@苏苏
1年前 提问
1个回答

攻击者的攻击流程有哪些阶段

delay
1年前

攻击者的攻击流程有以下阶段:

  • 攻击者在明确攻击目标后,第一步不是对攻击目标发起攻击,而是要对目标进行信息收集,信息收集的内容涉及网络架构、IP资源、域名信息、服务器信息、人力资源信息等多个方面。攻击者通过对IP资源、域名信息、服务器信息收集后就可以分析出目标的网络架构及IT资产信息;通过对目标人力资源的信息收集可以判断目标企业的组织结构、关键人员信息、供应商、合作伙伴等相关信息。

  • 攻击路径分为互联网链路攻击、社会工程学攻击、近源攻击、供应链攻击等多种不同的攻击路径,攻击者是通过互联网链路的漏洞进行攻击,还是通过供应商进行供应链攻击,亦或是通过社会工程学对相关的关键人员进行钓鱼攻击,都取决于对收集到的信息综合分析的结果。实际攻击中,攻击者收集到相关信息后就需要对所有的信息进行综合分析,判断哪个地方可能是目标的薄弱点,将薄弱点作为最优先的攻击路径,这样的攻击才可能是最快速有效的攻击。

  • 攻击者通过综合分析确定攻击路径后,下一步就是实施攻击,这个过程称为“打点”,就是通过攻击获取目标的一个有效权限。最有效的攻击过程就是“一击致命”,通过最少的攻击流量达到获取权限的目的,攻击者可能会通过nday漏洞、1day漏洞、甚至0day漏洞进行攻击,还有可能要通过各种方式来绕过目标的防御机制,如防火墙、WAF等,攻击者在攻击的过程中还要注意隐蔽性,减少不必要的扫描和测试行为,大规模扫描和测试有可能会触发目标的告警机制,攻击行为可能会被发现。

  • 攻击者“打点”成功、获得应用服务器的权限后,下一步要做的就是对内网进行信息收集,横向渗透获取最终目标的数据及权限,这个阶段称为后渗透阶段。后渗透阶段需要做的事情非常多,为了能够对此“据点”服务器进行长期有效控制,还需要进行权限提升和后门植入,通过植入隐蔽性的后门程序,即使是漏洞修复了或者是服务器重启,攻击者依然可以通过植入的后门对服务器进行控制。一般攻击者还要建立从攻击者到“据点”的代理隧道,为后面要实施的攻击做好准备。当攻击者建立一个或者多个有效“据点”后,最重要的一步就是进行信息收集,首先要判断目前的网络架构,“打点”获取权限的服务器是否跟目标在同一网络域中,如果不是在同一个网络域中还需要进一步进行渗透。在内网渗透过程中还要重点对视频监控器、摄像头、LED大屏服务器、共享服务器、FTP服务器、OA服务、邮件服务器、Wiki服务器等重点服务器、堡垒机、运维系统、监控系统等集权类系统进行关注。