usare pacchetti appositamente creati per indurre il sistema obiettivo ad inviare comunicazioni aggiuntive. Finché questa comunicazione non elude le misure di sicurezza destinate a proteggere dall'accesso non autorizzato, il vulnerability scanning non è punibile secondo l'articolo 143bis paragrafo 1 SCC. Se la persona che scansiona usa pacchetti craccati, un servizio o addirittura un intero sistema può anche andare in crash, a seconda della vulnerabilità (per esempio CVE-2018-0833, che è stata tutt'altro che la prima vulnerabilità con cui un singolo pacchetto può mandare completamente in crash un sistema). Prima di compromettere una vittima, gli aggressori possono scansionare le vittime alla ricerca di vulnerabilità che possono essere usate per prenderle di mira. Le scansioni di vulnerabilità di solito controllano se la configurazione di un host/applicazione target (ad esempio software e versione attraverso il cosiddetto banner grabbing) corrisponde potenzialmente all'obiettivo di un exploit specifico che l'attaccante può successivamente utilizzare. Queste scansioni possono anche includere tentativi più ampi di raccogliere informazioni sull'host della vittima che possono essere usate per identificare vulnerabilità sfruttabili comunemente note. Le scansioni di vulnerabilità tipicamente catturano il software in esecuzione e i numeri di versione attraverso i banner dei server, le porte monitorate o altri artefatti di rete.[1] Le informazioni di queste scansioni possono rivelare opportunità per altre forme di esplorazione (ad es. navigare in siti web/domini aperti o cercare database tecnici aperti), costruire risorse operative (ad es. sviluppare capacità o ottenere capacità) e/o accesso iniziale (ad es. sfruttare applicazioni pubblicamente disponibili). - Per le considerazioni di base sulla procedura e la sua registrazione come atto preparatorio impunito, faccia riferimento a Active Scanning: Scanning IP Blocks (Linking). La scansione delle vulnerabilità implica di nuovo la comunicazione con i sistemi bersaglio, anche se la scansione delle vulnerabilità implica più comunicazione della semplice scansione delle porte. Non solo si controlla ... + For the basic considerations of the procedure and its recording as a non-punishable preparatory action, please refer to Active Scanning: Scanning IP Blocks (Linking). Vulnerability scanning again involves communicating with the target systems, but now vulnerability scanning involves more communication than mere port scanning. Not only is it checked whether a port is open (port scanning), but the received communication sent by the target system is also analyzed. Under certain circumstances, specially crafted packets can be used to induce the target system to send additional communication. As long as this communication does not circumvent any security measures intended to protect against unauthorized access, vulnerability scanning is not punishable under Art. 143bis para. 1 SCC. If the scanning person uses cracked packages, a service or even an entire system can also crash, depending on the vulnerability (e.g., CVE-2018-0833, which was far from the first vulnerability that allowed a single package to completely crash a system). Before compromising a victim, attackers can scan victims for vulnerabilities that can be used to target them. Vulnerability scans typically check whether a target host/application's configuration (e.g., software and version through so-called banner grabbing) potentially matches the target of a particular exploit that the attacker can subsequently use. These scans can also include broader attempts to gather information about the victim's host that can be used to identify commonly known exploitable vulnerabilities. Vulnerability scans typically capture running software and version numbers via server banners, monitored ports, or other network artifacts.