什么是网络攻击链?一文了解攻击链(第48课)

本篇是样本分析手册的最终篇章,前面的几大篇章主要侧重于基础调试技巧和样本分析方法,而溯源篇是在掌握之前技能的基础上,进行能力进一步提升,可以说掌握了常规的溯源方法,才算是一名合格的恶意样本分析人员

 

单就从“恶意样本分析人员”这个职位名称来看,可以拆分为:

“恶意” + “样本” +“分析” + “人员”

 

其中:

  • 样本是我们关注的重点,也是最初的原材料(巧妇难为无米之炊),有了样本才能够进行下一步分析。
  • 分析是通过掌握的知识技能去了解样本的功能(做饭的技法)以及样本制造者的创造性思维。
  • 人员当然意指分析人员(一千个读者就有一千个哈姆雷特),一份样本分析报告的质量,视分析人员的能力水平而定。
  • 恶意样本溯源追踪主要去了解攻击者或者团队的意图;(有因才有果,这里主要是通过分析结果,去了解攻击者的意图,比如:政治,私怨,业务,经济等)。

 

攻击链简介

攻击链

 

  • Reconnaissance:侦查,充分的社会工程学了解目标。
  • Weaponization:定向的攻击工具的制作。常见的工具交付形态是带有恶意代码的pdf文件或office文件。
  • Delivery:把攻击工具输送到目标系统上。APT攻击者最常用这三种来传送攻击工具,包括邮件的附件、网站(挂马)、USB等移动存储。
  • Exploitation:攻击代码在目标系统触发,利用目标系统的应用或操作系统漏洞控制目标。
  • Installation:远程控制程序的安装。使得攻击者可以长期潜伏在目标系统中。
  • Command and Control (C2) :被攻破的主机一般会与互联网控制器服务器建立一个C2信道,即与C2服务器建立连接。
  • Actions on Objectives:经过前面六个过程,攻击者后面主要的行为包括:
  • 偷取目标系统的信息,破坏信息的完整性及可用性等。
  • 进一步以控制的机器为跳转攻击其它机器,扩大战果。
头像
  • ¥ 498.0元
  • 市场价:598.0元
  • ¥ 298.0元
  • 市场价:498.0元
  • ¥ 99.0元
  • 市场价:159.0元
  • ¥ 59.8元
  • 市场价:99.8元

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: