《网络安全知识体系1.1》

恶意软件和攻击技术：

恶意软件的恶意活动

---

2 恶意软件的恶意活动 

恶意软件实质上是将攻击者意图的恶意活动编纂成文。可以使用网络杀伤链模型来分析网络攻击，如表2所示，该模型表示网络攻击中通常涉及的步骤（迭代）。

第一步是侦察，攻击者识别或吸引潜在目标。例如，可以通过扫描Internet以查找易受攻击的计算机（即运行具有已知漏洞的网络服务（如sendmail）的计算机）或发送向一组用户发送网络钓鱼电子邮件。下一阶段是访问目标，例如，通过发送精心编制的输入来触发漏洞，例如易受攻击的网络中的缓冲区溢出服务程序或在网页中嵌入恶意软件，这将危及用户的浏览器并控制其计算机。

这对应于网络杀伤链模型中的武器化和交付（漏洞利用）步骤。一旦目标受到威胁，通常会下载并安装另一个恶意软件; 这对应于网络杀伤链模型中的安装（恶意软件）步骤。后一种恶意软件是攻击者的真正主力，可以执行广泛的活动，这相当于对以下方面的攻击：

•     机密性 -可以窃取有价值的数据，例如用户的身份验证信息以及财务和健康数据;

•     完整性 -可以注入伪造的信息（例如，发送垃圾邮件和网络钓鱼 电子邮件， 创建欺诈性点击等）或修改数据;

•     可用性 - 可以作为分布式拒绝服务（DDoS）攻击的一部分发送流量，消耗大量计算资源（例如，挖掘加密货币），或加密有价值的数据并要求赎金。

步骤	活动
1 侦察	收集电子邮件地址，识别易受攻击的计算机和账户等。
2 武器化	将漏洞利用设计为可交付的有效负载。
3 交货	通过电子邮件、Web下载等方式将漏洞利用有效负载传递给受害者。
4 开发	利用漏洞并在受害者的系统上执行恶意代码。
5 安装	在受害者的系统上安装（其他）恶意软件。
6 命令与控制	为攻击者建立远程控制受害者系统的命令和控制通道。
7 关于目标的行动	在受害者的系统和网络上执行恶意活动。

表2：网络杀伤链模型

大多数现代恶意软件执行这些攻击操作的组合，因为有工具包（例如，键盘记录器）免费可用于执行许多“标准”活动（例如，记录用户密码），并且恶意软件可以动态更新以包含或激活新活动并采取参与更长或更大的“广告系列”，而不仅仅是执行孤立的一次性操作。这些是网络杀伤链模型中的目标行动。

僵尸网络是长期运行和协调的恶意软件的典范。僵尸网络是攻击者控制下的机器人（或受感染的计算机）网络。僵尸网络恶意软件在每个机器人上运行，并定期与僵尸网络命令和控制（C&C）服务器通信，以接收有关特定恶意活动或恶意软件更新的说明。例如，每天，垃圾邮件僵尸网络的C&C服务器都会向每个机器人发送垃圾邮件模板和电子邮件地址列表，以便僵尸网络共同发送一个非常大的垃圾邮件的数量。

如果僵尸网络由于检测和响应操作而中断，例如，当前的C&C服务器被删除，则僵尸网络恶意软件已被编程为联系替代服务器，可以接收更新以更改为使用C&C点对点的僵尸网络。一般来说，僵尸网络非常嘈杂，即相对容易检测，因为许多网络中有许多机器人。BotnetC&C是CyberKillChain模型中命令与控制步骤的一个例子。

与僵尸网络相反，所谓的高级持续性威胁（APT）背后的恶意软件通常针对特定组织，而不是旨在发起大规模攻击。例如，它可能会在组织中寻找特定类型的控制器来感染并导致其发送错误的控制信号，从而导致最终故障。在机器中APT恶意软件通常被设计为具有长期存在性（因此称为“持久性”）。这意味着它不仅可以定期接收更新。但也通过限制其活动量和强度（即“低和慢”），在组织中移动（即“横向运动”）来逃避检测，并且覆盖其踪迹。例如，它不是一次将被盗数据发送到“丢弃站点”，而是可以一次发送一小块，并且仅在服务器已经发送合法流量时发送;在它完成从服务器窃取之后。它移动到另一个服务器（例如，通过利用两者之间的信任关系）并删除日志，甚至修补第一个服务器中的漏洞。

当我们使用网络杀伤链模型来分析网络攻击时，我们需要检查其在每个步骤中的活动。这需要了解所涉及的攻击技术。ATT&CK知识库记录了基于真实世界观察的最新攻击策略和技术，是分析师的宝贵参考。

原文始发于微信公众号（祺印说信安）：恶意软件和攻击技术（四）：恶意软件的恶意活动