[1] Information from these scans may reveal opportunities for other forms of exploration (e.g., browsing open websites/domains or searching open technical databases), building operational resources (e.g., developing capabilities or obtaining capabilities), and/or initial access (e.g., exploiting publicly available applications). - For the basic considerations of the procedure and its recording as a non-punishable preparatory action, please refer to Active Scanning: Scanning IP Blocks (Linking). Vulnerability scanning again involves communicating with the target systems, but now vulnerability scanning involves more communication than mere port scanning. Not only is it checked whether a port is open (port ... + Für die grundsätzlichen Überlegungen zur Vorgehensweise und deren Erfassung als straflose Vorbereitungshandlung wird auf Active Scanning: Scanning IP Blocks (Verlinken) verwiesen. Beim Vulnerability Scanning (Scannen auf Schwachstellen) wird wiederum mit den Zielsystemen kommuniziert, wobei nun beim Schwachstellenscanning mehr kommuniziert wird, als beim blossen Portscanning. Es wird nicht nur geprüft, ob ein Port offen ist (Port-Scanning), sondern darüber hinaus die erhaltene Kommunikation analysiert, die das Zielsystem verschickt. Unter Umständen kann gezielt mit speziell erstellten (gecrafteten, sog. crafting) Paketen das Zielsystem zu zusätzlicher Kommunikation veranlasst werden. Solange diese Kommunikation keine Sicherheitsmassnahmen umgeht, die vor unerlaubtem Zugriff schützen soll, ist Schwachstellenscanning nicht nach Art. 143bis Abs. 1 StGB strafbar. Setzt die scannende Person gecraftete Pakete ein, kann je nach Schwachstelle ein Dienst oder gar ein ganzes System auch abstürzen (so z.B. CVE-2018-0833, die bei weitem nicht die erste Schwachstelle darstellte, mit der durch ein einziges Paket ein System komplett abstürzen kann). Bevor sie ein Opfer kompromittieren, können Angreifer die Opfer auf Schwachstellen scannen, die für ein gezieltes Vorgehen genutzt werden können. Bei Schwachstellen-Scans wird in der Regel geprüft, ob die Konfiguration eines Ziel-Hosts/einer Ziel-Anwendung (z. B. Software und Version durch sog. Banner Grabbing) potenziell mit dem Ziel eines bestimmten Exploits übereinstimmt, den der Angreifer im Anschluss verwenden kann. Diese Scans können auch umfassendere Versuche beinhalten, Informationen über den Host des Opfers zu sammeln, die zur Identifizierung allgemein bekannter, ausnutzbarer Schwachstellen verwendet werden können. Schwachstellen-Scans erfassen in der Regel laufende Software und Versionsnummern über Server-Banner, überwachte Ports oder andere Netzwerk-Artefakte.[1] Die Informationen aus diesen Scans können Möglichkeiten für andere Formen der Erkundung (z. B. Durchsuchen offener Websites/Domänen oder Durchsuchen offener technischer Datenbanken), den Aufbau operativer Ressourcen (z. B. Entwickeln von Fähigkeiten oder Erhalten von Fähigkeiten) und/oder den ersten Zugang (z. B. Ausnutzen öffentlich zugänglicher Anwendungen) aufzeigen. - Für die grundsätzlichen Überlegungen zur Vorgehensweise und deren Erfassung als straflose Vorbereitungshandlung wird auf Active Scanning: Scanning IP Blocks (Verlinken) verwiesen. Beim Vulnerability Scanning (Scannen auf Schwachstellen) wird wiederum mit den Zielsystemen kommuniziert, wobei nun beim Schwachstellenscanning mehr kommuniziert wird, als beim blossen Portscanning. Es wird nicht nur geprüft, ob ein Port offen ist (Port-Scanning ... +
Art. 144^bis Ziff. 1 StGB (Datenbeschädigung) Contribution Details Last update: 2021-11-13 Autoren: Roman Kost ⓘ	En principe, rien n'est effacé lors de l'analyse des failles de sécurité. La détérioration de données selon l'article 144bis du Code pénal ne s'applique pas à cette technique d'attaque. Nella scansione delle vulnerabilità di sicurezza non si cancella nulla per principio. Il danno ai dati secondo l'Art. 144bis SCC non è rilevante per questa tecnica di attacco. When scanning for security vulnerabilities, nothing is deleted as a matter of principle. Data corruption according to Art. 144bis StGB is not relevant for this attack technique. Beim Scannen nach Sicherheitslücken wird grundsätzlich nichts gelöscht. Die Datenbeschädigung nach Art. 144bis StGB ist bei dieser Angriffstechnik nicht einschlägig.

