概述網絡攻擊的步驟及具體方式

    隨著網絡犯罪的數量和嚴重程度的持續增加，了解攻擊者在盜用目標計算機或網絡時所遵循的實際進程變得極為重要。典型的網絡攻擊環節包含以下六個主要步驟：搜索、列舉、獲得訪問權限、權限提升、保持權限、覆蓋追蹤。本文將嘗試概述上述各步驟，從而洞察罪犯經常采用的方法。同時還能了解到，具有入侵防護功能和經過充分設計的安全策略的下一代防火墻將有助于消除可能會成功的攻擊。

    搜索

    網絡攻擊人員與其他任何犯罪分子的操作相同。任何攻擊的第一步均是謹慎搜索和情報搜集 — 就像盜賊在企圖搶劫之前會“實地考察”珠寶店那樣。搜索可以說是任何攻擊中最重要的步驟，因為大多數攻擊人員的時間都花在此處。密謀攻擊時，所收集的信息是必要條件。甚至看似無關的細節有時能夠在成功和失敗的攻擊之間產生差別。

    大概最出名、公開的搜索形式是社交工程。社交工程是舊問題的新術語，但是，它只不過是在冒充別人獲得信息。數十年來，詐騙大師們一直在使用這種方法，因為這種方法既有效又簡單。網絡犯罪分子對這個事實很清楚，也采用了類似的策略。這些策略包括：欺騙用戶泄露密碼的釣魚郵件；看似合法、欺騙訪客輸入密碼的網域嫁接（冒充身份）站點；以及以各種方式傳送、記錄按鍵操作并將其發回給攻擊者的鍵盤記錄器惡意軟件。

    并非所有搜索都通過電子方式。另一種普遍的形式是垃圾搜尋，仔細檢查帶有標記的垃圾，希望找到敏感信息。像未正確粉碎的文件或傳統硬盤驅動器這樣的事物是犯罪分子的主要目標，希望了解其目標的內部業務操作。

    對于潛在攻擊者，互聯網充滿了重要信息。社交媒體站點提供了詳細的個人信息，這些信息包括工作經歷和特定的工作職責。網上招聘廣告經常包含有關公司內部所采用的計算系統的詳細信息，這提醒了攻擊人員可能需要的專業技能。搜索引擎站點與先進的搜索技術相結合時，甚至可提供信息，如系統密碼和用戶憑證。

    列舉

    任何類型的網絡攻擊的第二步是列舉。在此階段，攻擊者將試圖暗中擴大搜索過程中所獲得的知識和數據。適當列舉系統和數據對攻擊至關重要，因為這會為執行攻擊開辟道路。此步驟通常包含更多的高技術方法，要求適當的計算機技能。

    通過此階段，攻擊者已經獲得了目標公司的電話號碼和 IP 地址塊等信息。攻擊者還可能知道員工姓名、職位名稱和用戶 ID。在列舉過程中，攻擊者填補信息的空白，以整體了解業務的組織方式及其內部操作。

    列舉階段，服務掃描和戰爭撥號器使用很普遍。在服務掃描過程中，攻擊者會探出安裝在公開的 IP 地址上的操作系統和軟件應用程序�？蓪�軟件掃描版本和補丁信息，然后掃描已知漏洞數據庫相關的信息。戰爭撥號包括使用自動系統撥打公司的各個電話號碼，希望找到可以直接訪問公司內部資源的調制解調器。

    獲得訪問權限

    由于攻擊者探出了所有目標的資產所在的確切位置以及這些系統上運行的軟件應用程序，因此下一步是滲透目標的計算機系統并獲得訪問權限。攻擊者通過利用從列舉和搜索中獲得的信息，可能已經了解到員工用戶 ID 和特定的軟件系統等信息。此步驟通常比之前的步驟更先進，技術上更具挑戰性。

