1.2 網絡攻擊

網絡攻擊指綜合利用目標網絡存在的漏洞和安全缺陷對該網絡系統的硬件、軟件及其系統中的數據進行攻擊，主要包括信息收集、漏洞掃描、獲取權限/提升權限、維持權限和清除痕跡等步驟。

1.2.1 網絡攻擊簡介

近年來，網絡攻擊事件頻發，互聯網上的木馬、蠕蟲、勒索病毒層出不窮。目前，網絡攻擊技術已經形成基本的攻擊路徑、攻擊流程，并劃分為不同的攻擊類型。

1.網絡攻擊路徑

典型的網絡攻擊路徑可以分為兩種：互聯網攻擊路徑和內網攻擊路徑。

（1）互聯網攻擊路徑

攻擊者處在開放的互聯網上，對于攻擊者而言，他能直接訪問到的企業資源是企業面向互聯網提供服務的業務系統，例如，門戶網站、辦公自動化（Office Automation，OA）系統或者其他對外的業務系統。這種情況下，攻擊者往往通過這些業務系統的漏洞，獲取服務器權限，進一步以這些服務器為跳板，再發起對內網中其他服務器或計算機的攻擊。

（2）內網攻擊路徑

在這種情況下，攻擊者通過各種方法接入內網（例如，通過無線網絡、分/子公司的網絡）。由于攻擊者處于內網當中，如果企業的安全策略設置得不嚴格，攻擊者可以輕松訪問內網的服務器或計算機；此外，網絡中大多數防護設備部署在互聯網出口，對于內網的防護往往不足，攻擊者可以輕易發現服務器的漏洞，獲取服務器權限，進而橫掃整個網絡。相比互聯網攻擊路徑，內網攻擊路徑可采用的攻擊手段更簡單、更直接。

2.網絡攻擊流程

從網絡入侵的角度看，入侵成功是一項系統性很強的工作，攻擊者往往要花費大量的時間和精力，進行充分的準備才能侵入他人的計算機系統。盡管攻擊的目標不同，但是攻擊者采用的攻擊方式和手段卻有一定的共同性。網絡攻擊的流程可以概括為信息收集、漏洞掃描、獲取權限/提升權限、維持權限和清除痕跡幾個步驟，如圖1-3所示。

（1）信息收集

信息收集的目的是得到所要攻擊的目標網絡的相關信息，為下一步行動做好準備。攻擊者會利用相關公開協議或工具，收集網絡系統中目標機器的IP地址、操作系統類型和版本、系統管理人員的郵件地址等，根據這些信息進行分析，從而了解目標系統可能存在的漏洞。

（2）漏洞掃描

收集到攻擊目標的有關網絡信息之后，攻擊者會探測網絡上的每臺主機，以尋求該系統的安全漏洞或安全弱點，攻擊者可能使用自編程序或利用公開的工具兩種方式自動掃描網絡上的主機。

（3）獲取權限/提升權限

攻擊者使用上述方法收集或探測到一些“有用”信息之后，就會對目標系統實施攻擊。通過猜測程序可對用戶賬號和口令進行破解，利用破譯程序可對截獲的系統密碼文件進行破譯，利用網絡和系統本身的薄弱環節或安全漏洞可實施電子引誘，如安裝特洛伊木馬等。大多數攻擊利用了系統軟件本身的漏洞，通常是利用緩沖區溢出漏洞來獲得非法權限。在該階段，攻擊者會試圖擴大一個特定系統上已有的漏洞，例如，試圖發現一個Set-UID根腳本，以便獲取根訪問權。獲得一定的權限后，進一步發現受損系統在網絡中的信任等級，從而以該系統為跳板展開對整個網絡的攻擊。

