1. 網絡殺傷鏈的進化過程

1.1. 從2011年首次發布起，網絡殺傷鏈模型發生了巨大的變化，主要原因是攻擊者和攻擊方法的快速演變

• 1.1.1. 攻擊者不斷發展他們的攻擊方法

• 1.1.2. 由于殺傷鏈是基于攻擊者使用的方法論，因此它也必然會演變以適應威脅行為者方法和能力的變化

1.2. 在一開始，網絡殺傷鏈是相當可預測的，各階段都有清晰的定義，每個階段的活動都有清晰的概述

1.3. 在最近一段時期，因為攻擊的不可預測性，殺傷鏈變得更加難以預測

1.4. 使用殺傷鏈作為網絡安全主要安全解決方案的偏好，也給組織帶來了新的安全挑戰，因為攻擊者非常清楚組織將用哪些步驟來保護其系統

• 1.4.1. 攻擊者現在要么選擇避開某些步驟，要么選擇結合一些步驟來幫助他們避免被檢測

1.5. 由于這種演變和對該模型的普遍關注，殺傷鏈不應被視為可以應用于每一次攻擊的萬能工具，而應被視為更好地理解攻擊者的方法和動機的起點

2. 網絡殺傷鏈中使用的工具

2.1. Metasploit

• 2.1.1. 是一個傳奇的、基于Linux的黑客框架，已經被黑客使用了無數次

• 2.1.2. 由許多黑客工具和框架組成，它們可以用來對目標實施不同類型的攻擊

• 2.1.3. 到目前為止，該框架已有超過1500個可用于攻擊瀏覽器、Android、Microsoft、Linux和Solaris操作系統的漏洞，以及適用于任何平臺的其他漏洞

