读红蓝攻防：技能与策略07网络杀伤链步骤

1. 网络杀伤链

1.1. 最先辈的网络攻击能够在目标网络内部入侵，在造成损害或被发现之前会潜伏很长一段时间
1.2. 当今攻击者的一个特征：他们有一种能力，可以在时机成熟之前保持攻击行为不被发现

• 1.2.1. 意味着他们的行动是在有构造、有筹划地举行
  

1.3. 为了加强安全态势，你需要确保从掩护和检测的角度覆盖网络杀伤链的全部阶段

• 1.3.1. 唯一的方法是确保你了解每个阶段的工作原理、攻击者的头脑，以及在每个阶段所付出的代价
  

1.4. 杀伤链源于洛克希德·马丁公司，衍生自一种军事模型，该模型通过预测目标的攻击、从战略上与它们交战并摧毁它们来有用地压制目标
2. 步骤

2.1. 包括对手从攻击到系统被利用的步骤

• 2.1.1. 侦察
  
• 2.1.2. 武器化
  
• 2.1.3. 投送
  
• 2.1.4. 利用
  
• 2.1.5. 安装
  
• 2.1.6. 指挥控制
  
• 2.1.7. 针对目标行动
  
• 2.1.8. 混淆
  

2.2. 构造利用该模型来更好地了解威胁行为者，以便可以在不同阶段跟踪和防止网络入侵
2.3. 这项工作在对付恶意软件、黑客攻击和高级长期威胁(Advanced Persistent Threat，APT)方面取得了不同程度的乐成
2.4. 作为一名防御战略专家，你的目标是理解攻击者的行动，当然另有情报
3. 侦察

3.1. 杀伤链的第一步，黑客收集尽可能多的目标信息，以识别全部易受攻击的弱点
3.2. 重要领域

• 3.2.1. 网络信息：关于网络类型、安全漏洞、域名和共享文件等的详细信息
  
• 3.2.2. 主机信息：关于连接到网络的装备的详细信息，包括它们的IP地点、MAC地点、操作系统、开放端口和正在运行的服务等
  
• 3.2.3. 安全基础办法：关于安全策略、接纳的安全机制以及安全工具和策略中弱点的详细信息等
  
• 3.2.4. 用户信息：关于用户或他们的家人、宠物、社交媒体账户、出没地点和爱好等私家书息
  

3.3. 子阶段

• 3.3.1. 踩点
  
  
  
  • 3.3.1.1. 踩点是杀伤链侦察阶段的关键步骤，尽可能在这一阶段多花时间
    
  • 3.3.1.2. 需要收集关于目标系统的数据，然后可以利用这些数据来攻击目标系统
    
  • 3.3.1.3.  asmiServer配置
    
  • 3.3.1.4. IP地点
    
  • 3.3.1.5. VPN
    
  • 3.3.1.6. URL
    
  
  
• 3.3.2. 枚举
  
  
  
  • 3.3.2.1. 举用于提取详细信息，如客户端名称、机器名称、网络资产和目标系统中利用的不同管理员账户
    
  • 3.3.2.2. 使黑客能够识别并区分构造资产中的各种弱点
    
  • 3.3.2.3. 有助于识别信息，如构造用来掩护其信息资产的安全类型
    
  • 3.3.2.4. 重点是找到构造接纳的脆弱的安全实践，这些实践以后可能会被加以利用
    
  
  
• 3.3.3. 扫描
  
  
  
  • 3.3.3.1. 是攻击者（以及复现杀伤链的道德黑客）在侦察阶段最常用的方法
    
  • 3.3.3.2. 用于识别目标系统中可能被利用或误用的服务
    
  • 3.3.3.3. 扫描过程有助于揭示详细信息
    
  • 3.3.3.4. 紧张细节
    

    3.3.3.4.1. 由系统执行的服务
    

    3.3.3.4.2. 在系统中拥有各种管理的客户端
    

    3.3.3.4.3. 系统中是否有匿名登录行为
    

    3.3.3.4.4. 构造的验证要求
    

    
    
  • 3.3.3.5. 类型
    

    3.3.3.5.1. 端口扫描
    

    3.3.3.5.1.1. 有助于揭示有关系统的信息
    

    3.3.3.5.1.2. 实时端口、开放端口、实时框架以及系统中利用的不同管理
    

    3.3.3.5.2. 网络扫描
    

    3.3.3.5.2.1. 旨在揭示系统利用的网络的详细信息
    

    3.3.3.5.2.2. 收集的信息包括网络互换机、路由器、网络拓扑结构和利用中的网络防火墙（如果利用了防火墙)
    

