杀伤链
另一个可用于建模和理解攻击的有用工具是杀伤链。在军事环境中,杀伤链是一种识别攻击中涉及的各个阶段的模型。7在计算机世界中,哈钦斯等人开发了一种网络杀伤链,可以模拟对计算机系统进行的恶意操作所涉及的不同步骤。在他们的模型中,Hutchins等人。确定七个阶段。该模型设计用于攻击者识别,破坏并随后利用计算机系统的操作,因此,并非所有阶段都适用于所有对抗性本文档中讨论的行为。七个阶段如下:
1. 侦察,当攻击者识别可能的目标时。此阶段可能包括攻击者扫描网络以查找易受攻击的服务器,或者垃圾邮件发送者在黑市上购买受害者电子邮件地址列表。
2. 武器化,当攻击者准备攻击有效载荷以供使用时。这可能包括针对新发现的漏洞开发软件漏洞或制作预付费用欺诈电子邮件。
3. 交付,当攻击者将有效负载传输给其受害者时。这可能包括设置恶意网络服务器,购买广告空间以执行恶意广告攻击或发送包含恶意附件的电子邮件。
4. 利用,当目标的漏洞被利用时。此阶段可能需要通过下载进行驱动器攻击,或者通过欺骗引诱受害者单击恶意附件。
5. 安装,当下载恶意软件时,从而允许攻击者从受害计算机中受益。在他们的论文中,Hutchins等人认为攻击者希望使用一种称为远程访问特洛伊木马(RAT)的恶意软件来保持对受害计算机的持续访问。
6. 命令和控制,当攻击者建立C&C基础设施和通信协议来控制受感染的计算机时。
7. 在感染获利时对目标执行操作。这可能需要从受害者计算机窃取敏感信息,使用勒索软件加密受害者的数据,挖掘加密货币等。
对于七个步骤中的每一个,Hutchins等人都确定了破坏恶意操作的策略,遵循五个可能的目标(检测,拒绝,破坏,降级,欺骗)。这些技术的示例包括修补漏洞,在网络上设置入侵检测系统或通过设置蜜罐来欺骗攻击者。
多年来,其他研究人员也提出了类似的杀伤链。一个例子是Gu等人提出的。对僵尸网络感染进行建模。在这个模型中,作者确定了感染分离的五个阶段:入站扫描(类似于前面描述的模型中的第一阶段),入站感染(类似于上一个模型的第四阶段),“卵子”下载(类似于第五阶段),C&C阶段(相同作为阶段6),以及出站扫描。在开发这种模型时,僵尸网络主要充当计算机蠕虫,扫描易受攻击的计算机,感染它们,并利用它们进一步传播。虽然这个模型正确地描绘了早期的僵尸网络,但当僵尸大师开始使用其他方法来安装他们的恶意软件并从他们的感染中获利时,它就不再映射现实。如今,蠕虫几乎灭绝了,除了臭名昭着的WannaCry恶意软件。此示例表明,很难开发能够适应攻击者工作方式变化的攻击者行为模型。
原文始发于微信公众号(祺印说信安):网络安全对抗行为(十五):了解恶意操作的模型之杀伤链
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1255490.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论