Forensics

Forensic Domain	Assessment
Log Files	Verweis auf T1595/001/ There exists an assessment but it was not translated or not approved for release. Please contact us about this assessment and provide a link to this assessment. Référence à T1595/001/ Riferimento a T1595/001/ Reference to T1595/001/
NIDS/Network	Grundsätzlich Verweis auf T1595/001/ Beim Vulnerabilityscanning lässt sich in den Logfiles regelmässig mehr zum Scan erkennen, da zur Erkennung einer Schwachstelle über das blosse Feststellen von Port-Zuständen (blocking, rejecting, open) hinaus kommuniziert werden muss. Beim Vulerability Scanning besonders wertvoll können die Datenmitschnitte eines NIDS sein (z.B. PCAP-Logging). Dabei wird der relevante Datentraffic aufgezeichnet und mit dem Logeintrag oder dem geloggten Event verknüpft. Das kann unter Umständen genauere Rückschlüsse auf die Täterschaft geben, wenn z.B. User-Agent-Strings oder Sprachfragmente (Englisch, Russisch, Chinesisch) in der Payload des Scans auftauchen oder die Täterschaft einen sehr spezfischen, selbst erstellten (gecrafteten) Scan verwendet. - Grundsätzlich Verweis auf T1595/001/ Beim Vulnerabilityscanning lässt sich in den Logfiles regelmässig mehr zum Scan erkennen, da zur Erkennung einer Schwachstelle über das blosse Feststellen von Port-Zuständen (blocking, rejecting, open) hinaus kommuniziert werden muss. Beim Vulerability Scanning besonders wertvoll können die Datenmitschnitte eines NIDS sein (z.B. PCAP-Logging). Dabei wird der relevante Datentraffic aufgezeichnet und mit dem Logeintrag oder ... + En principe, référence à T1595/001/ Lors de l'analyse de vulnérabilité, les fichiers journaux permettent régulièrement d'en savoir plus sur l'analyse, car pour détecter une vulnérabilité, il faut communiquer au-delà de la simple détection de l'état des ports (bloquant, rejetant, ouvert). L'enregistrement des données d'un NIDS (par exemple, l'enregistrement PCAP) peut être particulièrement utile pour l'analyse de la vulnérabilité. Le trafic de données pertinent est enregistré et associé à l'entrée du journal ou à l'événement enregistré. Cela peut permettre de tirer des conclusions plus précises sur l'auteur de l'infraction, par exemple si des chaînes d'agent utilisateur ou des fragments de langue (anglais, russe, chinois) apparaissent dans la charge utile du scan ou si l'auteur de l'infraction utilise un scan très spécifique qu'il a lui-même créé (cracrafté). - En principe, référence à T1595/001/ Lors de l'analyse de vulnérabilité, les fichiers journaux permettent régulièrement d'en savoir plus sur l'analyse, car pour détecter une vulnérabilité, il faut communiquer au-delà de la simple détection de l'état des ports (bloquant, rejetant, ouvert). L'enregistrement des données d'un NIDS (par exemple, l'enregistrement PCAP) peut être particulièrement utile pour ... + Fondamentalmente riferimento a T1595/001/ La scansione delle vulnerabilità rivela regolarmente più cose sulla scansione nei file di log, poiché l'individuazione di una vulnerabilità richiede una comunicazione che va oltre la semplice individuazione degli stati delle porte (bloccaggio, rifiuto, apertura). Le registrazioni di dati di un NIDS (ad esempio la registrazione PCAP) possono essere particolarmente preziose per la scansione delle vulnerabilità. Il relativo traffico di dati viene registrato e collegato alla voce di registro o all'evento registrato. In determinate circostanze, questo può fornire conclusioni più precise sull'autore se, per esempio, nel payload della scansione appaiono stringhe di user agent o frammenti di lingua (inglese, russo, cinese) o se l'autore usa una scansione molto specifica e autocreata (crafted). - Fondamentalmente riferimento a T1595/001/ La scansione delle vulnerabilità rivela regolarmente più cose sulla scansione nei file di log, poiché l'individuazione di una vulnerabilità richiede una comunicazione che va oltre la semplice individuazione degli stati delle porte (bloccaggio, rifiuto, apertura). Le registrazioni di dati di un NIDS (ad esempio la registrazione PCAP) possono essere particolarmente ... + Basically reference to T1595/001/. Vulnerability scanning regularly reveals more to the scan in the log files, as communication is required beyond simply detecting port states (blocking, rejecting, open) to detect a vulnerability. In vulnerability scanning, the data logs of a NIDS can be particularly valuable (e.g. PCAP logging). This involves recording relevant data traffic and linking it to the log entry or logged event. Under certain circumstances, this can provide more accurate conclusions about the perpetrator, for example, if user agent strings or language fragments (English, Russian, Chinese) appear in the payload of the scan or if the perpetrator uses a very specfic, self-created (crafted) scan. - Basically reference to T1595/001/. Vulnerability scanning regularly reveals more to the scan in the log files, as communication is required beyond simply detecting port states (blocking, rejecting, open) to detect a vulnerability. In vulnerability scanning, the data logs of a NIDS can be particularly valuable (e.g. PCAP logging). This involves recording relevant data ... +
HIDS/Host	Grundsätzlich Verweis auf T1595/001/ beachten Sie auch die zusätzlichen Ausführungen zum NIDS oben. There exists an assessment but it was not translated or not approved for release. Please contact us about this assessment and provide a link to this assessment. En principe, référence à T1595/001/, voir également les explications supplémentaires sur le NIDS ci-dessus. Fondamentalmente il riferimento a T1595/001/ nota anche i commenti aggiuntivi sul NIDS di cui sopra. Basically reference to T1595/001/ also note the additional comments on NIDS above.