（4）維持權限

攻擊者在獲取權限后，往往會通過植入后門、木馬等方式，實現對服務器的長期控制，并以此為跳板，進行橫向攻擊，擴大戰果。

（5）清除痕跡

由于攻擊者的所有活動一般都會被系統日志記錄在案，為避免被系統管理員發現，攻擊者會試圖毀掉入侵攻擊的痕跡。攻擊者還會在受損系統上建立新的安全漏洞或后門，以便在先前的攻擊點被發現之后，能繼續訪問該系統。

3.網絡攻擊類型

目前的網絡攻擊模式呈現多方位、多手段化，讓人防不勝防。網絡攻擊有不同的分類標準，一般分為兩大類：主動攻擊和被動攻擊。

（1）主動攻擊

主動攻擊體現的是攻擊者訪問所需要信息的故意行為。主動攻擊會導致某些數據流的篡改和虛假數據流的產生。這類攻擊可分為篡改消息、偽造消息和拒絕服務。

1）篡改消息。篡改消息是指一個合法消息的某些部分被改變、刪除，導致消息被延遲或改變順序，通常用以產生一個未授權訪問的效果。例如，修改傳輸消息中的數據，將“允許甲執行操作”改為“允許乙執行操作”。

2）偽造消息。偽造消息指的是某個實體（人或系統）發出含有其他實體身份信息的數據信息，假扮成其他實體，從而以欺騙方式獲取一些合法用戶的權利和特權。

3）拒絕服務。拒絕服務會導致通信設備的正常使用或管理被中斷，通常是對整個網絡實施破壞，以達到降低性能、中斷服務的目的。這種攻擊也可能有一個特定的目標，如阻止到某一特定目的地的所有數據包。

（2）被動攻擊

被動攻擊主要體現攻擊者是收集信息而不是進行訪問，攻擊目標對這種攻擊活動一般不會有所覺察。被動攻擊中攻擊者不對數據信息做任何修改，截取和竊聽往往是攻擊的主要目的。被動攻擊通常包括流量分析、竊聽等攻擊方式。

1）流量分析。流量分析攻擊方式適用于一些特殊場合，例如，敏感信息都是保密的，攻擊者雖然從截獲的消息中無法得到消息的真實內容，但攻擊者還是能通過觀察這些數據包的模式，分析通信雙方的位置、通信的次數及消息的長度，獲知相關的敏感信息，這種攻擊方式被稱為流量分析。

2）竊聽。竊聽是最常用的被動攻擊手段。應用最廣泛的局域網上的數據傳輸是基于廣播方式進行的，這就使一臺主機有可能收到所在子網上傳輸的所有信息。而計算機的網卡工作在混雜模式時，可以將網絡上傳輸的所有信息傳輸到上層，以供進一步分析。如果數據傳輸時沒有采取加密措施，通過協議分析，可以完全掌握通信的全部內容。

被動攻擊不會對被攻擊的信息做任何修改，因而非常難以檢測，所以防御這類攻擊的重點在于預防，具體措施包括VPN、加密技術保護信息，以及使用交換式網絡設備等。被動攻擊不易被發現，但它常常是主動攻擊的前奏。

1.2.2 網絡攻擊模型

網絡攻擊模型是用于描述網絡攻擊的各個階段以及攻擊者使用的戰術的框架，能夠綜合描述復雜多變環境下的網絡攻擊行為，是常用的網絡攻擊分析與應對工具之一。網絡殺傷鏈（Cyber Kill Chain）和MITRE ATT&CK是分析網絡攻擊事件的主流參考模型。

1.網絡殺傷鏈模型

“網絡殺傷鏈”是洛克希德·馬丁公司（Lockheed Martin）提出的描述網絡攻擊各個階段的模型。網絡殺傷鏈包括成功的網絡攻擊所需的7個階段：偵察跟蹤、武器構建、載荷投遞、漏洞利用、安裝植入、命令與控制和目標達成。網絡殺傷鏈如圖1-4所示。

