九维团队-青队（处置）| 《事件响应和计算机取证》之为不可避免的事件做好准备（二）

几乎每天，我们都会接到来自遭受网络安全漏洞攻击公司的电话。这些网络入侵影响几乎所有行业，包括律师事务所、金融服务、蓝筹股制造商、零售商、国防工业基地、比萨店、电信、医疗保健、空间和卫星成像、密码学和通信、政府、采矿、软件等。

我们目睹了每个行业所面临的独特威胁，并看到这些攻击在范围上扩大，影响私营部门、公共部门、企业公司以及在自己家中被攻击的个人公民。无疑，我们正在经历历史上规模最大的非法知识产权转移，网络间谍活动已成为现实。

罪犯在窃取身份、窃取卡持人数据或账户数据的过程中，往往不会承担风险或遭到惩罚。现代意识形态和武装冲突都有在网络领域进行对抗交换的组成部分。我们必须时刻警惕这种日益增长的非法或未授权的入侵活动，并持续运用本书中介绍的技能。

请记住，安全事件可能是不可避免的，但您可以应用我们所学的教训来最小化影响和后果。安全事件响应是政府机构和私营公司都需要进行的工作，这既富有挑战性，又充满吸引力。实际上，安全漏洞是如此普遍，以至于经验丰富且能力出众的事件响应人员备受追捧，事件响应职业道路也已经成熟。

这一切可能听起来有点令人不知所措，但是我们希望您对本书的其余内容感兴趣并兴奋！本书的目的是为事件响应人员提供由作者在过去十年中费尽心思开发和改进的工具和技术，这些技术已被应用于数百个大规模、国际、复杂和公共事件的响应中。

👉注：本段为译者所加。

在本章中，我们向您介绍了两个案例研究，概述了我们调查的案件类型。第一个案例研究是关于一家大型金融机构的持卡人数据盗窃事件。持卡人数据包括信用卡、借记卡和相关账户信息。第二个案例研究涉及一家科技公司，攻击者使用恶意软件获得初始立足点，但随后放弃它并使用公司的虚拟专用网络（VPN）来保持访问并窃取敏感数据。我们选择了这些案例研究，因为它们的妥协和响应具有高度的复杂性。我们希望您从我们的经验中学习，并希望您发现这两个案例研究有启发性。由于这些案例研究是现实世界中的事件，因此在案例介绍中已更改事实以保护受害者的身份。

在1月初，攻击者手动利用 WEB1 服务器上托管的一个网页中的结构化查询语言（SQL）注入漏洞。WEB1位于受害者组织四年前收购的一个小型业务部门的非军事区（DMZ）中。该业务部门享有与受害者组织环境的所有部分的完全连接性。通过利用 WEB1 上的 SQL 注入漏洞，攻击者能够在名为 DB1 的后端数据库系统上执行命令；所有命令都以 SQL Server 服务的权限执行。在这种情况下，SQL 服务正在使用本地管理员特权运行。攻击者使用 xp_cmdshell 扩展存储过程来执行任意命令并下载并执行恶意软件到 DB1 上。DMZ 防火墙中的配置错误允许攻击者从 DB1 对位于公司环境中的 intDB1 数据库服务器执行 SQL 命令。环境和活动如下所示：

在进入企业环境后，攻击者花了几周的时间对环境进行广泛的侦察。起初，攻击者使用通过 SQL 注入发出的命令执行此活动。在获得对内部环境的访问权一周后，攻击者植入了一个后门。后门提供了攻击者访问企业环境的权限，而不必依赖 SQL 注入。攻击者随后从 intDB1 中提取并破解了本地管理员帐户的密码散列。这为攻击者在环境中的大多数系统中提供了本地管理员访问权限。除了侦察活动之外，攻击者还安装了键盘记录恶意软件，并从系统管理员的多个系统中获取密码散列。攻击者能够从其中一个系统中提取密码散列，该系统是域控制器，存储了该域上所有用户的密码。

