读红蓝攻防：技术与计谋09网络杀伤链的工具

1. 网络杀伤链的进化过程

1.1. 从2011年初次发布起，网络杀伤链模型发生了巨大的变化，重要原因是攻击者和攻击方法的快速演变

• 1.1.1. 攻击者不停发展他们的攻击方法
  
• 1.1.2. 由于杀伤链是基于攻击者使用的方法论，因此它也必然会演变以适应威胁行为者方法和本领的变化
  

1.2. 在一开始，网络杀伤链是相当可预测的，各阶段都有清楚的定义，每个阶段的活动都有清楚的概述
1.3. 在最近一段时期，因为攻击的不可预测性，杀伤链变得更加难以预测
1.4. 使用杀伤链作为网络安全重要安全办理方案的偏好，也给构造带来了新的安全挑衅，因为攻击者非常清楚构造将用哪些步调来保护其系统

• 1.4.1. 攻击者现在要么选择避开某些步调，要么选择结合一些步调来帮助他们制止被检测
  

1.5. 由于这种演变和对该模型的普遍关注，杀伤链不应被视为可以应用于每一次攻击的万能工具，而应被视为更好地理解攻击者的方法和动机的起点
2. 网络杀伤链中使用的工具

2.1. Metasploit

• 2.1.1. 是一个传奇的、基于Linux的黑客框架，已经被黑客使用了无数次
  
• 2.1.2. 由许多黑客工具和框架组成，它们可以用来对目标实行不同类型的攻击
  
• 2.1.3. 到目前为止，该框架已有凌驾1500个可用于攻击浏览器、Android、Microsoft、Linux和Solaris操作系统的漏洞，以及实用于任何平台的其他漏洞
  
• 2.1.4. 是一个可以在网络杀伤链的所有阶段使用的工具
  
• 2.1.5. 该框架还用于渗出测试，以确保构造受到保护，不受攻击者常用的渗出技术的影响
  
• 2.1.6. 该框架将告诉用户可以使用的漏洞数量和有用负载数量
  
  
  
  • 2.1.6.1. 用户必须根据目标或目标网络上要扫描的内容来搜索要利用的漏洞
    
  • 2.1.6.2. 当一个人选择一个漏洞时，他会得到可以在该漏洞下使用的有用负载
    
  
  

2.2. Twint

• 2.2.1. 网络攻击的一个普遍趋势是，黑客越来越关注使用社会工程的网络钓鱼攻击
  
• 2.2.2. 侦察目标是黑客感兴趣的构造中关键工作职员的在线档案
  
• 2.2.3. 目的是让这项使命变得更简单，它允许人们从经过验证的个人资料、电子邮件地址和特定地理位置等内容中抓取某个人发布的包含特定短语的推文
  
• 2.2.4. 开源的，只能在Linux平台上运行
  

2.3. Nikto

• 2.3.1. 在侦察阶段，威胁行为者会尽可能地探求可利用的弱点，甚至是在构造的网站中
  
• 2.3.2. Nikto是一个基于Linux的网站漏洞扫描程序，黑客使用它来辨认构造网站中可利用的漏洞
  
• 2.3.3. 使用该工具能够扫描Web服务器，可查找6800多个常见漏洞
  
• 2.3.4. 可以扫描250多个平台上未打补丁的服务器版本，还可以检查Web服务器中的文件设置是否有错误
  
• 2.3.5. Nikto并不善于掩饰其踪迹，因此几乎总是被入侵检测和防御系统发现
  

2.4. Kismet

• 2.4.1. 是一款无线网络嗅探和入侵检测系统
  
• 2.4.2. 通常会嗅探802.11的第2层流量，此中包罗802.11b、802.11a和802.11g
  
• 2.4.3. 可与运行该工具的机器上的任何可用无线网卡共同使用，以便举行嗅探
  
• 2.4.4. 如果它检测到Wi-Fi网络是安全的，那么它将检测所使用的加密是否脆弱
  

2.5. Sparta

• 2.5.1. 是一个新的网络利用工具，现在预装在Kali Linux中
  
• 2.5.2. 该工具整合了通常提供碎片化服务的其他Web渗出工具的功能
  
• 2.5.3. 黑客使用Nmap举行网络扫描，然后使用其他工具举行攻击，因为Nmap不是为执行攻击而设计的
  
• 2.5.4. Sparta可以通过扫描网络并辨认其上运行的主机和服务来举行侦察，然后对主机和服务自己举行攻击
  
• 2.5.5. Sparta可以用在杀伤链的多个阶段
  
  
  
  • 2.5.5.1. 当有人已经连接到攻击者希望攻击的网络时，该工具就会起作用
    
  
  

