随着网络犯罪的数量和严重程度的持续增加,了解攻击者在盗用目标计算机或网络时所遵循的实际进程变得极为重要。典型的网络攻击环节包含以下六个主要步骤:搜索、列举、获得访问权限、权限提升、保持权限、覆盖追踪。本论文将尝试概述上述各步骤,从而洞察罪犯经常采用的方法。同时还能了解到,具有入侵防护功能和经过充分设计的安全策略的下一代防火墙将有助于消除可能会成功的攻击。
搜索
网络攻击人员与其他任何犯罪分子的操作相同。任何攻击的第一步均是谨慎搜索和情报搜集 — 就像盗贼在企图抢劫之前会“实地考察”珠宝店那样。搜索可以说是任何攻击中最重要的步骤,因为大多数攻击人员的时间都花在此处。密谋攻击时,所收集的信息是必要条件。甚至看似无关的细节有时能够在成功和失败的攻击之间产生差别。
大概最出名、公开的搜索形式是社交工程。社交工程是旧问题的新术语,但是,它只不过是在冒充别人获得信息。数十年来,诈骗大师们一直在使用这种方法,因为这种方法既有效又简单。网络犯罪分子对这个事实很清楚,也采用了类似的策略。这些策略包括:欺骗用户泄露密码的钓鱼邮件;看似合法、欺骗访客输入密码的网域嫁接(冒充身份)站点;以及以各种方式传送、记录按键操作并将其发回给攻击者的键盘记录器恶意软件。
并非所有搜索都通过电子方式。另一种普遍的形式是垃圾搜寻,仔细检查带有标记的垃圾,希望找到敏感信息。像未正确粉碎的文件或传统硬盘驱动器这样的事物是犯罪分子的主要目标,希望了解其目标的内部业务操作。
对于潜在攻击者,互联网充满了重要信息。社交媒体站点提供了详细的个人信息,这些信息包括工作经历和特定的工作职责。网上招聘广告经常包含有关公司内部所采用的计算系统的详细信息,这提醒了攻击人员可能需要的专业技能。搜索引擎站点与先进的搜索技术相结合时,甚至可提供信息,如系统密码和用户凭证。
列举
任何类型的网络攻击的第二步是列举。在此阶段,攻击者将试图暗中扩大搜索过程中所获得的知识和数据。适当列举系统和数据对攻击至关重要,因为这会为执行攻击开辟道路。此步骤通常包含更多的高技术方法,要求适当的计算机技能。
通过此阶段,攻击者已经获得了目标公司的电话号码和 IP 地址块等信息。攻击者还可能知道员工姓名、职位名称和用户 ID。在列举过程中,攻击者填补信息的空白,以整体了解业务的组织方式及其内部操作。
列举阶段,服务扫描和战争拨号器使用很普遍。在服务扫描过程中,攻击者会探出安装在公开的 IP 地址上的操作系统和软件应用程序。可对软件扫描版本和补丁信息,然后扫描已知漏洞数据库相关的信息。战争拨号包括使用自动系统拨打公司的各个电话号码,希望找到可以直接访问公司内部资源的调制解调器。
获得访问权限
由于攻击者探出了所有目标的资产所在的确切位置以及这些系统上运行的软件应用程序,因此下一步是渗透目标的计算机系统并获得访问权限。攻击者通过利用从列举和搜索中获得的信息,可能已经了解到员工用户 ID 和特定的软件系统等信息。此步骤通常比之前的步骤更先进,技术上更具挑战性。
未打补丁的操作系统和较旧的应用程序经常很容易成为目标。受感染的电子邮件附件可以盗用远程系统,安装恶意软件然后进行“背景连线通讯”,从而向攻击者提供轻松访问安全网络的权限。甚至看似无关的网站都可以利用 Web 浏览器,从而控制远程系统,并向攻击者提供网络的进入权限。
大概获得访问权限的最危险、最复杂的方法是利用零日攻击。这些类型的攻击包含未知以及未公开的软件漏洞,可使攻击者获取被误认为是安全的系统的访问权限。零日攻击经常在黑市出售,通常为极富经验的攻击者(如政府和跨国犯罪集团)所利用。
权限提升
攻击者获得了某个系统的访问权限后,会对权限进行提升。通过增加权限,攻击者能够执行计划并访问可能受到限制的部分网络。此阶段通常涉及深入了解攻击流程以及操作系统和软件架构。
通过确保由于拥有比需要的还多的权限而无法运行流程,操作系统和软件应用程序试图保护系统的完整性。这类似于“需要了解”的概念。如果应用程序明显不需要访问内存的各个方面,则不需要这样做。当获得系统的访问权限时,攻击者已经盗用了远程系统上的特定服务。此服务所拥有的系统权限经常比攻击者继续攻击所需的系统权限更少。
在此阶段过程中,攻击者试图迁移至另一个流程或增加现有流程的功能。未打补丁和过期的软件应用程序在进行权限提升时,经常是极易受攻击。如果已知系统运行过期的版本,则提升权限的流程可能相当微不足道,甚至可能会自动进行。完成后,系统被认为是“拥有”状态,这表示攻击者可自由地做任何需要的事情。
保持权限
获得目标网络的权限并将权限提升至必要的等级后,攻击者尽力维持已盗用系统的访问权限。此阶段通常涉及使用目标机器上的恶意软件。安装恶意软件向攻击者提供了从后门轻松进入受害者网络的能力。
可使用多种恶意软件。但是,最常见的是木马。木马是将提供被盗用计算机的远程访问权限的小程序。攻击者经常会用密码设置这些后门,并将其隐藏在内存中不起眼的位置。这些类型的应用程序经常会由杀毒软件检测出,因此攻击者在感染前会禁用或卸载杀毒软件。
隐藏程序是另外一种有力得多且危险得多的恶意软件,由攻击者在此阶段使用。隐藏程序和木马一样,向攻击者提供了被盗用系统的远程访问权限。但是,隐藏程序又和木马不一样,即它安装在低级系统服务中,从而完全隐藏于操作系统中。隐藏程序可进行安装,以致杀毒软件仍在运行且处于活动状态,却完全未意识到感染。
覆盖追踪
攻击环节的最后步骤是让受感染的系统摆脱法庭证据。攻击者甚至会更新被盗用的系统并对它们打补丁,以消除所有怀疑或担忧。其他普遍的活动包括清除任何历史参考,这些参考与攻击过程中可能已经利用的命令或应用程序相关联。从日志文件中删除日志文件或特定记录是一种确保任何调查破坏情况的系统管理员将会知道很少或不清楚实际上发生的事情的简单方式。
覆盖追踪经常是攻击环节中被疏忽的部分。但是,保护攻击者的匿名性却至关重要。不太熟练的攻击者通常会留下大量的证据,这些证据可用于起诉;反之,高级、更加熟练的攻击者在攻击后留下的被盗用系统,就像在受到攻击前一样。