到2月中旬，攻击者在环境中植入了20多个后门，涵盖了三个不同的恶意软件系列。本章将主要谈到的恶意软件系列是BKDOOR系列。BKDOOR恶意软件是一个定制的恶意软件创建工具包的一部分，允许攻击者根据需要修改二进制文件，以避免被检测到。已知多个攻击者使用此恶意软件系列。此类恶意软件允许攻击者完全控制受害系统，具有文件上传和下载功能，能够将流量（例如远程桌面协议（RDP））隧道传输到环境中，并能够在后门之间代理网络流量。BKDOOR恶意软件使用RC4算法加密其命令控制（C2）数据。我们用“C2数据”这个术语来描述攻击者发给恶意软件的指令、恶意软件对这些指令的响应，以及使用的相关协议。在本章后面提到的C2服务器是指通常位于受害环境外部、由攻击者控制并用于传输C2数据到和从攻击者的恶意软件的服务器。BKDOOR恶意软件通过一种称为“DLL搜索顺序劫持”的技术来保持持久性。您可以在以下链接中了解有关DLL搜索顺序劫持的更多信息：

在网站上获取相关信息：msdn.microsoft.com/en-us/library/ms682586(VS.85).aspxwww.mandiant.com/blog/dll-search-order-hijacking-revisited

*左右滑动查看更多

第二家恶意软件家族称为PROXY，它代理了到指定目的地的连接。PROXY恶意软件能够将连接重定向到其配置文件中指定的目的地地址，或接受来自BKDOOR恶意软件的原始目的地地址。

第三家恶意软件家族称为BKDNS，因为它通过DNS查询/响应隧道传输了所有C2流量。BKDNS恶意软件家族似乎仅用于备份访问，因为攻击者在调查期间未使用这些后门。BKDNS恶意软件非常有趣，因为攻击者在Windows和Linux系统上都植入了该恶意软件的变体。尽管两个操作系统之间的恶意软件结构略有不同，但功能基本相同。

从一月初到三月底，攻击者多次窃取了数据。攻击者首先瞄准了用户名和密码，然后转向网络架构和其他IT相关信息。攻击者通过探索系统管理员计算机系统上的文件和文件夹来确定敏感网络文档的存储位置。例如，攻击者对标记为“IT”的共享中的目录进行了侦察。最后，攻击者针对有关金融系统及其如何处理组织中的金融数据的信息进行了攻击。攻击者通过枚举网络上可用的所有文件共享，并对最有趣的共享进行手动侦察，确定了敏感金融信息的存储位置。攻击者还建立了指向针对性金融领域用户的系统的RDP连接，并使用被盗的凭据登录各种金融应用程序。这使攻击者能够了解金融应用程序的工作方式以及如何窃取这些应用程序存储的数据。

确定感兴趣的数据后，攻击者使用了两种不同的方法窃取数据。攻击者使用的第一种方法是建立出站FTP连接到攻击者控制的系统，并将数据上传到FTP服务器。第二种方法是使用其中一种后门将数据从环境中转移到后门的C2服务器。高级攻击者通常不使用此技术，因为当出现大量或异常数据传输时，它会增加检测的机会。在几乎所有情况下，攻击者将数据压缩为ZIP、RAR或CAB文件；这些文件类型代表了常见的压缩方法，可以将文件的大小减少50%至95%不等。

到6月份，攻击者已经发现了跳板服务器——一个受到严格控制的系统，是唯一被允许访问敏感资源的系统管理员使用的系统——该系统用于访问处理所有敏感金融数据的受限网络段。在这种情况下，攻击者通过监视一个特定的系统管理员发起的RDP连接，并审查按键记录恶意软据。攻击者通过这种方式找到了进入受限金融环境的途径：

在这种情况下，攻击者感兴趣的数据是信用卡和借记卡信息，也称为支付卡行业（PCI）数据或持卡人数据。

信用卡/借记卡背面的磁条包含两种类型的信息：磁道1和磁道2数据。一般来说，磁道1数据包含足够的信息来创建一个克隆卡，这使得该卡可以在实体商家使用，也称为“卡现场交易”，而磁道2数据包含足够的信息，以使恶意人员在线上使用该卡，称为“卡未出现交易”。磁道2数据不包括凸起在信用卡/借记卡上的CVV/CVV2值；然而，有些商家在进行网购时不需要购物者输入CVV/CVV2值。这家金融机构在刷卡器上刷卡后将磁道2卡数据存储在其受限环境中。犯罪分子使用磁道2数据进行欺诈性的在线购买，或者将这些数据出售给黑市。今后，我们将把信用卡/借记卡磁道2数据称为“持卡人数据”。