（1）偵察跟蹤

偵察跟蹤階段，是指攻擊者進行探測、識別及確定攻擊對象的階段。一般通過互聯網進行信息收集，內容包括網站、郵箱、電話等一切可能相關的情報。

（2）武器構建

武器構建階段，是指通過偵察跟蹤階段確定目標、收集足夠的信息后，準備網絡武器的階段。網絡武器一般由攻擊者直接構建或使用自動化工具構建。

（3）載荷投遞

載荷投遞階段，是指攻擊者將構建完成的網絡武器向目標投遞的階段。投遞方式一般包括釣魚郵件、物理USB投遞等。

（4）漏洞利用

漏洞利用階段，是指攻擊者將網絡武器投遞到目標系統后，啟動惡意代碼的階段。一般會利用應用程序或操作系統的漏洞或缺陷等。

（5）安裝植入

安裝植入階段，是指攻擊者在目標系統設置木馬、后門等。

（6）命令與控制

命令與控制階段，是指攻擊者建立目標系統攻擊路徑的階段。一般使用自動和手工相結合的方式進行，一旦攻擊路徑確立后，攻擊者將能夠控制目標系統。

（7）目標達成

目標達成階段，是指攻擊者達到預期目標的階段。攻擊的預期目標呈現多樣化特點，包括偵察、收集敏感信息、數據破壞和系統摧毀等。

2.ATT&CK模型

ATT&CK（Adversarial Tactics，Techniques，and Common Knowledge）是一個反映各個攻擊生命周期的攻擊行為的模型和知識庫。

目前，ATT&CK模型分為三部分，分別是PRE-ATT&CK、ATT&CK for Enterprise和ATT&CK for Mobile。其中，PRE-ATT&CK覆蓋網絡殺傷鏈模型的前兩個階段，包含了與攻擊者在嘗試利用特定目標網絡或系統漏洞進行相關操作時有關的戰術和技術。ATT&CK for Enterprise覆蓋網絡殺傷鏈的后五個階段，由適用于Windows、Linux和macOS系統的技術和戰術組成。ATT&CK for Mobile包含了適用于移動設備的戰術和技術。ATT&CK模型與網絡殺傷鏈的對應關系如圖1-5所示。

PRE-ATT&CK：攻擊前的準備，包括優先級定義、選擇目標、信息收集、發現脆弱點、建立和維護基礎設施、構建能力等。

ATT&CK for Enterprise：攻擊時的部分已知技術手段，包括訪問初始化、執行、常駐、提權、防御規避、訪問憑證、發現、橫向移動、收集、數據獲取、命令和控制等。

ATT&CK for Mobile：移動端的部分已知技術手段，和ATT&CK for Enterprise類似，只是適用的平臺不同。

1.2.3 常見網絡攻擊技術

常見的網絡攻擊技術包括網絡掃描、口令攻擊、網絡嗅探、漏洞利用、拒絕服務攻擊、釣魚網站、高級持續性威脅攻擊等。

1.網絡掃描

網絡掃描是攻擊者發起入侵前信息收集的重要手段。通過網絡掃描，可以獲得攻擊目標主機信息、端口和服務、漏洞信息等。最著名的開源掃描工具就是Nmap，它用來掃描主機開放的網絡端口，確定哪些服務運行在哪些網絡端口，并且推斷主機操作系統類型。Nmap主要包括主機發現、端口掃描、服務和版本探測等功能。

2.口令攻擊

口令攻擊是指使用某些合法用戶的賬號和口令登錄目標主機，再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的賬號，再進行合法用戶口令的破譯。攻擊者獲得賬號的方法非常多，例如，通過互聯網收集信息、收集人員名單或員工ID，這些信息常常作為系統的登錄用戶名，有了用戶名，就可以進一步在系統登錄窗口嘗試用不同的密碼進行爆破登錄，配合自動化程序和廣泛使用的弱口令（如123456、123、123123等）可以輕松突破很多系統。口令攻擊是目前互聯網攻擊手段中最常用也是最有效的攻擊方法。

3.網絡嗅探

網絡嗅探可以通過將主機的網卡設置為混雜模式實現。在這種模式下，主機能夠接收到所有經過該網卡的流量信息。在實際攻擊中，既可以通過物理的方式將網絡流量引導到監聽主機，也可以通過中間人攻擊的方式將網絡流量引導到監聽主機。對于監聽的流量，只要未經過加密處理，借助網絡監聽工具（如Sniffer、Wireshark等）就可輕而易舉地截取包括口令和賬號在內的信息。雖然網絡監聽獲得的用戶賬號和口令具有一定的局限性，但監聽者往往能夠獲得其所在網段的所有用戶賬號及口令。

4.漏洞利用

許多系統，包括操作系統和應用軟件，都有這樣或者那樣的安全漏洞（Security Vulnerability）。常見的漏洞如緩沖區溢出漏洞，它是目前遠程網絡攻擊的主要手段。緩沖區溢出漏洞是由于系統在不檢查程序和緩沖區之間變化的情況下，就接收任意長度的數據輸入，把數據放在堆棧里，這樣攻擊者只要發送超出緩沖區所能處理長度的指令，系統便進入不穩定狀態。若攻擊者特別設置一串用作攻擊的字符，甚至能訪問根目錄，就能擁有對整個主機的絕對控制權。例如，WannaCry勒索病毒就是利用CVE-2017-0143這個緩沖區溢出漏洞進行傳播的，通過該漏洞，攻擊者可以直接獲得被攻擊目標主機的最高權限。還有一些是利用協議漏洞進行攻擊，例如，TCP SYN Flood攻擊利用的是TCP的三次握手，攻擊者發送大量SYN數據包，接收方需要消耗很多資源去接收和處理數據包，從而導致網站無法訪問、網站響應速度大大降低，甚至服務器癱瘓。

5.拒絕服務攻擊

拒絕服務攻擊（Denial of Service，DoS）是指占據大量的共享資源，使系統沒有剩余的資源給其他用戶，從而使服務請求被拒絕，造成系統運行遲緩或癱瘓。拒絕服務攻擊有很多途徑，可以利用系統的漏洞進行攻擊，例如，CVE-2012-0002漏洞可以導致Windows服務器藍屏重啟，還可以通過流量發起攻擊，如SYN Flood、UDP Flood、ICMP Flood等方式。

最令防護者頭疼的攻擊方式是分布式拒絕服務（Distributed Denial of Service，DDoS）攻擊。該攻擊是指攻擊者利用分布式的客戶端，向服務提供者發起大量請求，消耗或者長時間占用大量資源，從而使合法用戶無法正常獲取服務。DDoS攻擊不僅可以實現對某一個具體目標的攻擊，如Web服務器或DNS服務器，而且可以實現對網絡基礎設施的攻擊，如路由器等，利用巨大的流量攻擊使攻擊目標所在的網絡基礎設施過載，導致網絡性能大幅度下降，影響網絡所承載的服務。DDoS攻擊就像一家超市的競爭對手，雇傭了一大群人堵在這家超市的大門口，或者讓這群人占滿整個超市，在每個貨架前不停選購大量的商品，卻不付款離開，從而使得正常顧客無法順利到達超市購買商品，超市也無法正常為顧客提供商品等服務。

6.釣魚網站

所謂釣魚網站，就是頁面中含有虛假欺詐信息的網站。比較常見的釣魚網站形式有：仿冒銀行、仿冒登錄、虛假購物、虛假票務、虛假招聘、虛假中獎、虛假博彩和虛假色情網站。

釣魚網站的實質是內容的欺騙性，頁面本身一般并不包含任何惡意代碼，沒有代碼層面的惡意特征，在很多情況下，即便是專業安全人員，也很難僅從頁面內容來判斷網頁的真實性。因此，使用傳統的反病毒技術中的特征識別技術很難有效識別出釣魚網站，更不太可能在用戶計算機本地端進行識別。也就是說，盡管從制作技術來看，釣魚網站要比木馬病毒簡單得多，但其識別難度更大，欺騙性更強。

