Meta发布新网络杀伤链模型以应对在线威胁

编者按

01

洛克希德·马丁公司“七阶段入侵杀伤链”

第一阶段：侦察。攻击者首先探索网络的弱点和漏洞，使用网络钓鱼等策略收集电子邮件地址、登录凭据、应用程序和操作系统详细信息等信息。

第二阶段：武器化。攻击者根据发现创建一个攻击向量，例如可能使用远程访问恶意软件、病毒或蠕虫来利用已知漏洞。如果原始入口点被阻止，攻击者还会在系统中放置后门以获得访问权限。

第三阶段：投递。攻击者发起攻击，所使用的具体载体将取决于从第一、第二阶段收集的信息以及攻击目标。

第四阶段：利用。攻击者在受害者的系统中执行恶意代码，如攻击特定设备、发送带有恶意链接的电子邮件或在浏览器级别攻击整个网络。

第五阶段：安装。攻击者在受害者的系统上安装恶意软件、勒索软件或病毒。如果此阶段成功进行，环境将被攻击控制。

第六阶段：命令与控制（C2）。攻击者已经完全远程控制目标网络上的设备或身份。在此阶段追踪攻击者可能很困难，因为其看起来与任何其他用户一样，这使得其能够在整个网络中横向移动并为未来的攻击建立更多的入口点。

第七阶段：针对目标的行动。此阶段可能会立即发生，或攻击者可以在返回开展大规模攻击前进行更多侦察以了解网络情况。当攻击者决定针对其目标采取行动（如数据加密、渗漏或破坏）时，目标机构将任由攻击者摆布。

02

Meta公司“十阶段在线操作杀伤链”

一是“基于观察”，并非旨在跟踪假设，例如假设的战略目标；

二是“战术”，为战术分析而设计，而非旨在分析更大的现象，例如有机的社会运动，或衡量非常大规模的脆弱性，例如政治体的整体健康状况。

三是“与平台无关”，适用于包括社交媒体、小型网站和电子邮件提供商等；

四是“针对人对人的操作进行了优化”，描述了来源和目标都是人的操作，可应用于机器对机器的攻击，但主要不是为此而设计；

五是“一个或多个平台”，包括适用于单平台和多平台操作；

六是“模块化”，反映了操作的可能阶段，但并非每个操作人员都经历了各个阶段。杀伤链中的链接可以被认为是模块化元素，并非每个元素都存在于所有情况下。

第一阶段：获取资产。获取发起攻击所需的凭据和访问权限，包括获取IP地址、加密钱包、电子邮件地址、电话号码以及犯罪分子可能需要执行其操作并使其看起来合法的任何其他信息。例如：

• 获取加密的电子邮件地址

• 获取社交媒体资产

• 注册企业

• 租用办公空间

• 注册网络域

第二阶段：伪装资产。使得其资产看起来是真实的，包括应用程序、网页、企业和账户，从而吸引和欺骗受害者。例如：

• 使用StyleGAN 2个人资料图片

• 冒充真实的人员或组织

• 伪装成虚构的媒体渠道

• 使用适合目标国家的远程基础设施

• 支持跨多个平台的角色

第三阶段：收集信息。攻击者执行侦察以了解操作所在的环境并收集有关攻击目标的信息，不良行为者会开展钓鱼活动以获取凭据并了解其可以利用的漏洞。例如：

• 使用市售的租用监视工具

• 使用开源航班跟踪数据

• 在社交媒体平台上搜索目标

• 抓取公共信息

• 监控热门话题

第四阶段：协调与计划。攻击者协调并制定计划来启动行动。随着资产继续创建无缝攻击，此阶段可能会持续数天、数周或数月。例如：

• 通过公共帖子进行协调

• 在私人团体中培训新成员

• 使用加密应用程序进行协调

• 发布目标和标签列表

• 跨多个账户自动发帖

第五阶段：测试防御。威胁行为者将使用规模较小、不太明显的技术来测试网络的漏洞、防御和对各种事件的安全响应。老练对手会花时间进行一些测试，以确定执行操作的最佳机会。例如：

• 将网络钓鱼链接发送到行动控制的电子邮件账户

• 发布违规图片的A/B变体

• 发布违规文本的A/B变体

• 使用公开可用的工具测试自己的恶意软件

• 以不同的速率从不同的账户发布垃圾邮件

第六阶段：逃避检测。攻击者不会掩饰其存在，而是在不触发安全系统的情况下“飞到雷达下方”。例如：

• 使用拼写错误混淆关键短语

• 限制网站受众的地域

• 编辑图像

• 通过虚拟专用网络（VPN）或匿名Web浏览器（如Tor）路由流量

• 使用编码语言或参考资料

第七阶段：无差别接触。许多不太复杂的攻击活动使用一种技术，涉及对目标进行不同的操作并查看哪些有效、哪些受阻。更高级的攻击者可能会使用更精确的尝试来攻击特定受害者。例如：

• 在网络论坛上发布与主题不相符的内容

• 回复与主题无关的帖子

• 仅在行动控制的网站上发布

• 仅发布到行动控制的社交媒体时间表

• 使用行动控制资产评论其他行动控制资产的帖子，其中任何资产都没有真正的关注者

第八阶段：针对性接触。攻击者曾接触、欺骗目标，收集目标信息，查找目标漏洞，现在将精力集中在受害者身上，准备发动攻击。例如：

• 投放广告

• 使用适合目标受众的主题标签

• 给潜在的受害者或招募者发送电子邮件

• 向真实的新闻媒体提交行动材料

• 将骚扰团体定向到特定的人员或帖子

第九阶段：渗透资产。开展网络入侵，正式对目标发起攻击，获得操作所需的任何东西以获取“宝库钥匙”，包括管理员凭据、金融账户访问权限及关闭企业的能力。例如：

• 网络钓鱼电子邮件登录凭据

• 使用受感染的电子邮件账户访问社交媒体账户

• 对受害者进行社会工程以移交凭证

• 获得对社交媒体资产的管理权限

• 在受害服务器上安装恶意软件

第十阶段：长期驻留。攻击者应对网络防御的具体方式将取决于目标使用的网络安全工具和方法的类型。例如：

• 将禁用的账户替换为使用相同角色的新账户

• 更改电子邮件地址

• 创建重定向到旧网站的新网站域

• 删除日志和其他证据

• 将中断武器化，声称它一直是计划的一部分