一、典型攻击过程
二、典型判定方法
三、判定指标
四、攻击对象类型
五、信息要素
原创 全栈网络空间安全
一、典型攻击过程
侦察:在实施网络攻击前,攻击者通过主动或被动信息收集技术,收集可以用来规划未来攻击行动的信息,包括受害组织信息、基础设施信息、人员详细情况信息等,攻击者能够利用收集的信息为实施网络攻击 进行准备,为全生命周期其它阶段提供帮助。
资源开发:根据收集到的详细信息,攻击者通过创建、购买或破坏/窃取可用于支持目标定位的资源的技术,建立可用于支持行动的资源,包括基础架构、受害者账户等资源,攻击者能够利用开发的资源为全生命 周期其它阶段提供帮助。
初始访问: 攻击者通过使用鱼叉式网络钓鱼、利用Web服务器上漏洞等技术在目标网络中获得初始立足点。通过初始访问获得的立足点能够允许攻击者在目标网络中继续访问或攻击。
执行:攻击者在本地或远程系统上控制恶意代码执行,执行恶意代码技术通常与网络搜索、窃取数据等其 它策略的技术结合使用。例如,攻击者使用远程访问工具来运行执行远程系统发现的PowerShell脚本等。
持久化:攻击者通过使用当出现重启、更改凭证、其它可能切断其访问的情况时,在中断期间保持对目标系 统访问的技术,保障攻击者立足点。
提权:攻击者利用系统漏洞、错误配置等,在目标系统或网络上获得更高级别权限;通过提升权限,攻击 者才能达成更多目的。提权技术通常与持久化技术重叠。
防御规避:攻击者利用卸载/禁用安全软件、混淆/加密数据和脚本等技术,以及通过利用受信任进程隐藏/伪装恶意软件等,避免在入侵目标网络过程中被发现。
凭据访问:攻击者通过键盘记录、凭证转储等技术窃取账户名和密码等。攻击者利用合法凭证访问目标系统,难于被发现,并提供了创建更多账户以帮助实现攻击目标的机会。
发现:攻击者搜索其可以控制的内容以及切入点周围的内容,获取有关系统和内部网络的知识,帮助在行 动之前观察目标环境并确定行动方向。
横向移动:攻击者利用进入和控制网络远程系统的技术搜索整个网络以找到最终目标,攻击者可能会安装自己的远程访问工具,也可能将合法凭证与本机网络和操作系统工具一起使用来完成横向移动。
收集:攻击者利用收集信息相关技术在目标网络中收集其感兴趣的数据,收集目标源包括各种驱动器类型、 浏览器、音频、视频和电子邮件等,收集方式包括截图、键盘输入等。
命令与控制:攻击者利用网络通信技术与受感染的系统通信并对其进行控制,通常攻击者会尝试模仿正常的预期 流量以避免被发现,以及根据目标网络结构和防御情况建立具有隐蔽功能的命令和控制。
数据渗出: 攻击者收集到目标数据后,通常采用压缩、加密等方式将数据打包以避免在渗出数据时被发现。从 目标网络渗出数据技术包括通过命令和控制通道或备用通道传输数据、对传输设置大小限制等。
影响:攻击者利用破坏、篡改数据等技术,通过操纵业务和操作流程来破坏网络可用性或损害完整性,攻 击者使用相关技术实现最终目的或为机密数据泄露提供掩护。
二、典型判定方法
三、判定指标
四、攻击对象类型
五、信息要素
