典型的網(wǎng)絡(luò)攻擊環(huán)節(jié)包含以下六個(gè)主要步驟：搜索、列舉、獲得訪問權(quán)限、權(quán)限提升、保持權(quán)限、覆蓋追蹤。本論文將嘗試概述上述各步驟，從而洞察罪犯經(jīng)常采用的方法。同時(shí)還能了解到，具有入侵防護(hù)功能和經(jīng)過充分設(shè)計(jì)的安全策略的下一代防火墻將有助于消除可能會成功的攻擊。

搜索

網(wǎng)絡(luò)攻擊人員與其他任何犯罪分子的操作相同。任何攻擊的第一步均是謹(jǐn)慎搜索和情報(bào)搜集 — 就像盜賊在企圖搶劫之前會“實(shí)地考察”珠寶店那樣。搜索可以說是任何攻擊中最重要的步驟，因?yàn)榇蠖鄶?shù)攻擊人員的時(shí)間都花在此處。密謀攻擊時(shí)，所收集的信息是必要條件。甚至看似無關(guān)的細(xì)節(jié)有時(shí)能夠在成功和失敗的攻擊之間產(chǎn)生差別。

大概最出名、公開的搜索形式是社交工程。社交工程是舊問題的新術(shù)語，但是，它只不過是在冒充別人獲得信息。數(shù)十年來，詐騙大師們一直在使用這種方法，因?yàn)檫@種方法既有效又簡單。網(wǎng)絡(luò)犯罪分子對這個(gè)事實(shí)很清楚，也采用了類似的策略。這些策略包括：欺騙用戶泄露密碼的釣魚郵件;看似合法、欺騙訪客輸入密碼的網(wǎng)域嫁接(冒充身份)站點(diǎn);以及以各種方式傳送、記錄按鍵操作并將其發(fā)回給攻擊者的鍵盤記錄器惡意軟件。

并非所有搜索都通過電子方式。另一種普遍的形式是垃圾搜尋，仔細(xì)檢查帶有標(biāo)記的垃圾，希望找到敏感信息。像未正確粉碎的文件或傳統(tǒng)硬盤驅(qū)動(dòng)器這樣的事物是犯罪分子的主要目標(biāo)，希望了解其目標(biāo)的內(nèi)部業(yè)務(wù)操作。

對于潛在攻擊者，互聯(lián)網(wǎng)充滿了重要信息。社交媒體站點(diǎn)提供了詳細(xì)的個(gè)人信息，這些信息包括工作經(jīng)歷和特定的工作職責(zé)。網(wǎng)上招聘廣告經(jīng)常包含有關(guān)公司內(nèi)部所采用的計(jì)算系統(tǒng)的詳細(xì)信息，這提醒了攻擊人員可能需要的專業(yè)技能。搜索引擎站點(diǎn)與先進(jìn)的搜索技術(shù)相結(jié)合時(shí)，甚至可提供信息，如系統(tǒng)密碼和用戶憑證。

列舉

任何類型的網(wǎng)絡(luò)攻擊的第二步是列舉。在此階段，攻擊者將試圖暗中擴(kuò)大搜索過程中所獲得的知識和數(shù)據(jù)。適當(dāng)列舉系統(tǒng)和數(shù)據(jù)對攻擊至關(guān)重要，因?yàn)檫@會為執(zhí)行攻擊開辟道路。此步驟通常包含更多的高技術(shù)方法，要求適當(dāng)?shù)挠?jì)算機(jī)技能。

通過此階段，攻擊者已經(jīng)獲得了目標(biāo)公司的電話號碼和 IP 地址塊等信息。攻擊者還可能知道員工姓名、職位名稱和用戶 ID.在列舉過程中，攻擊者填補(bǔ)信息的空白，以整體了解業(yè)務(wù)的組織方式及其內(nèi)部操作。

列舉階段，服務(wù)掃描和戰(zhàn)爭撥號器使用很普遍。在服務(wù)掃描過程中，攻擊者會探出安裝在公開的 IP 地址上的操作系統(tǒng)和軟件應(yīng)用程序。可對軟件掃描版本和補(bǔ)丁信息，然后掃描已知漏洞數(shù)據(jù)庫相關(guān)的信息。戰(zhàn)爭撥號包括使用自動(dòng)系統(tǒng)撥打公司的各個(gè)電話號碼，希望找到可以直接訪問公司內(nèi)部資源的調(diào)制解調(diào)器。

獲得訪問權(quán)限

由于攻擊者探出了所有目標(biāo)的資產(chǎn)所在的確切位置以及這些系統(tǒng)上運(yùn)行的軟件應(yīng)用程序，因此下一步是滲透目標(biāo)的計(jì)算機(jī)系統(tǒng)并獲得訪問權(quán)限。攻擊者通過利用從列舉和搜索中獲得的信息，可能已經(jīng)了解到員工用戶 ID 和特定的軟件系統(tǒng)等信息。此步驟通常比之前的步驟更先進(jìn)，技術(shù)上更具挑戰(zhàn)性。