7.高級持續性威脅攻擊

高級持續性威脅（Advanced Persistent Threat，APT）利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊。APT攻擊的原理相對于其他攻擊形式更為高級和先進，其高級性主要體現在發動攻擊之前需要對被攻擊對象的業務流程和目標系統進行精確的收集，在收集的過程中，APT攻擊會主動挖掘被攻擊對象的系統和應用程序漏洞，利用這些漏洞信息組建攻擊路徑，并利用零日漏洞進行攻擊。APT攻擊一般是以竊取核心資料為目的，針對特定目標所發動的網絡攻擊和入侵行為，是蓄意的“惡意間諜行為”。這種行為往往經過長期的經營與策劃，并具備高度的隱蔽性。

APT攻擊一般受國家或大型組織操控，受國家利益或經濟利益驅使，由具有豐富經驗的黑客團伙實施，具有針對性強、組織嚴密、攻擊技術高級、攻擊手段多樣、攻擊持續時間長、隱蔽性高等特點，是近年來出現的新型綜合性網絡攻擊手段。

（1）針對性強

APT攻擊的目標明確，多數為擁有豐富數據或知識產權的組織，所獲取的數據通常為商業機密、國家安全數據、知識產權等。相對于傳統攻擊的盜取個人信息，APT攻擊只關注預先指定的目標，所有的攻擊方法都只針對特定目標和特定系統，針對性較強。

（2）組織嚴密

APT攻擊如若成功可帶來巨大的利益，因此攻擊者通常以組織形式存在，由高級黑客形成團體，分工協作，經長期預謀策劃后進行攻擊。他們在經濟和技術上都擁有充足的資源，具備長時間專注APT研究的條件和能力。

（3）攻擊技術高級

在APT攻擊實施過程中，攻擊者往往使用自己設計、具有極強針對性和破壞性的惡意程序，在恰當的時機與其他攻擊手段（如尚未公開的零日漏洞）協同使用，對目標系統實施毀滅性的打擊。另外，這些攻擊者能夠動態調整攻擊方式，從整體上掌控攻擊進程，且具備快速編寫所需滲透代碼的能力，因而與傳統攻擊手段和入侵方式相比，APT攻擊更具技術含量，過程也更為復雜。

（4）攻擊手段多樣

APT攻擊者的攻擊方式靈活多樣，既包括傳統的病毒、木馬植入、軟件后門、零日漏洞等技術手段，也包括社會工程學、心理學等各種線下攻擊手段。

（5）攻擊持續時間長

APT攻擊一般從一開始就具有明確的目標，通過長期不斷的監控、入侵及必要的隱蔽手段逐步實施攻擊步驟，其周期可能較長，但效果會更佳。攻擊者在沒有完全獲得所需要的信息之前，會長時間對目標網絡發動攻擊，持續時間可能長達數月或者數年，其背后往往體現著組織或國家的意志。APT攻擊具有持續性的特征，這種“持續性”體現在攻擊者不斷嘗試各種攻擊手段，以及滲透到網絡內部后的長期蟄伏。

（6）隱蔽性高

APT攻擊根據目標的特點，繞過目標所在網絡的防御系統，極其隱蔽地盜取數據或進行破壞。在信息收集階段，攻擊者常利用搜索引擎、爬蟲等手段持續滲透，使被攻擊者很難察覺；在攻擊階段，基于對目標嗅探的結果，攻擊者設計開發極具針對性的木馬等惡意軟件，繞過目標網絡防御系統進行隱蔽攻擊；在對外通信過程中，也會采用加密鏈路等手段逃脫現有的監測技術。