来源:www.iacpcybercenter.org/resource-center/what-is-cyber-crime/cyber-attack-lifecycle/
复杂的网络攻击的实施过程可以被描述为一个生命周期。下图和以下描述由火眼公司曼迪昂特咨询公司(Mandiant Consulting)提供,该公司提供事件响应和信息安全咨询服务。
(1)初始侦察:攻击者对目标进行研究。攻击者识别目标(系统和人员)并确定其攻击方法。攻击者可能会寻找面向internet的服务或个人来加以利用。攻击者的研究也可能涉及以下活动:
•识别可能容易受到web应用程序漏洞攻击的网站
•分析目标组织当前或预计的业务活动
•了解目标组织的内部组织和产品
•研究员工参加的会议
•浏览社交媒体网站,更有效地识别和社交工程师员工
(2)初始破坏:攻击者成功地在一个或多个系统上执行恶意代码。这很可能是通过社会工程(通常是鱼叉式网络钓鱼)、利用面向互联网系统的漏洞或任何其他必要的手段发生的。
(3)站稳脚跟:攻击者确保他继续控制最近被攻击的系统。这发生在最初的破坏之后。通常,攻击者通过安装一个持久后门或下载额外的实用程序或恶意软件到受害者系统来建立立足点。
(4)升级特权:攻击者获得对系统和数据的更大访问权。攻击者通常通过密码哈希转储(然后是密码破解或传递哈希攻击)来升级他们的特权;击键/凭证日志记录、获得PKI证书、利用应用程序所拥有的特权,或者利用软件的脆弱部分。
(5)内部侦察:攻击者探索受害者的环境,以更好地了解环境、关键个人的角色和职责,并确定组织将感兴趣的信息存储在何处。
(6)横向移动:攻击者使用他的访问权限在受影响的环境中从一个系统移动到另一个系统。常见的横向移动方法包括访问网络共享、使用Windows任务调度程序执行程序、使用远程访问工具(如PsExec)或使用远程桌面客户机(如远程桌面协议(RDP)、DameWare或虚拟网络计算(VNC))使用图形用户界面与目标系统交互。
(7)维护状态:攻击者确保对环境的持续访问。维护存在的常见方法包括安装多个变种的恶意软件后门,或通过访问远程访问服务(如企业虚拟专用网(VPN))。
(8)完成任务:攻击者完成目标。这通常意味着窃取知识产权、财务数据、并购信息或个人身份信息(PII)。一旦任务完成,大多数目标攻击者不会离开环境,而是保持访问权限,以等待新任务被指示。
此处所提供的资料并非任何商业或个人的背书。
