网络攻击通常是一个有明确目标和高度组织化的过程,理解它的每个阶段有助于我们理解网络攻击的全过程,能让我们在每个阶段都做好相应的防护措施,而不只是关注最终的攻击行为和结果,有利于我们构建一个覆盖攻击链全过程的纵深防御体系。
下面,我们详细拆解每个阶段的具体任务、常用手段以及对应的防御思路。
第一阶段:侦察
攻击的第一步是信息收集。攻击者会尽可能多地了解目标,就像小偷在作案前会踩点一样。
攻击方手段:他们可能使用扫描工具(如Nmap)探测你的网络开放端口和运行的服务,通过搜索引擎、社交媒体甚至公司的垃圾箱(“垃圾桶潜水”)搜集员工信息、邮箱地址等,为后续的社交工程攻击做准备。
防御方思路:减少在互联网上公开暴露的非必要信息(例如,谨慎设置服务器目录浏览权限),对员工进行安全意识培训,并利用入侵检测系统(IDS)监控扫描行为。
第二阶段:武器化
在获取足够信息后,攻击者会制作或定制专用的攻击工具。
攻击方手段:常见的做法是将恶意代码嵌入到看似正常的文件里,比如一个PDF文档或一个Word宏,制作成鱼叉式钓鱼邮件的附件。
防御方思路:保持操作系统和应用程序(如Office、浏览器)的补丁及时更新,使用终端防护软件(EPP)检测和阻止已知的恶意软件。
第三阶段:投送
这个阶段的目标是将“武器”送达目标环境。
攻击方手段:最常见的投送方式是钓鱼邮件,诱导受害者点击恶意链接或打开附件。也可能利用存在漏洞的公共服务器或U盘等物理介质。
防御方思路:部署强大的垃圾邮件过滤网关,教育员工识别可疑邮件,并严格限制外部设备的使用。
第四阶段:漏洞利用
当武器被成功投送并触发后,攻击者会利用系统或软件的漏洞来执行恶意代码。
攻击方手段:利用软件中存在的缓冲区溢出、配置错误等漏洞,获取系统的初始访问权限。
防御方思路:同样是及时打补丁以修复已知漏洞。同时,可以采用应用白名单策略,只允许运行受信任的程序。
第五阶段:安装
成功利用漏洞后,攻击者会在目标系统上安装后门或远程控制程序(如木马、Rootkit),以建立持久的控制点。
攻击方手段:安装各种木马、后门程序,甚至修改系统本身的关键程序,以保持长期控制并隐藏自身。
防御方思路:使用终端检测与响应(EDR)工具监控系统的异常进程和文件改动,并实施最小权限原则,限制软件安装的权限。
第六阶段:指挥与控制(C&C)
安装后门后,受感染的设备(常被称为“肉鸡”)会主动与攻击者控制的服务器建立连接,接受指令。
攻击方手段:恶意程序会通过加密的通道(如HTTP、DNS协议)与C&C服务器通信,以躲避检测。
防御方思路:部署防火墙和网络流量分析工具,监控并阻断与已知或可疑的恶意域名/IP地址的通信。
第七阶段:目标行动
这是攻击的最终阶段,攻击者开始执行其真实目的。
攻击方手段:目的多种多样,包括窃取敏感数据、破坏系统完整性(如部署勒索软件加密文件)、或利用当前系统作为“跳板”向内网其他系统横向移动。
防御方思路:对核心数据进行加密和严格的访问控制,实施网络分段以限制攻击横向移动的范围,并部署数据丢失防护(DLP)系统。