渗透测试中的信息收集:文档元数据
在网络安全攻防中,攻击者往往无需“攻入”系统,就能从公开信息中获取大量情报。文档元数据(Metadata)分析,就是一种低成本、高价值的信息收集方式,常被用于渗透测试的准备阶段。
今天我们将带你了解攻击者如何通过分析企业发布的文件,识别出员工用户名、使用的软件、操作系统版本、内部路径等敏感信息,并结合 MITRE ATT&CK 框架中的相关技术,构建一个真实的信息收集场景。
一、文档元数据是什么?
元数据(Metadata) 是指附加在文件中的“数据的描述信息”,它不直接呈现在文档内容中,但却记录了文件的创建、修改、使用等关键信息。
常见的元数据包括:
- 作者姓名或用户名
- 使用的软件名称与版本
- 创建与修改时间
- 文件在本地硬盘中的路径(如
C:\Users\Alice\Documents\Confidential.docx) - 打印机名称、操作系统版本等
这些信息一旦被攻击者掌握,就可能成为进一步攻击的突破口。
二、MITRE ATT&CK 框架中的相关技术
在 ATT&CK 框架中,文档元数据分析对应以下技术:
| 技术名称 | 技术编号 | 描述 |
|---|---|---|
| 收集系统信息 | T1592 | 收集目标使用的系统、软件、硬件等信息 |
| 收集用户账户信息 | T1589 | 获取用户名、邮箱、身份角色等 |
| 收集文件和目录信息 |