《防患未然:实施情报先导的信息安全方法与实践》——3.3 攻击剖析
本节书摘来自华章计算机《防患未然:实施情报先导的信息安全方法与实践》一书中的第3章,第3.3节,作者:[美] 艾伦利斯卡(Allan Liska) 更多章节内容可以访问云栖社区“华章计算机”公众号查看。
3.3 攻击剖析
为了开发更好的情报技术以应对网络攻击,首先理解攻击的工作方式、区分不同类型的工具是很重要的。本章和全书中概述的方法不是用于应对一次性攻击或者撒下大网而在幕后没有真正想法的普遍性攻击的。今天的大部分安全团队所拥有的工具都可以非常高效地应对这些攻击,因为这种攻击使用商品化的恶意软件,采用大批次攻击而没有任何针对性的概念。
围绕使用情报检测和预防网络攻击,我们专门讨论有计划、有针对性的攻击。前面我们已经介绍过,安全公司在2013年发现针对性攻击显著增加。Symantec曾经报告,每5.2家小型企业和每2.3家大型企业中就有一家遭到过针对性攻击。整个业界都估计针对性攻击的数量将会继续增长。针对性攻击现在已经超出了高级持续性威胁(APT)的范畴,实际上,由于地下市场持续扩张,越来越多的网络犯罪分子正在改善自身的技术,区分针对性攻击和APT变得越来越困难。当然,攻击是APT还是普通的针对性攻击无关紧要,重要的是阻止这些攻击。为此,安全团队必须像攻击者一样思考,理解入侵过程。
洛克希德-马丁公司为美国国防部开发了图3-1所示的攻击链模型(Hutchins等人,日期不详)。典型的针对性攻击分为7个部分,每一个部分都比前一部分更加接近于网络访问权的获得。
任何针对性攻击的第一步都是侦察。5年以前,目标网络的侦察包括扫描公开的IP地址,寻找脆弱系统。现在,仍然有一些人这么做,但是这对于行动的成功已经不像以前那么重要了。相反,现代化的侦察包括扫描社会化媒体账户、搜刮LinkedIn信息、观察会议网站,甚至只是例行地在Google搜索“@目标域名.com”。
实际上,大部分侦察行动可以在不接触目标组织网络的情况下进行。通过搜索引擎、挖掘邮件列表存档和使用美国网络地址注册管理组织(ARIN)或者当地同类机构网站上的网络工具,就可以得到宝贵的信息。如果有必要真正地扫描目标网络,通过一台被入侵主机或者通过预付费(或者盗窃的)信用卡租赁的主机基础设施重定向这类活动也很容易。这并不重要,各大组织每天都被成百上千个IP地址扫描,很少发现组织会保留这些信息。
一旦行动的侦察阶段完成,下一阶段就是武器研制。在这一阶段,攻击者结合远程访问工具(RAT)和利用,确定交付方法。在大部分情况下,交付通过电子邮件进行,利用通过某个网站或者被侵入的文档进行。使用网站时,这个网站可能是攻击者专门为此次行动建立的(不过,如果获得成功,网站可能会被重用)或者指向攻击者已经入侵的某个合法网站的链接——网站上往往会引入一个武器化的横幅广告。
攻击的第三步是使用所选的交付方法,交付武器化的工具。这是电子邮件攻击的发动、社会化媒体活动的开始或者在作为“水坑”的被入侵网站上激活武器化的工具。攻击战役中的交付部分可能花费几天到几周的时间。在此期间,攻击者持续调整和改进交付方法,以提高成功率。这听起来很类似市场部门进行的讨论,没错,就是如此。正如市场团队对成功和失败的评估,攻击者在行动中也会这样做。他们将尝试不同的邮件信息,跟踪已阅读、未阅读的信息,并做出调整以改善命中率。
攻击链中的下一步是真正的利用攻击,工具已经交付且目标点击了链接,打开U盘中的文件或者插件且利用了目标系统中的某个漏洞。利用攻击的目标可能是系统上的某个应用程序(如Adobe Acrobat或者Internet Explorer),也可能是对操作系统本身的利用攻击,还有可能是对目标本身的利用攻击。许多有效的攻击活动依赖于简单地在目标屏幕上弹出“为了观看这个视频,必须下载一个新的驱动程序”或者类似的信息。另一种常见的目标欺骗手段是,攻击者伪装成网络管理员,告诉目标必须建立与其机器的远程会话,对于愿意配合的目标,攻击者的工作就简单得多了。