攻击者使用BKDOOR恶意软件以“DOMAINadmin”域管理员帐户在JMPSRV上建立了一个RDP连接。不幸的是，仅需要来自域管理员帐户的单因素身份验证即可访问跳板服务器，并且攻击者先前已经破坏了多个域管理员帐户。在JMPSRV上进行身份验证后，攻击者将侦察工具传输到系统中，并开始在受限金融环境中进行侦察。攻击者执行了一个工具，旨在从JMPSRV内存中提取密码哈希，因为金融环境需要不同于攻击者已经攻破的凭据。密码哈希提取实用程序允许攻击者获得用于跨越受限金融环境的所有系统的本地管理员帐户的密码哈希。

接下来的两个月里，攻击者一直对金融环境进行广泛的侦察，重点关注以下几方面：

• 处理或存储持卡人信息的系统
  

• 直接连接互联网的系统
  

攻击者通过枚举可用的网络共享、浏览感兴趣目录中的数据和窃取描述受限金融环境基础架构的文档来确定处理或存储持卡人数据的系统。其中一份被盗文档描绘了卡持人数据在环境中的流动方式，清晰地标识了感兴趣的系统。

使用窃取的文档和通过侦察活动收集的信息，攻击者发现了处理或存储持卡人信息的系统的命名约定——PROC_FIN01、PROC_FIN02、STOR_FIN01、STOR_FIN02等等。有了这些信息，攻击者进行了额外的侦察，并发现了90个处理或存储持卡人数据的系统。攻击者还了解到，金融环境被配置为没有任何系统直接访问互联网。为了以半自动的方式从所有90个处理或存储持卡人数据的系统窃取持卡人数据，攻击者需要一种远程访问金融环境并从环境中提取数据的方法。

攻击者在金融环境中的五个看似随机的系统上安装了BKDOOR恶意软件，并将每个实例配置为与监听JMPSRV上TCP端口88的PROXY恶意软件通信。在JMPSRV上，攻击者安装了PROXY恶意软件，并将其配置为将在TCP端口88上接收到的入站连接代理到主电子邮件交换器MAIL上运行的另一个PROXY实例。攻击者将流量从JMPSRV代理到MAIL，因为MAIL有直接的互联网访问，而JMPSRV没有。在MAIL上植入的PROXY实例被配置为将在TCP端口88上接收到的入站连接代理到攻击者控制的服务器上，该服务器通过TCP端口80（典型的HTTP（未加密）web流量端口）接收连接。在这种情况下，被代理的连接工作双向（即C2服务器->JMPSRV，JMPSRV->C2服务器）。以下图形显示了攻击者安装和配置的恶意软件的网络路径，以建立与受限金融环境之间的远程访问。

一周后在金融环境中设置后门基础设施后，攻击者开始测试窃取持卡人数据的方法。攻击者将Sysinternals PsSuite工具集转移到PROC_FIN01和一个自定义二进制文件，该文件将运行进程的内存内容保存到指定的文件中。攻击者首先执行“pslist”来确定正在运行的进程，然后执行自定义二进制文件以转储多个进程的内存内容。然后，攻击者创建了一个多部分RAR存档文件，并将多部分RAR存档文件传输到环境之外。攻击者试图弄清楚哪些进程包含持卡人数据。

 尽管看似不可能，但未加密的持卡人数据经常存在于受限金融环境内的各种系统上——通常称为PCI环境，因为PCI数据安全标准（DSS）建立了这些环境必须遵守的标准。一些销售点（POS）终端和POS软件在加密或将数据转换为令牌之前，会在运行中的进程内存里暂时以纯文本形式处理持卡人数据。当前的行业趋势是朝着端到端加密（E2EE）的方向发展。该方法直接在读卡器上对持卡人数据进行加密，并仅在最终目的地上进行解密。

在获取多个进程的内存内容两天后，攻击者再次访问PROC_FIN01。这次，攻击者将第二个自定义二进制文件命名为cardharvest.exe，并将其传输到系统中。cardharvest.exe二进制文件的设计是手动执行，并将其注入到命令行或配置文件中指定的进程中。一旦注入到运行进程中，恶意软件将使用一个正则表达式搜索项来识别该进程内存空间中的二磁道数据，每15秒一次。恶意软件还为二磁道数据的每个实例创建哈希以防止收集重复数据。然后，恶意软件使用硬编码的静态密钥使用RC4算法加密唯一的二磁道数据实例，并将数据保存到本地文件中。

作为一项测试，攻击者在PROC_FIN01上执行了大约15分钟的cardharvest.exe，然后在另外五个系统上每个系统执行了15分钟。在启动时，恶意软件会检查文件c:windowssystem32tempstopme.txt是否存在。如果存在该文件，恶意软件将退出，防止在同一系统上运行多个相同的恶意软件。接着，攻击者从JMPSRV上执行了一个脚本，将网络共享挂载到攻击者的六个测试系统中，将恶意软件输出文件移动到本地目录，并将该目录压缩为受密码保护的RAR文件。然后，攻击者使用BKDOOR恶意软件检索RAR文件。

在接下来的三个月中，攻击者从所有90个金融系统中捕获了数百万个持卡人数据实例。攻击者每1-2周通过在JMPSRV和C2服务器之间建立的C2连接隧道化RDP流量来访问环境，然后执行各种脚本与被攻陷的金融系统交互。这些脚本停止了所有被攻陷系统上的cardharvest.exe恶意软件，并通过将它们复制到JMPSRV上来收集输出文件，并创建一个包含收获输出文件的加密RAR文件。最后，攻击者向BKDOOR恶意软件发出“文件下载”命令，以检索RAR文件的副本。

攻击者入侵网络后大约10个月，系统管理员发现名为MAIL的服务器正在与外国IP地址通过TCP端口80进行通信。在执行了一些初始的分析步骤后，系统管理员意识到该组织已被入侵，并启动了事件响应。事件响应包括我们的团队前往客户位置，与客户合作实施立即遏制计划，进行全面的事件调查，并执行根除事件以从环境中删除攻击者的所有痕迹。事件响应从开始到结束不到两个月。

这个案例研究的事件响应具有多重挑战。调查团队必须：
• 在环境中搜索所有系统的妥协标志
• 分析Windows、Linux和Apple OS X系统
• 分析来自10多个互联网出口的网络流量
• 分析Windows（PE）和Linux（ELF）恶意软件
• 理解复杂的金融系统和复杂的环境，以充分理解事件

整治团队必须：
• 为受限制的金融环境实施立即遏制计划
• 与调查团队合作，制定更全面的整治工作方法
• 在两天内在整个组织范围内实施全面的根除事件
• 在影响金融系统的任何时间长度中解决现实世界的影响

这项调查的难点在于要求调查人员全面考虑环境并充分调查妥协情况，以确定攻击者的操作方式。事件响应还要求整治团队在完全了解环境或攻击者的情况下制定严格的遏制计划，这总是具有挑战性的。金融系统和环境的复杂性要求我们的调查和整治团队与当地IT团队密切互动，以更好地了解环境，为我们收集数据，并帮助我们解释一些数据。

5月中旬，攻击者向科技公司的四个不同业务单位的100名用户发送了带有恶意PDF文档的针对性网络钓鱼邮件。这100名用户中没有一个拥有域管理员级别的特权；然而，大多数用户都具有其系统的本地管理员权限。调查确定，这100名用户被网络钓鱼攻击的原因是与在特定行业会议上发言的个人有业务关系。攻击者可能研究了演讲人所在的每个业务单位，并将社会工程学邮件发送到可以从互联网上获取的所有相关电子邮件地址。

其中一名收件人Bob无意中使用易受嵌入式漏洞攻击的Adobe Acrobat版本打开了恶意的PDF。调查确定，Bob的系统是唯一受网络钓鱼攻击影响的系统。攻击成功植入了常被称为GH0ST RAT的远程访问木马，同时打开了一个合法的PDF文件，以便Bob不会感到可疑。GH0ST后门立即开始向其C2服务器发送信标，通知攻击者BOBSYS01系统已成功被入侵。

攻击者两天后访问了植入在BOBSYS01上的GH0ST RAT实例。攻击者立即认识到GH0ST RAT实例正在系统上以本地管理员权限运行。攻击者开始对系统进行侦察，首先检查本地用户文档。基于Bob文档的内容，攻击者确定Bob是一名工程师。攻击者还搜索了公共路径以查找知名VPN软件和证书信息，并确定Bob在家中工作，并通过VPN访问公司环境。该技术公司实施了较弱的双因素身份验证，要求机器证书以及用户名和密码。

攻击者获取了本地管理员帐户的密码哈希，并成功破解了密码。然后，攻击者执行了mimikatz.exe工具，以提取Bob的密码和VPN机器证书。总之，攻击者获得了：
• Bob的用户名
• Bob的密码
• Bob的机器证书
• 本地管理员密码（环境中大多数系统的密码相同）

攻击者现在有能力在伪装成合法用户帐户的情况下认证到公司的VPN，并使用本地管理员帐户访问几乎所有系统。因此，从这一点上开始，攻击者不再关心Bob的系统或其中的恶意软件——它被简单地丢弃了。攻击者没有移除这个恶意软件，很可能是因为它作为第二个访问方法，如果攻击者失去对VPN的访问权限，那么该恶意软件仍能被使用。

不到一周后，攻击者成功地从名为HOME3的系统连接到VPN。攻击者的系统名称是在受攻击系统的取证分析过程中发现的。攻击者通过关闭窗口而不是注销来结束了RDP会话。这在受害系统的安全事件日志中引起了事件记录，其中包含了实际攻击者主机名和从VPN池中分配的IP地址。VPN日志分析发现了攻击者连接的IP地址。地理位置分析确定该IP地址注册在德克萨斯州的计算机网络中。这并不一定意味着攻击者实际上位于德克萨斯州；攻击者经常入侵受害组织之外的不相关系统，并将它们用作暂时的位置来执行他们的网络攻击。

接下来的几周里，攻击者在环境中进行了侦察。攻击者的活动包括映射网络共享、执行递归目录列表、在关键系统上安装按键记录软件，以及使用被窃取的用户凭据通过公司的Outlook Web Access（OWA）实现远程访问他们的电子邮件。除普通的侦察数据外，在此时间范围内未发现攻击者窃取商业敏感数据的证据。

大约两周后，攻击者开始从文件服务器SENS1的共享中访问业务关键数据。这个文件共享包含公司正在研发的一项新技术的敏感工程数据。失去这些数据将危及公司的市场优势。文件ACL已经设置为只允许参与项目的工程师访问，但是由于攻击者有本地管理员访问权限，他修改了ACL以提供自己的访问权限。请记住，大多数系统的本地管理员帐户密码是共享的。攻击者在接下来的四个星期里零星地从敏感文件共享中窃取数据。为了窃取数据，攻击者创建了一个包含感兴趣的文件的加密RAR文件，将RAR文件重命名为CAB文件，然后建立了一个FTP连接到攻击者控制的服务器并上传了数据。在窃取数据后，攻击者将删除RAR文件并运行Windows碎片整理实用程序，以试图防止取证分析师恢复数据。

大约两周后，攻击者开始从SENS1服务器窃取业务关键数据，公司开始评估一种新的安全信息和事件管理（SIEM）实用程序，并将VPN日志作为SIEM分析的数据集之一。SIEM检测到Bob的用户帐户在多个系统上、使用多个IP地址在多个日期同时登录VPN。公司的安全人员调查了VPN流量，并立即禁用了Bob的帐户。此后，攻击者开始使用第二个用户的帐户Mary，攻击者也已经入侵了该帐户。攻击者可能入侵了多个用户帐户和机器证书，以确保持续访问环境。

SIEM还在当天快速发现了Mary帐户的恶意使用。这导致组织启动了事件响应，并向我们寻求帮助。公司意识到他们没有完全了解受攻击的范围，需要在执行整治前进行更详细的调查是明智的。在调查过程中，我们发现攻击者用于连接VPN的IP地址之一是GH0ST RAT正在发送信标的相同IP地址。这使我们能够识别GH0ST RAT恶意软件，并将BOBSYS01包括在整治工作中。我们帮助公司执行了全面的根除事件，并在事件响应启动后的两周内从环境中删除了攻击者。

整治事件两天后，SIEM检测到攻击者先前使用的IP地址之一，试图作为多个用户帐户访问OWA实例。尽管公司在整治事件期间更改了所有用户帐户密码，但安全团队很快意识到并非所有用户都成功更改了密码。安全团队启动了第二次企业范围的更改密码，禁用24小时内未更改密码的帐户。此举删除了攻击者访问OWA的能力。对于这家公司来说，幸运的是，攻击者所造成的唯一损害是在事件响应被启动并删除攻击者的访问权限之前阅读了来自五个不同工程师帐户的电子邮件。以下图表描述了此活动：