    3.3.3.5.2.3. 访问的数据可用于绘制构造图
    

    3.3.3.5.3. 漏洞扫描
    

    3.3.3.5.3.1. 有助于道德黑客或攻击者确定目标系统的缺点，然后他们可以利用这些缺点来攻陷系统
    

    3.3.3.5.3.2. 通常利用自动化软件来完成
    

    
    
  
  

3.4. 踩点、枚举和扫描完成后，威胁行为者就可以从侦察阶段进入杀伤链的下一阶段
4. 武器化

4.1. 在攻击者举行侦察并发现目标的弱点后，他们会更好地判断哪种武器最适合他们的特定目标
4.2. 武器化阶段是指制造或利用工具来攻击受害者的阶段
4.3. 根据目标和攻击者的意图，威胁行为者选择的武器可能会有很大不同
4.4. 武器化阶段可以包括任何内容，从编写专注于利用特定零日漏洞的恶意软件到利用构造内的多个漏洞
5. 投送

5.1. 投送就是把武器交付给受害者
5.2. 为了能够访问受害者的系统，攻击者通常会向其内容中注入“恶意软件”以获得访问权限，然后恶意内容会以不同的方式（例如网络钓鱼）​“投送”给受害者，粉碎系统，甚至利用内部职员
6. 利用

6.1. 武器化阶段创建的恶意软件发起网络攻击的阶段
6.2. 恶意软件将在受害者的系统上激活以利用目标的漏洞
6.3. 重要攻击开始的阶段

• 6.3.1. 一旦攻击达到这个阶段，就被以为是乐成的
  

6.4. 攻击者通常可以在受害者的网络中自由移动，访问其全部系统和敏感数据
6.5. 攻击者将开始从构造中提取敏感数据

• 6.5.1. 包括商业机密、用户名、密码、个人身份数据、绝密文件和其他类型的数据
  

6.6. 威胁行为者还经常在利用阶段举行权限提升，以进一步扩大这一阶段的影响

• 6.6.1. 在最初的入侵过程中，黑客只能利用分配给目标的管理员权限直接访问计算机或系统
  
• 6.6.2. 他们通常会利用各种权限提升技能来获得管理权限，并从同一构造中提取出更多数据
  
• 6.6.3. 在利用阶段，黑客可能会尝试提升权限
  

6.7. 垂直权限提升

• 6.7.1. 从较低的权限点开始攻击，然后逐步提升权限，直至达到其目标的特权用户或历程的级别
  
• 6.7.2. 用户必须执行一些内核级操作来提升其访问权限
  
• 6.7.3. 一旦操作完成，攻击者就拥有访问权限和特权，可以运行任何未经授权的代码
  
• 6.7.4. 利用此方法获得的权限是拥有比管理员权限更高的超级用户权限
  
  
  
  • 6.7.4.1. 攻击者可以执行即使是管理员也无法克制的各种有害操作
    
  • 6.7.4.2. 永恒之蓝允许恶意软件提升其权限，并在Windows计算机上运行恣意代码
    
  
  

6.8. 水平权限提升

• 6.8.1. 水平权限提升更简朴，因为它允许用户利用从初始访问中获得的相同权限
  
• 6.8.2. 当攻击者能够利用普通用户账户访问受掩护的资源时，也会发生水平权限提升
  
• 6.8.3. 通过窃取会话和Cookie、跨站脚本、猜测弱密码和记载击键实现的
  
• 6.8.4. 在这一阶段结束时，攻击者通常已经建立了进入目标系统的远程访问入口点
  

6.9. 攻击者有时不仅仅是泄露数据

• 6.9.1. 可以删除或修改存储在被入侵的计算机、系统和服务器中的文件
  

6.10. 乐成达到这一阶段的黑客现实上已经控制了局面，受害者可能还不知道数据已经被盗

• 6.10.1. 黑客可能会决定暂时保持缄默沉静
  

7. 安装

7.1. 在安装过程中，攻击者在网络中自由漫游，复制他们以为有价值的全部数据，同时确保不被检测到
7.2. 当数据已经被窃取并可以公开或出售时，可以选择在前一阶段结束攻击
7.3. 攻击者安装了一个后门步伐，让他们可以随时访问受害者的计算机和系统
7.4. 重要目的是争取时间举行另一次比利用阶段更有害的攻击
7.5. 攻击者的动机是超越数据和软件，攻击构造的硬件