大部分攻击者使用两阶段的体制。利用攻击包含一个加载程序,这是一个非常小、驻留内存的应用程序,用于下载和安装真正的RAT。加载程序驻留在内存是因为它们不太容易被防病毒软件等传统安全工具发现,而且加载程序可能发起一次快速的系统扫描,确定将在系统上安装哪一个RAT。
安装是攻击链中的第5个阶段。每个攻击者有两三种惯用的工具,用于获得网络的远程访问权限。大部分RAT不仅仅与外界通信;它们可以扩展,攻击者可以安装按键记录程序、屏幕捕捉程序、网络扫描程序或者其他需要的应用。每次行动对RAT的使用都是独立的,这并不意味着两次行动中不会使用相同的RAT,而是攻击者将在行动之间重新编译RAT(有时候甚至在同一次行动之中),使它在防病毒工具眼中显得不同。RAT执行的功能相同,但是防病毒工具不知道它们是相同的程序。
攻击链中的下一步是命令和控制(C&C)。安装好的RAT试图联系攻击者的基础设施,获得受害机器的命令行访问权限。RAT休眠时通常有一个等待期,然后联系外界的某个IP地址、域名或者URL。RAT和C&C主机之间最常用的通信端口是80(HTTP),但是443端口(HTTPS)越来越常用。攻击者使用容易被拦截的6666和6667(IRC)或者21(FTP)端口的日子已经一去不复返;HTTP流量在网络中很普遍,将C&C协议流量与其他使用HTTP的流量融为一体很容易。
一旦攻击者获得访问权,他们必定调查系统和内部网络,寻找较脆弱的主机以传播攻击。这样做有时是故意的,最初的进入点可能不是攻击者特别感兴趣的,所以攻击者用它获得网络中的立足点,入侵其他机器并从原始机器中删除自己的痕迹。这样,即使以后发现了入侵行为,原始的入口点和访问手段也可以瞒过安全团队,在必要时可以再次成功地使用。这是攻击链中渗漏步骤的一部分。到这个阶段,攻击者将进行网络发现,研究机器和网络其他部分上的文件,捕捉帮助他们达到目的的任何信息。
这凸显了近几年来攻击形势的另一个重大变化:正如情报组织的客户们提出收集请求并接受完成的情报那样,攻击者也是如此,实际上,这些攻击者可能是私人或者国家资助的情报组织的成员,他们正在履行领导人的要求。高级攻击者往往使用和目标组织相同的情报循环。这意味着,在许多方面上,攻击者比他们所针对的组织更老练。
相关文章:
c#.net常用函数和方法集
1、DateTime 数字型 System.DateTime currentTime new System.DateTime(); 1.1 取当前年月日时分秒 currentTimeSystem.DateTime.Now; 1.2 取当前年 int 年currentTime.Year; 1.3 取当前月 int 月currentTime.Month; 1.4 取当前日 int 日currentTime.Day; 1.5 取当…
员工培训:如何制定以数据为依据的业务决策
作者 | Kamy Anderson翻译| Katie,责编 | 晋兆雨出品 | AI科技大本营头图 | 付费下载于视觉中国普华永道的研究表明,高度数据驱动的组织在决策方面取得显着改善的可能性要高三倍。不幸的是,高达62%的高管仍然更多地依赖经验和直觉…
IoC容器Autofac(1) -- 什么是IoC以及理解为什么要使用Ioc
阅读目录: 一. 一个没有使用IoC的例子 二. 当需求发生变动时,非IoC遭遇到的困境 三. 使用IoC彻底解决问题 四. 总结 一、一个没有使用IoC的例子 IoC的全称是Inversion of Control,中文叫控制反转。要理解控制反转,可以看看非控制反转的一个例…
【直播预告】7月18日3D游戏引擎免费公开课答疑,參与送C币!