这个案例很有趣，因为攻击者除了用于最初感染的 GH0ST 实例之外，没有植入后门。相反，攻击者依靠 VPN 来获得和维持对环境的访问。这使得调查工作更加困难，因为除了 BOBSYS01 外的所有恶意活动都是通过 VPN 执行的；调查团队必须寻找以恶意方式执行的看似合法的活动。例如，为了证明攻击者在特定文件服务器上执行了递归目录列表，调查团队必须完成以下操作之一：
• 恢复攻击者执行的命令
• 恢复攻击者保存数据的文件
• 查找在已知恶意活动的时间范围内按顺序访问的大量文件（时间线分析）

此外，本案例研究与前一个案例研究的调查方法之间的另一个主要差异在于，调查团队在第一个案例研究中寻找了整个环境中的受攻击证据，但在第二个案例研究中仅分析了特定子集的系统（遵循线索）。除了追踪最初的针对性网络钓鱼电子邮件的所有收件人之外，第二个案例研究中的调查团队通过分析 VPN 活动发现了需要分析哪些系统的证据。调查团队不需要在整个环境中寻找受攻击证据。这是因为攻击者仅在有限的时间内访问了环境，并且每次都以相同的方式访问了环境，这使得调查更加容易。然而，在第一个案例中，由于攻击者保留了访问权限的时间长、执行的活动量大，以及环境对任何后续恶意活动的敏感性，调查团队需要在环境中的所有系统上寻找受攻击迹象，以完全确定受到影响的范围。

在这个案例研究中，解决方法与第一个案例的不同之处在于，该公司实施了多个立即的解决措施，每个解决措施都是针对攻击者所做的事情。如果攻击者除最初的 GH0ST 植入之外植入了任何后门，或者如果忽略了环境中的其他访问途径，那么解决方案将无法成功地消除攻击者对环境的访问权限。

在我们结束这一章之前，我们想介绍一个概念，用来帮助解释攻击的各个阶段。我们把这个概念称为“攻击生命周期”，用它来展示大多数攻击的各个阶段。我们在规划灾后恢复时广泛使用这个概念；然而，我们觉得它应该出现在这一章中，以便我们可以使用您刚刚阅读的案例研究中的示例来说明攻击生命周期的每个阶段。

攻击生命周期由大多数入侵所共同具有的七个阶段组成。并不是所有七个阶段都总是攻击的一部分；然而，这个生命周期可以被适应到任何事件中。此外，攻击的阶段不总是按攻击生命周期中提出的顺序进行。攻击生命周期的概念包含在本章中，因为重要的是要考虑事件与生命周期的不同阶段的背景。从各个阶段的角度思考将有助于您更好地理解发现的活动与整个妥协相关的背景。此外，在规划灾后恢复时，应解决每个阶段的攻击者活动。攻击生命周期如下所示：

攻击生命周期的七个阶段简要描述如下。我们还列出了每个阶段与您刚刚阅读的案例研究之间的关系。

1、初始侵入。攻击者在一个或多个系统上成功执行恶意代码。初始侵入通常是通过社会工程实现的，例如针对性网络钓鱼，或通过攻击一个面向互联网的系统的漏洞来实现的。社会工程攻击通常利用运行在终端用户系统上的易受攻击的第三方应用程序。

• 对应上文案例研究1：数据库服务器。
• 对应上文案例研究2：附件。

2、建立立足点。受到攻击的系统。这通常紧随初始侵入之后发生。攻击者通常通过安装持久性后门或将其他二进制文件或Shellcode下载到受害者系统来建立立足点。

• 对应上文案例研究1：攻击者在内部环境的一个系统上安装了后门恶意软件。
• 对应上文案例研究2：感染的PDF在BOBSYS01系统上安装了GH0ST RAT恶意软件。