• 7.5.1. 受害者的安全工具在检测或克制攻击方面是全然无效的
  

7.6. 攻击者通常有多个通往受害者的访问点，因此即使关闭了一个访问点，其访问也不会受到影响
8. 指挥控制

8.1. 建立在安装阶段建立的后门之上
8.2. 在指挥控制阶段，攻击者利用厥后门进入系统，远程操纵目标
8.3. 威胁行为者会不绝等到受害者离开他们的计算机，然后接纳行动举行攻击
9. 针对目标行动

9.1. 针对目标行动是网络攻击中最令人恐惧的阶段
9.2. 这是攻击者造成的粉碎超出数据和软件的地方

• 9.2.1. 攻击者可能会永久禁用或改变受害者硬件的功能
  
• 9.2.2. 攻击者专注于粉碎受损系统和计算装备控制的硬件
  

9.3. 针对伊朗核电站的Stuxnet攻击

• 9.3.1. 第一个记载在案的用于粉碎物理资源的数字武器
  
• 9.3.2. Stuxnet遵循之前解释的阶段，并在该办法的网络中驻留了一年
  
• 9.3.3. 最初，Stuxnet被用于操纵核办法中的阀门，导致压力增加并破坏工厂中的一些装备
  
• 9.3.4. 然后，恶意软件被修改成攻击更大的目标—离心机
  
  
  
  • 9.3.4.1. 因为没有连接到互联网，所以恶意软件是通过USB驱动器流传到目标计算机的
    
  • 9.3.4.2. 一旦它感染了其中一台目标计算机，恶意软件就会自我复制并流传到其他计算机
    
  • 9.3.4.3. 恶意软件进入下一阶段，感染了西门子公司一款名为Step7的软件，该软件用于控制逻辑控制器的编程
    
  • 9.3.4.4. 一旦该软件被入侵，恶意软件最终将获得对步伐逻辑控制器的访问权
    
  • 9.3.4.5. 这使得攻击者能够直接操作核电站中的各种机器
    

    9.3.4.5.1. 攻击者使高速旋转的离心机失控地旋转，并自行开裂
    

    
    
  
  

9.4. 针对目标行动包括全部旨在损害网络、系统和数据的机密性、完整性和可用性的活动
9.5. 在针对目标行动阶段可能实行的一种攻击是数据渗出

• 9.5.1. 电子邮件外发
  
  
  
  • 9.5.1.1. 黑客用于渗出数据的便捷方法之一，只需通过电子邮件用互联网将其发送即可
    
  • 9.5.1.2. 可以快速登录受害者机器上的一次性电子邮件账户，并将数据发送到另一个一次性账户
    
  
  
• 9.5.2. 下载
  
  
  
  • 9.5.2.1. 当受害者的计算机被远程连接到黑客的计算机时，黑客可以将数据直接下载到本地装备上
    
  
  
• 9.5.3. 外部驱动器
  
  
  
  • 9.5.3.1. 当黑客对受损系统有物理访问权限时，他们可以将数据直接渗出到外部驱动器
    
  
  
• 9.5.4. 云渗出
  
  
  
  • 9.5.4.1. 如果黑客获得了用户或构造的云存储空间的访问权限，云中的数据就可以通过下载被渗出
    
  • 9.5.4.2. 云存储空间也可以用于渗出目的
    

    9.5.4.2.1. 大多数构造不会克制对云存储空间的访问
    

    9.5.4.2.2. 黑客可以用它们上传数据，然后将其下载到本地装备
    

    
    
  
  
• 9.5.5. 恶意软件
  
  
  
  • 9.5.5.1. 黑客在受害者的计算机中植入恶意软件，专门用来发送受害者计算机中的数据
    
  • 9.5.5.2. 包括击键日志、欣赏器中存储的密码和欣赏器历史记载
    
  
  

9.6. 数据可以卖给有意愿的买家，也可以泄露给公众
10. 混淆

10.1. 攻击的最后阶段，一些攻击者可能会选择忽略这一点
10.2. 重要目的是让攻击者出于各种原因掩盖他们的踪迹

• 10.2.1. 如果攻击者不想让人知道，他们就会利用各种技能来混淆、克制或转移网络攻击后的取证调查过程
  
• 10.2.2. 如果一些攻击者匿名操作或想要吹嘘自己的功绩，可能会选择不加粉饰地留下他们的踪迹
  

10.3. 攻击者克制他们的对手追上他们的方法之一是混淆他们的攻击来

• 10.3.1. 另一种是在事后隐藏他们的踪迹
  

10.4. 常用的技能

• 10.4.1. 加密
  
  
  