喜讯喜讯!为了酬谢广大学员。CSDN学院特推出iOS和3D游戏引擎开发免费技术答疑公开课,让您度过一个充实的暑假~ 參与本次公开课,即有机会获得50C币! 答疑公开课时间:7月18日 晚7:30-9:30 答疑主题:姜雪伟3D…
Linux0.11内核引导启动过程概述
Linux0.11仅支持x86架构。它的内核引导启动程序在文件夹boot内,共有三个汇编代码文件。按照启动流程依次是: (1)bootsect.s。boot是启动引导的意思,sect即sector,是扇区的意思,二者合在一起启动…
用Python分析5000+抖音大V,粉丝最喜欢的视频类型是它
作者 | 小F来源 | 法纳斯特头图 | CSDN下载自视觉中国最近,小F在知乎上看到一个关于抖音的问题。里面提到了,目前我国人均每天刷短视频110分钟。看这数据,看来小F又被平均了。不过老实说,只要一打开抖音,小F确实是有一…
JSTL 读取数组 和 字符串连接
2019独角兽企业重金招聘Python工程师标准>>> JSTL读取数组: 从后台取得一个字符串,如:AA-50-3,通过-划分成字符串数组。然后读取每个字符串。 <c:set var"cle" value"${fn:split(AA-50-3,-)}"…
《Photoshop Lab修色圣典(修订版)》—第1课1.7节言归正传
本节书摘来自异步社区《Photoshop Lab修色圣典(修订版)》一书中的第1课1.7节言归正传,作者【美】Dan Margulis,更多章节内容可以访问云栖社区“异步社区”公众号查看。 1.7 言归正传Photoshop Lab修色圣典(修订版)上面的讨论说明,与其他方法相比&#x…
PHP获取当前时间差8小时的问题
<?php echo date("Y-m-d H:i:s"); //当前时间 ?> 这个方法获取的时间和标准时间差8小时;从php5.1.0开始,php.ini里加入了date.timezone这个选项,默认情况下是关闭的也就是显示的时间(无论用什么php命令…
四连通,和八连通的详解(MATLAB)
转至:http://www.cnblogs.com/xiaojidan/archive/2012/08/20/2647261.html 功能:标注二进制图像中已连接的部分。语法:L bwlabel(BW,n) [L,num] bwlabel(BW,n) 其中BW为输入图像;N可取值为4或8表示连接四连通或八连通区域;NUM为找到的连通…
梅花桩上练真功,腾讯公布机器人移动技术探索新突破
出品 | AI科技大本营11月20日,腾讯公布了其在移动机器人研究方面的新进展:四足移动机器人 Jamoca 和自平衡轮式移动机器人首次对外亮相。Jamoca 是国内首个能完成走梅花桩复杂挑战的四足机器人,自平衡轮式移动机器人的相关研究成果还入选了机…
《Redis入门指南(第2版)》一第2章 准备
本节书摘来异步社区《Redis入门指南(第2版)》一书中的第2章,作者: 李子骅 责编: 杨海玲,更多章节内容可以访问云栖社区“异步社区”公众号查看。 第2章 准备 Redis入门指南(第2版)“…
深度学习中的注意力机制(二)
作者 | 蘑菇先生 来源 | NewBeeNLP目前深度学习中热点之一就是注意力机制(Attention Mechanisms)。Attention源于人类视觉系统,当人类观察外界事物的时候,一般不会把事物当成一个整体去看,往往倾向于根据需要选择性的去…
DataGrid列操作
DataTable检测是否存在某个DataColumn 1.if (dt.Columns.Contains("aa") true){ //存在aa} 2.foreach(DataColumn mDCol in dt.Columns) { if(mDCol.ColumnName"aa") { //存在aa } } 怎么样移除DataGrid列private void OnDataBound(object send…
【★更新★】高性能 Windows Socket 服务端与客户端组件(HP-Socket v2.0.1 源代码及测试用例下载)...
HP-Socket 以前为某大型通信项目开发了一套通用 Windows Socket TCP 底层通信组件,组件代号为 HP-Socket。现在把 HP-Socket 的所有代码向大众公开,希望能对大家有所帮助;另外,为了让大家能更方便的学习 HP-Socket,因此…
【数据库优化专题】MySQL视图优化(一)
本期数据库优化专题分享,为大家带来的是DBA社群MySQL领域原创专家——李海翔所著的MySQL视图优化系列文章。以下是第一部分的内容,未完部分敬请关注后续更新。 专家简介 李海翔 网名:那海蓝蓝 DBA社群MySQL领域原创专家 从事数据库研发、数…
使用Repeater的Template
.NET FX提供了一个方法,就是使用Template来在程序运行时对Repeater的显示进行控制. 这里我就不多说了,可以去看MSDN中的相关资料.(嘿嘿,其实我也没搞多少 )..其实主要是private void lc_DataBinding(object sender, EventArgs e)函数,在DataSource中的数据进行Bind的时候,每Bin…
获取文件最后修改时间的VC代码
作者:朱金灿来源:http://blog.csdn.net/clever101很多时候我们需要知道系统是什么时候编译生成的。我想到的一个直接的思路的是获取exe文件的最后修改时间。下面的一段代码可以做到这一点:CWinApp* pApp AfxGetApp();std::string strAppName…
BAT新风向标:程序员有福利了!