    未打補丁的操作系統和較舊的應用程序經常很容易成為目標。受感染的電子郵件附件可以盜用遠程系統，安裝惡意軟件然后進行“背景連線通訊”，從而向攻擊者提供輕松訪問安全網絡的權限。甚至看似無關的網站都可以利用 Web 瀏覽器，從而控制遠程系統，并向攻擊者提供網絡的進入權限。

    大概獲得訪問權限的最危險、最復雜的方法是利用零日攻擊。這些類型的攻擊包含未知以及未公開的軟件漏洞，可使攻擊者獲取被誤認為是安全的系統的訪問權限。零日攻擊經常在黑市出售，通常為極富經驗的攻擊者（如政府和跨國犯罪集團）所利用。

    權限提升

    攻擊者獲得了某個系統的訪問權限后，會對權限進行提升。通過增加權限，攻擊者能夠執行計劃并訪問可能受到限制的部分網絡。此階段通常涉及深入了解攻擊流程以及操作系統和軟件架構。

    通過確保由于擁有比需要的還多的權限而無法運行流程，操作系統和軟件應用程序試圖保護系統的完整性。這類似于“需要了解”的概念。如果應用程序明顯不需要訪問內存的各個方面，則不需要這樣做。當獲得系統的訪問權限時，攻擊者已經盜用了遠程系統上的特定服務。此服務所擁有的系統權限經常比攻擊者繼續攻擊所需的系統權限更少。

    在此階段過程中，攻擊者試圖遷移至另一個流程或增加現有流程的功能。未打補丁和過期的軟件應用程序在進行權限提升時，經常是極易受攻擊。如果已知系統運行過期的版本，則提升權限的流程可能相當微不足道，甚至可能會自動進行。完成后，系統被認為是“擁有”狀態，這表示攻擊者可自由地做任何需要的事情。

    保持權限

    獲得目標網絡的權限并將權限提升至必要的等級后，攻擊者盡力維持已盜用系統的訪問權限。此階段通常涉及使用目標機器上的惡意軟件。安裝惡意軟件向攻擊者提供了從后門輕松進入受害者網絡的能力。

    可使用多種惡意軟件。但是，最常見的是木馬。木馬是將提供被盜用計算機的遠程訪問權限的小程序。攻擊者經常會用密碼設置這些后門，并將其隱藏在內存中不起眼的位置。這些類型的應用程序經常會由殺毒軟件檢測出，因此攻擊者在感染前會禁用或卸載殺毒軟件。

    隱藏程序是另外一種有力得多且危險得多的惡意軟件，由攻擊者在此階段使用。隱藏程序和木馬一樣，向攻擊者提供了被盜用系統的遠程訪問權限。但是，隱藏程序又和木馬不一樣，即它安裝在低級系統服務中，從而完全隱藏于操作系統中。隱藏程序可進行安裝，以致殺毒軟件仍在運行且處于活動狀態，卻完全未意識到感染。

    覆蓋追蹤

    攻擊環節的最后步驟是讓受感染的系統擺脫法庭證據。攻擊者甚至會更新被盜用的系統并對它們打補丁，以消除所有懷疑或擔憂。其他普遍的活動包括清除任何歷史參考，這些參考與攻擊過程中可能已經利用的命令或應用程序相關聯。從日志文件中刪除日志文件或特定記錄是一種確保任何調查破壞情況的系統管理員將會知道很少或不清楚實際上發生的事情的簡單方式。

    覆蓋追蹤經常是攻擊環節中被疏忽的部分。但是，保護攻擊者的匿名性卻至關重要。不太熟練的攻擊者通常會留下大量的證據，這些證據可用于起訴；反之，高級、更加熟練的攻擊者在攻擊后留下的被盜用系統，就像在受到攻擊前一樣。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://m.hanmeixuan.com/

本文標題：概述網絡攻擊的步驟及具體方式

本文網址：http://m.hanmeixuan.com/html/support/1112158744.html