3、提升权限。攻击者获得比初始访问权限更高的系统和数据访问权限。提升权限通常是通过密码哈希或令牌转储获得的，随后是密码破解或传递哈希攻击、按键/凭据日志记录、非特权用户漏洞、从存储在内存中的当前登录用户的密码中提取密码，或使用应用程序拥有的权限（例如通过Microsoft SQL的xp_cmdshell扩展存储过程执行命令）。此阶段还包括获得对不一定是管理帐户但具有访问攻击者需要的文件或资源的用户帐户的访问权限。

• 对应上文案例研究1：攻击者使用密码哈希转储和破解域管理员密码。
• 对应上文案例研究2：攻击者的初始立足点始于提升的权限（Bob的帐户），但攻击者破解了本地管理员密码，以确保对其他系统的提升权限。攻击者还通过入侵多个帐户来扩大访问权限，这些帐户可以用于通过VPN远程连接到环境。

4、内部侦察。攻击者探索受害者的环境，以更好地了解环境，关键人员的角色和责任，以及关键信息的存储位置。

• 对应上文案例研究1和2，攻击者在两个案例中手动浏览了通常存储文档的本地用户目录。他们执行递归文件列表以确定敏感数据的非标准位置。攻击者还使用命令行工具枚举文件共享，以及执行网络和服务发现。

攻击者的内部侦察经常被淡化或忽视。攻击者经常进行广泛的内部侦察，以了解受攻击的环境。

5、横向移动。攻击者使用已建立的立足点在受攻击的环境中从系统到系统移动。常见的横向移动方法包括访问网络共享，使用Windows计划任务程序执行程序，使用PsExec和radmin等远程访问工具，或使用远程桌面客户端，如RDP、Dameware和虚拟网络计算（VNC）访问系统的图形用户界面。

• 对应上文案例研究1：攻击者使用了RDP连接，映射网络共享，并与后门交互。
• 对应上文案例研究2：攻击者使用了RDP连接和映射网络共享。

6、持久化。攻击者确保持续访问受害者环境。维护持久性的常见方法是在面向互联网的系统上安装多个不相关的后门（包括反向后门和标准后门，如Webshell），获得VPN的访问权限，并在合法应用程序中实施后门代码。

• 对应上文案例研究1：攻击者植入了两个主要后门家族的多个变体。每个后门家族的后门的操作方式都不同，因此即使从其中一个后门家族中找到了所有变体，也不太可能检测到另一个家族。
• 对应上文案例研究2：攻击者危害了多个用户帐户及其机器证书。这使攻击者能够成功地作为多个用户帐户认证到VPN，以防发现其中一个受攻击的帐户，用户更改其密码或发生任何导致帐户不再工作的问题。

7、攻击完成任务。通常包括窃取数据或修改现有数据。一旦完成任务，大多数有针对性和持久性的攻击者不会离开环境，而是保持访问权限，以防他们被指示在目标环境中完成新任务。在事件中，攻击者多次重复攻击生命周期的多个阶段并不罕见。例如，进行信用卡/借记卡欺诈的攻击者需要在接近实时的时间内既窃取数据又操纵数据。

• 对应上文案例研究1：攻击者窃取了持卡人数据。
• 对应上文案例研究2：攻击者窃取了有关敏感项目的数据。

网络攻击已经成为现实，是新的常态。如果你或你的组织可能遭受攻击，那么随着时间的推移，你们很可能会被攻击。最好的方法是做好准备，尽可能有效地处理每一个事件。因此，投资时间学习本书的实践和程序将在不久的将来为你服务。

现在，我们已经引起了你的兴趣，你已经准备好深入研究这本书了，我们希望你开始像一个事件响应者一样思考。你认为这两个组织在处理事件时是否尽可能高效？你认为这些组织在数据泄露之前可以做些什么来最小化其影响？思考这些问题非常重要，因为作为事件响应者之一，你的工作之一就是思考这些问题以及在处理事件响应时会收到的无数其他问题。你必须提供能让组织有信心你会解决事件的响应。即使我们已经执行了数百次响应，我们仍然每次响应都会学到一些东西，并经常回顾事件的处理方式，认识到某些方面本可以更好地处理。事后诸葛亮！

1.什么构成了事件？

2.谁应该定义什么构成了事件？

3.所有恶意软件都是特定于操作系统的吗？

4.在第一个案例研究中，受害公司犯了什么网络架构错误？

5.攻击生命周期有多少个阶段？

6.所有攻击都包括攻击生命周期的所有阶段吗？

（未完待续）