未打補(bǔ)丁的操作系統(tǒng)和較舊的應(yīng)用程序經(jīng)常很容易成為目標(biāo)。受感染的電子郵件附件可以盜用遠(yuǎn)程系統(tǒng)，安裝惡意軟件然后進(jìn)行“背景連線通訊”，從而向攻擊者提供輕松訪問安全網(wǎng)絡(luò)的權(quán)限。甚至看似無關(guān)的網(wǎng)站都可以利用 Web 瀏覽器，從而控制遠(yuǎn)程系統(tǒng)，并向攻擊者提供網(wǎng)絡(luò)的進(jìn)入權(quán)限。

大概獲得訪問權(quán)限的最危險(xiǎn)、最復(fù)雜的方法是利用零日攻擊。這些類型的攻擊包含未知以及未公開的軟件漏洞，可使攻擊者獲取被誤認(rèn)為是安全的系統(tǒng)的訪問權(quán)限。零日攻擊經(jīng)常在黑市出售，通常為極富經(jīng)驗(yàn)的攻擊者(如政府和跨國犯罪集團(tuán))所利用。

權(quán)限提升

攻擊者獲得了某個(gè)系統(tǒng)的訪問權(quán)限后，會對權(quán)限進(jìn)行提升。通過增加權(quán)限，攻擊者能夠執(zhí)行計(jì)劃并訪問可能受到限制的部分網(wǎng)絡(luò)。此階段通常涉及深入了解攻擊流程以及操作系統(tǒng)和軟件架構(gòu)。

通過確保由于擁有比需要的還多的權(quán)限而無法運(yùn)行流程，操作系統(tǒng)和軟件應(yīng)用程序試圖保護(hù)系統(tǒng)的完整性。這類似于“需要了解”的概念。如果應(yīng)用程序明顯不需要訪問內(nèi)存的各個(gè)方面，則不需要這樣做。當(dāng)獲得系統(tǒng)的訪問權(quán)限時(shí)，攻擊者已經(jīng)盜用了遠(yuǎn)程系統(tǒng)上的特定服務(wù)。此服務(wù)所擁有的系統(tǒng)權(quán)限經(jīng)常比攻擊者繼續(xù)攻擊所需的系統(tǒng)權(quán)限更少。

在此階段過程中，攻擊者試圖遷移至另一個(gè)流程或增加現(xiàn)有流程的功能。未打補(bǔ)丁和過期的軟件應(yīng)用程序在進(jìn)行權(quán)限提升時(shí)，經(jīng)常是極易受攻擊。如果已知系統(tǒng)運(yùn)行過期的版本，則提升權(quán)限的流程可能相當(dāng)微不足道，甚至可能會自動(dòng)進(jìn)行。完成后，系統(tǒng)被認(rèn)為是“擁有”狀態(tài)，這表示攻擊者可自由地做任何需要的事情。

保持權(quán)限

獲得目標(biāo)網(wǎng)絡(luò)的權(quán)限并將權(quán)限提升至必要的等級后，攻擊者盡力維持已盜用系統(tǒng)的訪問權(quán)限。此階段通常涉及使用目標(biāo)機(jī)器上的惡意軟件。安裝惡意軟件向攻擊者提供了從后門輕松進(jìn)入受害者網(wǎng)絡(luò)的能力。

可使用多種惡意軟件。但是，最常見的是木馬。木馬是將提供被盜用計(jì)算機(jī)的遠(yuǎn)程訪問權(quán)限的小程序。攻擊者經(jīng)常會用密碼設(shè)置這些后門，并將其隱藏在內(nèi)存中不起眼的位置。這些類型的應(yīng)用程序經(jīng)常會由殺毒軟件檢測出，因此攻擊者在感染前會禁用或卸載殺毒軟件。

隱藏程序是另外一種有力得多且危險(xiǎn)得多的惡意軟件，由攻擊者在此階段使用。隱藏程序和木馬一樣，向攻擊者提供了被盜用系統(tǒng)的遠(yuǎn)程訪問權(quán)限。但是，隱藏程序又和木馬不一樣，即它安裝在低級系統(tǒng)服務(wù)中，從而完全隱藏于操作系統(tǒng)中。隱藏程序可進(jìn)行安裝，以致殺毒軟件仍在運(yùn)行且處于活動(dòng)狀態(tài)，卻完全未意識到感染。

覆蓋追蹤

攻擊環(huán)節(jié)的最后步驟是讓受感染的系統(tǒng)擺脫法庭證據(jù)。攻擊者甚至?xí)卤槐I用的系統(tǒng)并對它們打補(bǔ)丁，以消除所有懷疑或擔(dān)憂。其他普遍的活動(dòng)包括清除任何歷史參考，這些參考與攻擊過程中可能已經(jīng)利用的命令或應(yīng)用程序相關(guān)聯(lián)。從日志文件中刪除日志文件或特定記錄是一種確保任何調(diào)查破壞情況的系統(tǒng)管理員將會知道很少或不清楚實(shí)際上發(fā)生的事情的簡單方式。

覆蓋追蹤經(jīng)常是攻擊環(huán)節(jié)中被疏忽的部分。但是，保護(hù)攻擊者的匿名性卻至關(guān)重要。不太熟練的攻擊者通常會留下大量的證據(jù)，這些證據(jù)可用于起訴;反之，高級、更加熟練的攻擊者在攻擊后留下的被盜用系統(tǒng)，就像在受到攻擊前一樣。