ID: T1595.002

Sub-technique of: T1595

ⓘ

Tactic: Reconnaissance

ⓘ

Platforms: PRE

Version: 1.0

Created: 02 October 2020

Last Modified: 15 April 2021

Translations: DE FR IT EN

Schweizerisches Strafgesetzbuch (StGB)

Relevant Articles:

Art. 143 Abs. 1 StGB (Datenbeschaffung)

Art. 143^bis Abs. 1 StGB (Hacking)

Art. 144^bis Ziff. 1 StGB (Datenbeschädigung)

Relevant Forensic Domains:

Log Files NIDS/Network HIDS/Host

Provided by LAYER 8

Procedure Examples

ID	Name	Description
G0007	APT28	APT28 has performed large-scale scans in an attempt to find vulnerable servers.^[2]
G0016	APT29	APT29 has conducted widespread scanning of target environments to identify vulnerabilities for exploit.^[3]
G0034	Sandworm Team	Sandworm Team has scanned network infrastructure for vulnerabilities as part of its operational planning.^[4]
G0139	TeamTNT	TeamTNT has scanned for vulnerabilities in IoT devices and other related resources such as the Docker API.^[5]
G0123	Volatile Cedar	Volatile Cedar has performed vulnerability scans of the target server.^[6]^[7]

Mitigations

ID	Mitigation	Description
M1056	Pre-compromise	This technique cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls. Efforts should focus on minimizing the amount and sensitivity of data available to external parties.

Detection

ID	Data Source	Data Component
DS0029	Network Traffic	Network Traffic Content
		Network Traffic Flow

Monitor for suspicious network traffic that could be indicative of scanning, such as large quantities originating from a single source (especially if the source is known to be associated with an adversary/botnet). Analyzing web metadata may also reveal artifacts that can be attributed to potentially malicious activity, such as referer or user-agent string HTTP/S fields.

Much of this activity may have a very high occurrence and associated false positive rate, as well as potentially taking place outside the visibility of the target organization, making detection difficult for defenders.

Detection efforts may be focused on related stages of the adversary lifecycle, such as during Initial Access.

Achten Sie auf verdächtigen Netzwerkverkehr, der auf ein Scanning hindeuten könnte, z.B. grosse Mengen, die von einer einzigen Quelle stammen (vor allem, wenn bekannt ist, dass die Quelle mit einem Gegner/Botnet verbunden ist). Die Analyse von Web-Metadaten kann auch Artefakte aufdecken, die auf potenziell bösartige Aktivitäten zurückgeführt werden können, z.B. HTTP/S-Felder mit Referer- oder User-Agent-Strings.

Viele dieser Aktivitäten haben eine sehr hohe Auftretens- und Falsch-Positiv-Rate und finden möglicherweise ausserhalb der Sichtweite des Zielunternehmens statt, was die Erkennung für Verteidiger erschwert.

Die Entdeckungsbemühungen können sich auf die entsprechenden Phasen des Lebenszyklus des Angreifers konzentrieren, z. B. während des Erstzugriffs.

Surveillez le trafic réseau suspect qui pourrait indiquer une analyse, comme de grandes quantités provenant d'une source unique (surtout si la source est connue pour être associée à un adversaire/botnet). L'analyse des métadonnées Web peut également révéler des artefacts pouvant être attribués à une activité potentiellement malveillante, comme les champs HTTP/S de chaîne de référence ou d'agent utilisateur.

Une grande partie de cette activité peut avoir un taux d'occurrence très élevé et un taux de faux positifs associé, tout en ayant lieu en dehors de la visibilité de l'organisation cible, ce qui rend la détection difficile pour les défenseurs.

Les efforts de détection peuvent se concentrer sur des étapes connexes du cycle de vie de l'adversaire, par exemple pendant l'accès initial.

Monitorare il traffico di rete sospetto che potrebbe essere indicativo di una scansione, come grandi quantità provenienti da una singola fonte (specialmente se la fonte è nota per essere associata ad un avversario/botnet). Analizzare i metadati web può anche rivelare artefatti che possono essere attribuiti ad attività potenzialmente dannose, come i campi HTTP/S di referer o user-agent string.

Molte di queste attività possono avere un tasso di occorrenza e di falsi positivi associato molto alto, oltre a svolgersi potenzialmente al di fuori della visibilità dell'organizzazione bersaglio, rendendo difficile la rilevazione per i difensori.

Gli sforzi di rilevamento possono essere concentrati su fasi correlate del ciclo di vita dell'avversario, come durante l'accesso iniziale.