• 2.1.4. 是一個可以在網絡殺傷鏈的所有階段使用的工具

• 2.1.5. 該框架還用于滲透測試，以確保組織受到保護，不受攻擊者常用的滲透技術的影響

• 2.1.6. 該框架將告訴用戶可以使用的漏洞數量和有效負載數量

  • 2.1.6.1. 用戶必須根據目標或目標網絡上要掃描的內容來搜索要利用的漏洞

  • 2.1.6.2. 當一個人選擇一個漏洞時，他會得到可以在該漏洞下使用的有效負載

2.2. Twint

• 2.2.1. 網絡攻擊的一個普遍趨勢是，黑客越來越關注使用社會工程的網絡釣魚攻擊

• 2.2.2. 偵察目標是黑客感興趣的組織中關鍵工作人員的在線檔案

• 2.2.3. 目的是讓這項任務變得更簡單，它允許人們從經過驗證的個人資料、電子郵件地址和特定地理位置等內容中抓取某個人發布的包含特定短語的推文

• 2.2.4. 開源的，只能在Linux平臺上運行

2.3. Nikto

• 2.3.1. 在偵察階段，威脅行為者會盡可能地尋找可利用的弱點，甚至是在組織的網站中

• 2.3.2. Nikto是一個基于Linux的網站漏洞掃描程序，黑客使用它來識別組織網站中可利用的漏洞

• 2.3.3. 使用該工具能夠掃描Web服務器，可查找6800多個常見漏洞

• 2.3.4. 可以掃描250多個平臺上未打補丁的服務器版本，還可以檢查Web服務器中的文件配置是否有錯誤

• 2.3.5. Nikto并不善于掩蓋其蹤跡，因此幾乎總是被入侵檢測和防御系統發現

2.4. Kismet

• 2.4.1. 是一款無線網絡嗅探和入侵檢測系統

• 2.4.2. 通常會嗅探802.11的第2層流量，其中包括802.11b、802.11a和802.11g

• 2.4.3. 可與運行該工具的機器上的任何可用無線網卡配合使用，以便進行嗅探

• 2.4.4. 如果它檢測到Wi-Fi網絡是安全的，那么它將檢測所使用的加密是否脆弱

2.5. Sparta

• 2.5.1. 是一個新的網絡利用工具，現在預裝在Kali Linux中

• 2.5.2. 該工具整合了通常提供碎片化服務的其他Web滲透工具的功能

• 2.5.3. 黑客使用Nmap進行網絡掃描，然后使用其他工具進行攻擊，因為Nmap不是為執行攻擊而設計的

• 2.5.4. Sparta可以通過掃描網絡并識別其上運行的主機和服務來進行偵察，然后對主機和服務本身進行攻擊

• 2.5.5. Sparta可以用在殺傷鏈的多個階段

  • 2.5.5.1. 當有人已經連接到攻擊者希望攻擊的網絡時，該工具就會起作用

2.6. John the Ripper

• 2.6.1. 是可以在Linux和Windows操作系統上應用的功能強大的密碼破解工具，被黑客用來執行字典攻擊

• 2.6.2. 該工具用于從臺式機或基于Web的系統和應用程序的加密數據庫中檢索實際的用戶密碼

• 2.6.3. John the Ripper的工作原理是對常用的密碼進行采樣，然后用特定系統所使用的相同算法和密鑰進行加密

• 2.6.4. 它將其結果與數據庫中存儲的密碼進行比較，查看是否有匹配的結果

• 2.6.5. 它標識密碼的加密類型，可以是RC4、SHA或MD5，以及其他常見加密算法，它還會查看加密是否鹽

  • 2.6.5.1. 鹽化表示加密過程中添加了額外的字符，使黑客更難恢復原始密碼

• 2.6.6. 它嘗試通過將散列密碼與其數據庫中存儲的許多其他散列進行比較來檢索原始密碼

2.7. Hydra

• 2.7.1. 它在線運行，而John the Ripper離線使用

• 2.7.2. Hydra可用于Windows、Linux和Mac OSX

• 2.7.3. 該工具常用于快速的網絡登錄黑客攻擊

• 2.7.4. 使用字典攻擊和暴力破解兩種方式來攻擊登錄頁面

  • 2.7.4.1. 攻擊者向Hydra提供目標在線系統的登錄頁面，然后Hydra嘗試用戶名和密碼字段的所有可能組合，并離線存儲其組合，這使得匹配過程更快

• 2.7.5. Hydra已被發現對數據庫、LDAP、SMB、VNC和SSH有效

2.8. Aircrack-ng

• 2.8.1. Aircrack-ng是一套用于無線攻擊的危險工具族，已成為當今網絡空間的傳奇

• 2.8.2. 既適用于Linux操作系統，也適用于Windows操作系統

• 2.8.3. Aircrack-ng會先依賴于其他工具獲取有關其目標的一些信息

  • 2.8.3.1. Airdump-ng是執行此操作的常用工具，但其他工具（如Kismet）是可靠的替代工具

  • 2.8.3.2. Airdump-ng檢測無線接入點和連接到它們的客戶端，該信息被Aircrack-ng用來入侵接入點

• 2.8.4. Aircrack-ng用于恢復安全Wi-Fi網絡的密鑰，前提是它在其監控模式下捕獲特定閾值的數據包

  • 2.8.4.1. 該工具正被專注于無線網絡的白帽公司采用

  • 2.8.4.2. 該套件包括FMS、Korek和PTW等類攻擊，這使得它的能力令人難以置信

    2.8.4.2.1. FMS攻擊用于攻擊已使用RC4加密的密鑰

    2.8.4.2.2. KoreK用于攻擊使用Wi-Fi加密密碼(WEP)保護的Wi-Fi網絡

    2.8.4.2.3. PTW用于破解WEP和WPA（代表Wi-Fi Protected Access）安全防護的Wi-Fi網絡

2.9. Airgeddon

• 2.9.1. 是一款Wi-Fi攻擊工具，可以讓黑客接入受密碼保護的Wi-Fi連接

• 2.9.2. 要求黑客獲得可以監聽網絡的無線網卡，掃描適配器范圍內的所有無線網絡，并找出連接到這些網絡的主機數量

2.10. Deauther Board

• 2.10.1. 一個非常規的攻擊工具，因為它不只是一個軟件，也是一個可以連接到任何計算機的即插即用板

• 2.10.2. 旨在通過取消身份驗證來攻擊Wi-Fi網絡

  • 2.10.2.1. 取消身份驗證攻擊已被證明非常強大，可以斷開連接到無線接入點的所有設備

• 2.10.3. 具有在大范圍內尋找網絡的能力

• 2.10.4. 黑客必須選擇要在其上執行攻擊的網絡，并且Deauther Board將執行取消認證攻擊

2.11. HoboCopy

• 2.11.1. 基于Windows的系統使用LM散列來存儲密碼

• 2.11.2. 利用卷影復制服務(Volume Shadow Service)來創建計算機磁盤的快照，然后復制其內容

2.12. EvilOSX

• 2.12.1. 黑客危害Mac的為數不多的幾種方法之一就是通過一個名為EvilOSX的工具獲取遠程訪問權限

• 2.12.2. 使用此工具的唯一挑戰是，黑客應該具有訪問受害者計算機的物理權限，或者通過社會工程手段說服目標在其系統上運行有效負載

• 2.12.3. 一次精心策劃的攻擊可能會對目標造成毀滅性的影響

3. TA 002執行戰術

3.1. 命令和腳本解釋器

• 3.1.1. 對手可能濫用命令和腳本解釋器來執行命令、腳本或二進制文件，包括PowerShell、AppleScript、UNIX和Windows Shell

