网络杀伤链攻击周期包括哪些阶段
网络杀伤链攻击周期包括以下阶段:
目标定位阶段:目标定位是杀伤链一个有趣的阶段,因为它涉及攻击的动机,也是对攻击者的归类(不一定是具体属性的识别)。在杀伤链正式开始之前,攻击者必须确定要攻击什么(例如,谁是潜在的目标)。在许多情况下,这是黑客与某赞助商或受益方进行磋商时确定的,通常作为他们自身情报或业务需求的一部分。对于防御者来说,我们通常会认为目标是受害者企业,但实际上,黑客针对的目标是企业里有价值的信息或能力。
侦查跟踪阶段:瞄准目标后,攻击者便开始进行侦察。在侦察跟踪阶段(或通过简单的侦察),攻击者会尽可能多地收集目标受害者的信息。根据所收集的数据类型(硬数据与软数据)和收集方法(被动与主动),侦察可分为多个类别。
武器构造阶段:武器构造的漏洞挖掘阶段特别有趣,因为它决定了要攻击哪些目标。它会迫使攻击者作出决定。如果所有的安全防御产品,或者所有软件都能按预期工作(往往理想很丰满,现实却很骨感),那么攻击者几乎总是会失败。因此,攻击者的目标是找到设计和实现不匹配的地方,即寻找漏洞。然后,攻击者可靠地利用这个漏洞,并将其打包为可以送达目标的形式(例如,恶意文档或漏洞利用工具包)。寻找这个漏洞,制造一个漏洞,并把它与一个有效载荷相结合的过程就是武器构造。
载荷投递阶段:一旦攻击者收集到足够的信息来制造攻击,下一个杀伤链阶段就是载荷投递。载荷投递的关键是它是否能够简化将有效载荷传送给受害者。这种简单性掩盖了这个阶段的重要性。载荷投递是攻击者对受害者的第一个活跃阶段,虽然之前的两个阶段也可以处于活跃状态,但这个阶段是攻击者必须活跃的,这意味着载荷投递阶段是受害者获取IOC指标的保证。
漏洞利用阶段:在载荷投递阶段,攻击者没有直接与目标进行互动,并没有控制任何目标系统。即使在钓鱼邮件攻击的场景下,安全措施也有可能将其成功阻断,并没有真正实现漏洞利用。漏洞利用则是攻击者获得代码执行控制权限,并开始执行自己的代码。
后门安装阶段:攻击者一旦执行完恶意代码,他们的第一步就是巩固自己的成果。“Lockheed Martin Kill Chain”文章中的描述如下“在受害者系统上安装远程访问的特洛伊木马程序或后门程序,使得攻击者能够在该环境中保持持久化。”这是攻击者在这个阶段所做的,我们将这些行为分为系统持久化和网络持久化。(在多数情况下,攻击者会同时执行这两个操作,但分开考虑会有助于理解。)
命令与控制阶段:一旦攻击者建立了持久性,尤其是如果他们使用了RAT方法,他们需要一种发送命令的方法。通信可以有多种方法,使用各种不同类型渠道。过去,许多恶意软件,尤其是分布式拒绝服务(DDoS)工具,通过IRC频道或HTTP呼叫加入攻击者控制下的服务器进行通信。