  • 10.4.1.1. 为了锁定全部与网络入侵相关的证据，黑客可能会选择加密他们访问的全部系统
    
  • 10.4.1.2. 现实上使得任何数据（如元数据）对于取证调查职员来说都是不可读的
    
  • 10.4.1.3. 受害者更难识别黑客在粉碎系统后执行的恶意操作
    
  
  
• 10.4.2. 隐写术
  
  
  
  • 10.4.2.1. 在一些事件中，黑客是受害者构造的内部威胁
    
  • 10.4.2.2. 在将敏感数据发送到网络之外时，他们可能会选择利用隐写术，以克制在数据渗出时被发现
    
  • 10.4.2.3. 这是将秘密信息隐藏在诸如图像这类非秘密数据中的方式
    
  • 10.4.2.4. 图像可以自由地发送到构造内部和外部，因为它们看起来无关紧要
    
  • 10.4.2.5. 黑客可以通过隐写术发送大量敏感信息，而不会引发任何告警，也不会被抓到
    
  
  
• 10.4.3. 窜改日志
  
  
  
  • 10.4.3.1. 攻击者可以选择通过修改系统访问日志以显示没有捕获可疑访问事件来擦除其在系统中的存在
    
  
  
• 10.4.4. 隧道
  
  
  
  • 10.4.4.1. 黑客在这里创建一条安全隧道，通过该隧道将数据从受害者的网络发送到另一个位置
    
  • 10.4.4.2. 隧道确保全部数据都是端到端加密的，而且无法在传输过程中读取
    
  • 10.4.4.3. 除非构造设置了加密连接监控，否则数据将通过防火墙等安全工具
    
  
  
• 10.4.5. 洋葱路由
  
  
  
  • 10.4.5.1. 黑客可以通过洋葱路由秘密渗出数据或相互通信
    
  • 10.4.5.2. 洋葱路由涉及多层加密，数据从一个节点跳转到另一个节点，直到到达目的地
    
  • 10.4.5.3. 调查职员很难通过如许的连接追踪数据踪迹，因为他们需要突破每一层加密
    
  
  
• 10.4.6.  擦除硬盘
  
  
  
  • 10.4.6.1. 销毁证据
    
  • 10.4.6.2. 黑客可以擦除他们入侵的系统的硬盘，使受害者无法辨别黑客的恶意活动
    
  • 10.4.6.3. 擦除不是通过简朴地删除数据来完成的
    
  • 10.4.6.4. 由于硬盘内容可以恢复，黑客会多次覆盖数据并清除磁盘内容
    
  • 10.4.6.5. 将使硬盘的内容难以恢复
    
  
  

10.5. 攻击的源头将被追踪到不定期执行更新的无辜小企业的服务器
10.6. 另一种来源混淆技能是利用公立学校的服务器

• 10.6.1. 黑客多次利用这种技能，他们侵入公立学校易受攻击的网络应用步伐，并横向侵入学校的网络，在服务器上安装后门和Rootkit病毒
  
• 10.6.2. 然后这些服务器被用来对更大的目标发动攻击，因为取证调查将确定公立学校是攻击的源头
  

10.7. 社交俱乐部也被用来掩盖黑客攻击的来源

• 10.7.1. 社交俱乐部为会员提供免费Wi-Fi，但并不总是受到高度掩护
  
• 10.7.2. 这为黑客提供了感染装备的抱负场所，之后黑客可以在全部者不知情的情况下利用这些装备执行攻击
  

10.8. 黑客通常利用的另一种混淆技能是剥离元数据

• 10.8.1. 在他们的黑客活动中留下任何元数据都是不负责任的，因为这可能会让他们垮台
  

10.9. 黑客利用动态代码混淆来掩盖他们的踪迹也是很常见的

• 10.9.1. 包括生成不同的恶意代码来攻击目标，可以克制基于签名的防病毒和防火墙步伐的检测
  
• 10.9.2. 可以利用随机化函数或通过改变一些函数参数来生成代码段
  
• 10.9.3. 任何基于签名的安全工具都难以掩护系统免受恶意代码的攻击
  
  
  
  • 10.9.3.1. 这也使得取证调查职员很难识别出攻击者，因为大多数黑客攻击都是通过随机代码完成的
    
  
  
• 10.9.4. 黑客会利用动态代码生成器在原始代码中添加无意义的代码
  
  
  
  • 10.9.4.1. 这使得黑客攻击在调查职员看来非常复杂，并耽误了他们分析恶意代码的进度
    
  • 10.9.4.2. 几行代码可能会变成数千或数百万行无意义的代码
    
  • 10.9.4.3. 能会阻碍取证调查职员更深入地分析代码以识别一些独特的元素，或者寻找指向原始编码器的线索
    
  
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。