在這篇文章中，我們將介紹攻擊者在入侵企業(yè)網(wǎng)絡(luò)時(shí)會(huì)采取的一些初始攻擊方法。針對企業(yè)分段網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊分為幾個(gè)危險(xiǎn)的階段，企業(yè)遇到的第一個(gè)安全問題，歸根結(jié)底就是對系統(tǒng)的初始訪問權(quán)。在這一點(diǎn)上，網(wǎng)絡(luò)攻擊這的目標(biāo)就是用一系列惡意代碼感染目標(biāo)系統(tǒng)，并確保它可以在之后的攻擊活動(dòng)中成功執(zhí)行。

[[258166]]

Drive-by Download

描述：這種攻擊技術(shù)的要點(diǎn)就是欺騙受害者打開一個(gè)惡意網(wǎng)站，而這個(gè)網(wǎng)站包含了各種瀏覽器/插件的漏洞利用代碼以及惡意JavaScript文件，當(dāng)用戶打開網(wǎng)站之后，惡意代碼會(huì)在用戶毫不知情的情況下將惡意軟件下載到目標(biāo)用戶系統(tǒng)上。

如何保護(hù)自己?

保證Web瀏覽器和插件全部更新到最新版本，并運(yùn)行反惡意軟件解決方案。微軟建議用戶使用EMET和WDEG。

利用熱門應(yīng)用程序

描述：這種方法需要利用應(yīng)用程序中已知的安全漏洞、錯(cuò)誤配置或其他故障(例如SSH網(wǎng)絡(luò)服務(wù)、Web服務(wù)器和SMB2等等)，OWASP會(huì)定期更新并發(fā)布排名前十的Web應(yīng)用程序安全漏洞報(bào)告。

如何保護(hù)自己?

• 使用防火墻;
• 利用DMZ對網(wǎng)絡(luò)進(jìn)行分段;
• 遵循安全軟件部署實(shí)踐方案;
• 避免遇到CWE和OWASP標(biāo)識(shí)的安全漏洞;
• 掃描網(wǎng)絡(luò)邊界可能存在的安全漏洞;
• 監(jiān)控日志和網(wǎng)絡(luò)流量以識(shí)別匿名活動(dòng);

硬件添加

描述：計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備和計(jì)算機(jī)附加組件可能會(huì)帶有隱藏的硬件組件，這些組件的任務(wù)就是提供初始訪問權(quán)。無論是開源產(chǎn)品還是商用產(chǎn)品都會(huì)包含隱藏網(wǎng)絡(luò)連接、用于破解加密的MITM攻擊功能、鍵盤記錄、通過DMA讀取內(nèi)核內(nèi)存數(shù)據(jù)以及添加新的無線網(wǎng)絡(luò)等隱藏功能，而攻擊者正好可以利用這些隱藏功能來實(shí)現(xiàn)攻擊。

如何保護(hù)自己?

• 采用網(wǎng)絡(luò)訪問控制策略，例如設(shè)備憑證和IEEE 802.1X標(biāo)準(zhǔn);
• 限制DHCP的使用，只允許已注冊的設(shè)備使用;
• 屏蔽未注冊的設(shè)備進(jìn)行網(wǎng)絡(luò)交互;
• 使用主機(jī)保護(hù)機(jī)制來禁用未知的外部設(shè)備;

可移動(dòng)媒介

描述：這項(xiàng)技術(shù)可以利用autorun功能來執(zhí)行惡意代碼。為了欺騙用戶，攻擊者會(huì)修改或重命名合法文件，然后將其拷貝到可移動(dòng)驅(qū)動(dòng)器中。除此之外，惡意軟件還可以嵌入到可移動(dòng)媒介中。

如何保護(hù)自己?

• 禁用Windows的自動(dòng)運(yùn)行功能;
• 修改企業(yè)的安全策略，限制可移動(dòng)媒介的使用;
• 使用反病毒軟件;

網(wǎng)絡(luò)釣魚-郵件附件

描述：這種技術(shù)需要利用網(wǎng)絡(luò)釣魚郵件來傳播惡意軟件。電子郵件正文的內(nèi)容通常是一些看似合理的內(nèi)容，但是當(dāng)用戶打開郵件中的附件時(shí)，情況可就不同了。

如何保護(hù)自己?

• 使用入侵檢測系統(tǒng)(IDS)以及反病毒套件來掃描電子郵件中可能存在的惡意附件，并將其屏蔽或移除。
• 配置安全策略來屏蔽特定格式的電子郵件附件。
• 培訓(xùn)員工如何識(shí)別并避免打開釣魚郵件。

網(wǎng)絡(luò)釣魚-惡意鏈接

描述：網(wǎng)絡(luò)犯罪分子可能會(huì)在釣魚郵件中嵌入惡意鏈接來欺騙用戶下載惡意軟件。

如何保護(hù)自己?

• 仔細(xì)檢查電子郵件發(fā)件人以及嵌入的URL地址;
• 使用IDS和反病毒軟件;
• 培訓(xùn)員工，增強(qiáng)網(wǎng)絡(luò)釣魚安全意識(shí);

供應(yīng)鏈攻擊

描述：在這種技術(shù)中，攻擊者會(huì)在產(chǎn)品的供應(yīng)鏈環(huán)節(jié)中將各種后門、漏洞利用腳本和黑客工具注入到硬件或軟件中?？赡艿墓粝蛄咳缦拢?/p>

• 篡改軟件部署工具和環(huán)境參數(shù);
• 濫用源代碼庫;
• 干擾軟件升級和分發(fā)機(jī)制;
• 入侵開發(fā)系統(tǒng)鏡像;
• 修改合法軟件;

發(fā)布假冒/修改版產(chǎn)品

不過在上述手段中，攻擊者一般只會(huì)攻擊軟件分發(fā)和升級機(jī)制。

如何保護(hù)自己?

• 使用SCRM和SDLC管理系統(tǒng);
• 運(yùn)行持續(xù)性的承包商安全審查;
• 嚴(yán)格限制供應(yīng)鏈內(nèi)的訪問操作;
• 審查和控制二進(jìn)制文件的完整性;
• 掃描分發(fā)包中的病毒;
• 在部署前測試所有軟件和更新包;
• 檢查購買的硬件或軟件是否被篡改過(MD5或SHA1);