人工智能已成为新时代的风向标,如果你是对人工智能感兴趣的互联网工作者、大学生、研究生并期望在 AI 方向发展,建议你一定要深入学习一下人工智能。因为,未来将是人工智能的时代!为什么会有这个判断呢?第一࿰…
《C++代码设计与重用》——1.2 重用的神话
本节书摘来自异步社区出版社《Imperfect C中文版》一书中的第1章,第1.2节,作者: 【美】Martin D.Carroll , Margaret A.Ellis,更多章节内容可以访问云栖社区“异步社区”公众号查看。 1.2 重用的神话 C代码设计与重用1.2 重用的神…
控件的呈现方法(Rendering)的内核
Asp.net中所有的控件都是从System.Web.UI.Control类,在control类中定义了三个与呈现有关的方法,分别是Render方法,RenderChildren方法和RenderControl方法.其中RenderControl方法是public的方法,先看看这三个方法的实现: Public void RenderControl(HtmlTextWriter writer) {//…
清华、北大教授同台激辩:脑科学是否真的能启发AI?
作者 | 高卫华出品 | AI科技大本营头图 | CSDN下载自视觉中国广义的智能科学是研究智能背后的科学,需要不断扩展科学研究范围,没有最后的疆域。但脑在几千年内的进化中都相对静止,因此脑科学是“自然科学最后的疆域”。脑科学是一个重要的研究…
CentOS 5 升级mysql5.1启动服务时报错
CentOS 5 升级mysql5.1启动服务时报错: [ERROR] Error message file /usr/share/mysql/english/errmsg.sys had only 481 error messages, but it should contain at least 641 error messages.解决方法是:1.mv /usr/share/mysql/english/errmsg.sys /us…
《JavaScript设计模式》——11.2 一切只因跨域
本节书摘来自异步社区《JavaScript设计模式》一书中的第11章,第11.2节,作者:张容铭著,更多章节内容可以访问云栖社区“异步社区”公众号查看 11.2 一切只因跨域 “哦,为什么会出现,什么是跨域?…
程序员:我不学Python了!!
总学不会Python的原因,归根结底只有一个——学习方法不对。 作为一个唯一将易用性与功能取得平衡的编程语言,无论是编程新手还是多年经验的BATJZ技术大牛,都无可否认如今Python对于一个程序员职业发展的重要性。 所以,你现在能在网…
Javascript Tip(1) 操作剪贴板
javascript可以轻松操作客户端剪贴板内容,不过只适用IE5以上浏览器 javascript可以使用window.clipboardData对象处理剪贴板内容 保存到剪贴板的方法 setData(param1, param2) param1 :数据类型 text 或 URL等. param2 :数据内容 从剪贴板读出数据的方法 getdata(p…
MySQL 自增ID
http://hi.baidu.com/517898291/item/9cac18066030cac6905718e0 http://jiangshuiy.iteye.com/blog/751060 Sina 转载: MySQL: Get next AUTO_INCREMENT value from/for table Note to self: To get the next auto_increment value from a table run this query: SE…
《算法基础:打开算法之门》一1.5 拓展阅读
本节书摘来自华章出版社《算法基础:打开算法之门》一书中的第1章,第1.5节,作者 [美]托马斯 H 科尔曼(Thomas H Cormen),更多章节内容可以访问云栖社区“华章计算机”公众号查看 1.…
Python画出心目中的自己
作者 | 李秋键责编 | 晋兆雨头图 | CSDN下载自视觉中国引言:人脸图像的生成在各个行业有着重要应用,例如刑事调查、人物设计、教育培训等。然而一幅逼真的人脸肖像,对于职业画家也要至少数小时才能绘制出来;对于从未接触过绘画的新…
认识 PHP 的hash函数
Hashing function (散列函式) 在网页应用中被广泛采用,从数码签署、错误检测、登入验证、到压缩储存空间,由于它的原理比较复杂,很多人把它跟加密函式混淆,对于如何运用hash function,如何选择合适的hash function&…