3.2. 針對客戶端執行的攻擊

• 3.2.1. 對手可能會利用客戶端應用程序中的軟件漏洞來執行代碼

• 3.2.2. 對手可以通過有針對性地利用某些漏洞來執行任意代碼

3.3. 進程間通信

• 3.3.1. 對手可能會濫用進程間通信(Inter-Process Communication，IPC)機制來執行本地代碼或命令

3.4. 原生API

• 3.4.1. 對手可以直接與原生操作系統應用編程接口(Application Programming Interface，API)交互來執行行為

3.5. 計劃的任務/作業

• 3.5.1. 對手可能濫用任務調度功能來促進惡意代碼的初始或重復執行

3.6. 共享模塊

• 3.6.1. 對手可能濫用共享模塊來執行惡意負載

3.7. 軟件部署工具

• 3.7.1. 對手可以訪問并使用安裝在企業網絡中的第三方軟件套件，如管理、監控和部署系統，從而在網絡中橫向移動

3.8. 系統服務

• 3.8.1. 對手可能會濫用系統服務或守護程序來執行命令或程序

3.9. 用戶執行

• 3.9.1. 對手可能依靠用戶的特定動作來獲得執行

• 3.9.2. 用戶可能會受到社會工程的影響

3.10. Windows管理規范

• 3.10.1. 對手可能會濫用Windows管理工具(Windows Management Instrumentation，WMI)來實現執行

4. 使用Comodo AEP

4.1. Comodo AEP的Dragon Platform就是這樣一種工具，它匯集了一種可以在殺傷鏈的每個階段阻止黑客的方法

4.2. Comodo有一個默認的拒絕技術，當攻擊發生時，它對阻止攻擊特別有用，因為它可以防止未知文件創建網絡通信的套接字

• 4.2.1. 只有在文件判定系統確定文件是安全的之后，才允許它創建套接字并與網絡通信

• 4.2.2. 這消除了對解碼協議、識別非標準端口使用和協議隧道的需要，因為文件在確認它們絕對安全之前無法通信

4.3. Comodo使用了一個略有不同的殺傷鏈版本，只有三個步驟：準備、入侵和主動破壞

4.4. 準備階段

• 4.4.1. Comodo已經將殺傷鏈的偵察階段映射到MITRE攻擊準備階段

• 4.4.2. 在此階段，威脅行為者的行動大多是被動的

4.5. 入侵階段

• 4.5.1. 殺傷鏈的投送階段是Comodo主要與MITRE ATT&CK分類法進行交互的階段

• 4.5.2. 技術

  • 4.5.2.1. 破壞驅動

  • 4.5.2.2. 利用面向公眾的應用程序

  • 4.5.2.3. 外部遠程服務

  • 4.5.2.4. 硬件添加

  • 4.5.2.5. 網絡釣魚

  • 4.5.2.6. 通過可移動介質復制

  • 4.5.2.7. 供應鏈破壞

  • 4.5.2.8. 信任關系

  • 4.5.2.9. 有效賬戶

• 4.5.3. 殺傷鏈的利用階段主要包括“TA 002執行戰術”?。

4.6. 殺傷鏈的安裝階段主要是攻擊者使用MITRE ATT&CK持久化戰術

• 4.6.1. 用于持久化的技術包括任何訪問、操作或配置更改，這些更改使它們能夠在系統里站穩腳跟

4.7. 可以使用基于網絡的過濾器，包括內嵌AV、代理過濾器或DNS過濾器

4.8. 主動破壞階段

• 4.8.1. 殺傷鏈的最后兩步，指揮控制以及針對目標行動，被認為是主動破壞

• 4.8.2. 技術

  • 4.8.2.1. 應用層協議

  • 4.8.2.2. 通過可移動介質進行通信

  • 4.8.2.3. 數據編碼

  • 4.8.2.4. 數據混淆

  • 4.8.2.5. 動態分解(Dynamic Resolution)

  • 4.8.2.6. 加密信道

  • 4.8.2.7. 回退信道

  • 4.8.2.8. 入口工具傳輸

  • 4.8.2.9. 多級信道

  • 4.8.2.10. 非應用層協議

  • 4.8.2.11. 非標準端口

  • 4.8.2.12. 協議隧道

  • 4.8.2.13. 代理

  • 4.8.2.14. 遠程訪問軟件

  • 4.8.2.15. 流量信令

  • 4.8.2.16. 網絡服務

• 4.8.3. 針對指揮控制的常規防御基于網絡入侵防御技術，如NIDS、NIPS、UTM、DNS過濾等

• 4.8.4. 所有這些技術都依賴于入侵檢測簽名或基于行為的簽名來阻止網絡邊界的流量

4.9. Comodo AEP特別有用的地方，因為它只是防止未知文件創建網絡通信的套接字，這大大簡化了這個過程

• 4.9.1. Comodo對于防御網絡殺傷鏈中各類APT攻擊特別有用