2.6. John the Ripper

• 2.6.1. 是可以在Linux和Windows操作系统上应用的功能强盛的暗码破解工具，被黑客用来执行字典攻击
  
• 2.6.2. 该工具用于从台式机或基于Web的系统和应用程序的加密数据库中检索实际的用户暗码
  
• 2.6.3. John the Ripper的工作原理是对常用的暗码举行采样，然后用特定系统所使用的相同算法和密钥举行加密
  
• 2.6.4. 它将其结果与数据库中存储的暗码举行比较，检察是否有匹配的结果
  
• 2.6.5. 它标识暗码的加密类型，可以是RC4、SHA或MD5，以及其他常见加密算法，它还会检察加密是否盐
  
  
  
  • 2.6.5.1. 盐化表示加密过程中添加了额外的字符，使黑客更难恢复原始暗码
    
  
  
• 2.6.6. 它实验通过将散列暗码与其数据库中存储的许多其他散列举行比较来检索原始暗码
  

2.7. Hydra

• 2.7.1. 它在线运行，而John the Ripper离线使用
  
• 2.7.2. Hydra可用于Windows、Linux和Mac OSX
  
• 2.7.3. 该工具常用于快速的网络登录黑客攻击
  
• 2.7.4. 使用字典攻击和暴力破解两种方式来攻击登录页面
  
  
  
  • 2.7.4.1. 攻击者向Hydra提供目标在线系统的登录页面，然后Hydra实验用户名和暗码字段的所有可能组合，并离线存储其组合，这使得匹配过程更快
    
  
  
• 2.7.5. Hydra已被发现对数据库、LDAP、SMB、VNC和SSH有用
  

2.8. Aircrack-ng

• 2.8.1. Aircrack-ng是一套用于无线攻击的危险工具族，已成为当今网络空间的传奇
  
• 2.8.2. 既实用于Linux操作系统，也实用于Windows操作系统
  
• 2.8.3. Aircrack-ng会先依赖于其他工具获取有关其目标的一些信息
  
  
  
  • 2.8.3.1. Airdump-ng是执行此操作的常用工具，但其他工具（如Kismet）是可靠的替代工具
    
  • 2.8.3.2. Airdump-ng检测无线接入点和连接到它们的客户端，该信息被Aircrack-ng用来入侵接入点
    
  
  
• 2.8.4. Aircrack-ng用于恢复安全Wi-Fi网络的密钥，条件是它在其监控模式下捕获特定阈值的数据包
  
  
  
  • 2.8.4.1. 该工具正被专注于无线网络的白帽公司采用
    
  • 2.8.4.2. 该套件包罗FMS、Korek和PTW等类攻击，这使得它的本领令人难以置信
    

    2.8.4.2.1. FMS攻击用于攻击已使用RC4加密的密钥
    

    2.8.4.2.2. KoreK用于攻击使用Wi-Fi加密暗码(WEP)保护的Wi-Fi网络
    

    2.8.4.2.3. PTW用于破解WEP和WPA（代表Wi-Fi Protected Access）安全防护的Wi-Fi网络
    

    
    
  
  

2.9. Airgeddon

• 2.9.1. 是一款Wi-Fi攻击工具，可以让黑客接入受暗码保护的Wi-Fi连接
  
• 2.9.2. 要求黑客获得可以监听网络的无线网卡，扫描适配器范围内的所有无线网络，并找出连接到这些网络的主机数量
  

2.10. Deauther Board

• 2.10.1. 一个非通例的攻击工具，因为它不但是一个软件，也是一个可以连接到任何计算机的即插即用板
  
• 2.10.2. 旨在通过取消身份验证来攻击Wi-Fi网络
  
  
  
  • 2.10.2.1. 取消身份验证攻击已被证实非常强盛，可以断开连接到无线接入点的所有装备
    
  
  
• 2.10.3. 具有在大范围内探求网络的本领
  
• 2.10.4. 黑客必须选择要在其上执行攻击的网络，并且Deauther Board将执行取消认证攻击
  

2.11. HoboCopy

• 2.11.1. 基于Windows的系统使用LM散列来存储暗码
  
• 2.11.2. 利用卷影复制服务(Volume Shadow Service)来创建计算机磁盘的快照，然后复制其内容
  

2.12. EvilOSX

• 2.12.1. 黑客危害Mac的为数不多的几种方法之一就是通过一个名为EvilOSX的工具获取远程访问权限
  
• 2.12.2. 使用此工具的唯一挑衅是，黑客应该具有访问受害者计算机的物理权限，或者通过社会工程手段说服目标在其系统上运行有用负载
  
• 2.12.3. 一次精心策划的攻击可能会对目标造成毁灭性的影响
  

3. TA 002执行战术

3.1. 命令和脚本解释器

• 3.1.1. 对手可能滥用命令和脚本解释器来执行命令、脚本或二进制文件，包罗PowerShell、AppleScript、UNIX和Windows Shell
  

3.2. 针对客户端执行的攻击

• 3.2.1. 对手可能会利用客户端应用程序中的软件漏洞来执行代码
  
• 3.2.2. 对手可以通过有针对性地利用某些漏洞来执行任意代码
  

3.3. 进程间通讯

• 3.3.1. 对手可能会滥用进程间通讯(Inter-Process Communication，IPC)机制来执行本地代码或命令
  

3.4. 原生API

• 3.4.1. 对手可以直接与原生操作系统应用编程接口(Application Programming Interface，API)交互来执行行为
  

3.5. 计划的使命/作业

• 3.5.1. 对手可能滥用使命调度功能来促进恶意代码的初始或重复执行
  

3.6. 共享模块

• 3.6.1. 对手可能滥用共享模块来执行恶意负载
  

3.7. 软件部署工具

• 3.7.1. 对手可以访问并使用安装在企业网络中的第三方软件套件，如管理、监控和部署系统，从而在网络中横向移动
  

3.8. 系统服务

• 3.8.1. 对手可能会滥用系统服务或守护程序来执行命令或程序
  

3.9. 用户执行

• 3.9.1. 对手可能依靠用户的特定动作来获得执行
  
• 3.9.2. 用户可能会受到社会工程的影响
  

3.10. Windows管理规范

• 3.10.1. 对手可能会滥用Windows管理工具(Windows Management Instrumentation，WMI)来实现执行
  

4. 使用Comodo AEP

4.1. Comodo AEP的Dragon Platform就是这样一种工具，它汇集了一种可以在杀伤链的每个阶段阻止黑客的方法
4.2. Comodo有一个默认的拒绝技术，当攻击发生时，它对阻止攻击特别有用，因为它可以防止未知文件创建网络通讯的套接字

• 4.2.1. 只有在文件判断系统确定文件是安全的之后，才允许它创建套接字并与网络通讯
  
• 4.2.2. 这消除了对解码协议、辨认非尺度端口使用和协议隧道的需要，因为文件在确认它们绝对安全之前无法通讯
  

4.3. Comodo使用了一个略有不同的杀伤链版本，只有三个步调：准备、入侵和主动粉碎
4.4. 准备阶段

• 4.4.1. Comodo已经将杀伤链的侦察阶段映射到MITRE攻击准备阶段
  
• 4.4.2. 在此阶段，威胁行为者的行动大多是被动的
  

4.5. 入侵阶段

• 4.5.1. 杀伤链的投送阶段是Comodo重要与MITRE ATT&CK分类法举行交互的阶段
  
• 4.5.2. 技术
  
  
  
  • 4.5.2.1. 粉碎驱动
    
  • 4.5.2.2. 利用面向公众的应用程序
    
  • 4.5.2.3. 外部远程服务
    
  • 4.5.2.4. 硬件添加
    
  • 4.5.2.5. 网络钓鱼
    
  • 4.5.2.6. 通过可移动介质复制
    
  • 4.5.2.7. 供应链粉碎
    
  • 4.5.2.8. 信任关系
    
  • 4.5.2.9. 有用账户
    
  
  
• 4.5.3. 杀伤链的利用阶段重要包罗“TA 002执行战术”​。
  

4.6. 杀伤链的安装阶段重要是攻击者使用MITRE ATT&CK持久化战术

• 4.6.1. 用于持久化的技术包罗任何访问、操作或设置更改，这些更改使它们能够在系统里站稳脚跟
  

4.7. 可以使用基于网络的过滤器，包罗内嵌AV、代理过滤器或DNS过滤器
4.8. 主动粉碎阶段

• 4.8.1. 杀伤链的最后两步，指挥控制以及针对目标行动，被认为是主动粉碎
  
• 4.8.2. 技术
  
  
  
  • 4.8.2.1. 应用层协议
    
  • 4.8.2.2. 通过可移动介质举行通讯
    
  • 4.8.2.3. 数据编码
    
  • 4.8.2.4. 数据混淆
    
  • 4.8.2.5. 动态分解(Dynamic Resolution)
    
  • 4.8.2.6. 加密信道
    
  • 4.8.2.7. 回退信道
    
  • 4.8.2.8. 入口工具传输
    
  • 4.8.2.9. 多级信道
    
  • 4.8.2.10. 非应用层协议
    
  • 4.8.2.11. 非尺度端口
    
  • 4.8.2.12. 协议隧道
    
  • 4.8.2.13. 代理
    
  • 4.8.2.14. 远程访问软件
    
  • 4.8.2.15. 流量信令
    
  • 4.8.2.16. 网络服务
    
  
  
• 4.8.3. 针对指挥控制的通例防御基于网络入侵防御技术，如NIDS、NIPS、UTM、DNS过滤等
  
• 4.8.4. 所有这些技术都依赖于入侵检测签名或基于行为的签名来阻止网络边界的流量
  

4.9. Comodo AEP特别有用的地方，因为它只是防止未知文件创建网络通讯的套接字，这大大简化了这个过程

• 4.9.1. Comodo对于防御网络杀伤链中各类APT攻击特别有用
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。