攻击者现在使用感染恶意软件的设备来扫描目标网络，而不是直接扫描它们。这种方法可以帮助他们隐藏身份、逃避地理限制（地理围栏）并发展僵尸网络。

受感染的主机提供的资源用于启动大规模扫描，比单个攻击者计算机可以管理的资源更多。通过分析请求量等扫描特征并将其与已知威胁特征进行匹配，系统可以有效地检测已建立的和新颖的扫描模式。 

攻击者使用扫描技术来探测目标网络的弱点，这可以识别开放端口、软件漏洞，甚至操作系统。

通过利用这些漏洞，攻击者可以获得未经授权的访问或破坏系统。 

在示例中，攻击者使用 HTTP POST 请求扫描 random-university.edu 以识别 MOVEit 漏洞 ( CVE-2023-34362 )，如果成功，可能会导致妥协。 

分析多个网络的流量日志发现，针对潜在漏洞的扫描活动显着增加。

一个示例涉及与 MOVEit 漏洞 (CVE-2023-34362) 相关的端点的异常高请求量（2023 年为 7,147 次）。

这些请求是在漏洞公开之前出现的，遥测进一步显示 2023 年有超过 6600 万个请求可能与扫描相关。 

攻击者瞄准的技术堆栈。

文章原文链接:https://www.anquanke.com/post/id/295466