回顾最近针对关键基础设施实体 (如政府机构, 石油天然气运营商等) 进行的网络攻击, 可以看到网络罪犯分子不只是盗窃数据这么简单, 他们还可能意图破坏城市服务. 近期, 黑客倾向于攻击目标供应链中较弱的厂商, 而不是直接对主要目标进行攻击.
随着网络安全行业日新月异的变化, 如今攻击行为也开始以多种方式呈现, 黑客正利用各种创新技术实施攻击, 以下对关于网络攻击的不同阶段进行简要介绍.
侦查时期
在这个时期, 相较于发起网络攻击黑客识别 "有漏洞的目标及其所包含的漏洞" 似乎更为重要. 黑客需要在这个阶段思考如何最大限度地利用漏洞.
打算入侵目标组织的黑客会寻找一个单点入口, 该组织中的任何人都可能成为最初的目标. 在这一阶段, 黑客主要依靠钓鱼邮件诱惑目标, 然后再将恶意软件传播至整个组织的网络.
在制定攻击计划时, 黑客就会花时间找出该组织中最重要的人员有哪些, 他们都和谁来往(可通过利用社工技术了解), 该组织有哪些可利用的公开数据(包括 IP 地址, 软硬件信息等), 该公司的人员信息以及所使用系统的信息等. 他们用来获取这些信息的时间越多, 其成功率就越高.
武器化阶段
任何黑客在准备阶段收集的信息都是为了帮助其创造进入目标网络的工具. 主要包括创建鱼叉式钓鱼邮件(看似非常像来自生意伙伴的邮件), 创建 "水坑攻击" 或虚假的网页(很像某厂商的网页或银行网站, 实则是为了窃取登陆凭证或提供免费下载), 然后收集可利用的工具, 以便在黑客接入目标网络后利用其漏洞.
传输阶段
此阶段主要是依照计划进行部署. 发送钓鱼邮件, 发布虚假网站. 钓鱼邮件中会有一个附件或一个链接, 目标网络中的某人打开此邮件后, 恶意软件就会扩散到整个网络, 黑客就可以坐享其成了.
漏洞利用阶段
对于黑客而言, 到了这个阶段就可以在入侵的网络中搞事情了. 窃取的数据, 登陆凭证, 可被用于攻击基于网页的邮件系统或目标网络的 VPN 连接. 同样, 黑客还可以利用钓鱼邮件中附件释放的恶意软件对目标网络的系统进行远程访问. 在寻遍整个目标网络后, 黑客可以完全了解目标网络中的数据流. 黑客也就更清楚如何利用系统的漏洞.
安装阶段
一旦黑客可以进入目标网络, 就必须确认是否要继续入侵. 于是, 黑客会在目标网络上安装一个后门, 并创建管理员账户, 禁用防火墙法则, 可能的话, 还会在其服务器和网络中的其他电脑上激活远程桌面访问, 以实现长时间驻留.
C & C 阶段
黑客入侵目标网络后, 一旦获取管理员账户和所有需要的工具, 便可在目标网络上为所欲为, 例如查阅目标网络的任何数据, 假冒其中的任何用户, 甚至可以假借老板之名发送邮件.
最终阶段 -- 对目标采取行动
在此阶段, 黑客会为实现自己的真实目的而采取行动. 其目的可能是窃取数据, 破坏组织的运营秩序, 搞破坏, 制造假订单发货给客户, 关停设备, 禁用警报灯等. 部分黑客可能只是想捣捣乱, 并不打算窃取数据或实施敲诈勒索.
来源: http://netsecurity.51cto.com/art/201805/574022.htm