1. 概述
1.1. 侦察是威胁生命周期中最重要的阶段之一
- 1.1.1. 网络攻击的侦察阶段是整个攻击过程的关键决定因素
1.2. 在这个阶段,攻击者着重寻找可以用来攻击目标的漏洞,通过定位和收集数据,以识别目标网络、用户或计算系统中的漏洞
1.3. 分为被动和主动两种方式
1.4. 进行侦察的正确方式是,不应该让目标知道他正在被侦察
2. 外部侦察
2.1. 也称为外部踩点
- 2.1.1. external footprinting
- 2.1.2. 外部侦察是在不与系统交互的情况下完成的,通过在组织中工作的人找到切入点
2.2. 包括使用工具和技术,帮助黑客在目标网络外部操作时找到有关目标的信息
- 2.2.1. 指在目标网络之外,尽可能多地发现有关目标的信息
- 2.2.2. 使用的新工具包括Webshag、FOCA、PhoneInfoga和Harvester
2.3. 这种做法是秘密进行的,很难被检测到,因为一些侦察工具专门为躲避监控工具而设计,而其他工具则使用在服务器看来很正常的请求
2.4. 外部侦察不同于内部侦察,因为它是在威胁行为者实际渗透到组织之前进行的
- 2.4.1. 如果威胁行为者的目标不是进行高级持续性攻击,那么外部侦察也可以是根本不必渗透到组织的攻击
2.5. 外部侦察通常比内部侦察需要更少的努力,但其成功率往往很低
2.6. 外部侦察攻击通常集中在外围,黑客很少或根本没有关于目标的值得利用的信息
2.7. 证明外部侦察确实有效的事件通常是因为攻击利用了用户的粗心大意而发生的
2.8. 攻击者可以使用许多不同的技术来进行外部侦察,从扫描目标的社交媒体到翻垃圾箱,再到利用不同的社会工程技术从目标中提取信息
2.9. 浏览目标的社交媒体
- 2.9.1. 社交媒体为黑客开辟了新的猎场
- 2.9.1.1. 浏览社交媒体账户已成为进行外部侦察的常用方法
- 2.9.2. 寻找人们信息的最简单方法是通过他们的社交媒体账户,黑客发现这是挖掘特定目标数据的最佳场所之一
- 2.9.3. 一种使用社交媒体的新方法来执行更加邪恶的预攻击(pre-attack)
- 2.9.4. 另一种方式是查看他们的账户帖子,以获取可辅助破解密码的信息,或用于重置一些账户的秘密问题的答案
- 2.9.4.1. 有了社交媒体账户中的全名以及可行的密码,攻击者就能够计划如何进入网络并实施攻击
- 2.9.4.2. 众所周知,用户由于懒惰或缺乏对他们所面临的威胁的了解而使用弱密码
- 2.9.5. 社交媒体中另一个隐患是身份盗窃
- 2.9.5.1. 创建一个带有另一个人的身份的假账户是很容易的,所需要做的只是访问一些照片和身份盗窃受害者的最新细节
2.10. 垃圾搜索
- 2.10.1. 组织以多种方式处置过时的设备
- 2.10.1.1. 处理方法存在严重的隐患
- 2.10.1.2. 大多数组织在处理旧的外部存储设备或过时的计算机时都不够彻底,有些人甚至懒得删除包含的数据
- 2.10.2. 谷歌是彻底处理可能包含用户数据的设备的公司之一
- 2.10.2.1. 它销毁了数据中心的旧硬盘,以防止恶意用户访问其中的数据
- 2.10.2.2. 硬盘被放入一个粉碎机中,粉碎机将钢质活塞向上推过磁盘的中心,从而使其不可读
- 2.10.2.3. 这个过程一直持续到机器吐出硬盘的小碎片,然后这些碎片被送到回收中心
- 2.10.2.4. 谷歌选择使用军用级删除软件擦除旧硬盘上的数据,这确保了在处置旧硬盘时无法从旧硬盘中恢复数据
2.11. 社会工程
3. 内部侦察
3.1. 内部侦察是在威胁行为者已经攻破一个组织之后进行的,并且是在目标的网络内进行的,以收集关于该组织及其成员的尽可能多的情报
3.2. 内部侦察是在现场进行的
- 3.2.1. 意味着攻击是在组织的网络、系统和场所内进行的
- 3.2.2. 涉及在其网络中查找有关目标的更多信息
- 3.2.3. 黑客进入目标网络并不总是可行的
3.3. 大多数情况下,这个过程由软件工具辅助
- 3.3.1. 攻击者与实际的目标系统进行交互,以便找出有关其漏洞的信息
- 3.3.2. 内部侦察工具将主要产生关于目标的更丰富的信息
- 3.3.3. 使用的一些新工具包括Airgraph-ng、Hak5 Plunder Bug、CATT和Canary令牌链接
3.4. 内部侦察是一种被动攻击,因为它的目的是发现信息,这些信息可以在未来用于更严重的攻击
3.5. 主要目标是一个组织的内部网络,黑客肯定会在那里找到他们可以感染的数据服务器和主机的IP地址
- 3.5.1. 网络中的数据可以被同一个网络中的任何人通过正确的工具和技能获取
- 3.5.2. 嗅探工具
3.6. 内部侦察用于确定防范黑客攻击的安全机制
3.7. 内部侦察也称为利用后侦察(post-exploitation reconnaissance),因为它发生在攻击者获得网络访问权之后
- 3.7.1. 攻击者的目的是收集更多信息,以便在网络中横向移动,发现关键系统,并实施预期的攻击
4. 被动侦察与主动侦察
4.1. 主动侦察需要黑客直接与系统进行交互
4.2. 主动侦察过程的目的是获取某一组织所用系统的相关信息
- 4.2.1. 主动侦察比被动侦察更快、更准确
- 4.2.2. 主动侦察对黑客来说风险更大,因为它往往会在系统内制造更多噪声,从而大大增加黑客在系统内被检测到的可能性
4.3. 被动侦察是一种系统信息的收集过程,它使用间接手段,包括使用Shodan和Wireshark等工具
- 4.3.1. 被动侦察使用的方法包括OS fingerprinting等方法,以获取有关特定系统的信息
5. 对抗侦察
5.1. 在侦察阶段就不让攻击者的计划得逞对于阻止攻击进一步发展至关重要
5.2. 如果攻击者无法获得有关系统的关键细节,他们将最终使用试错法或根据猜测制定计划
5.3. 对抗攻击者成功完成侦察的最佳方法是,完全了解你组织内部的网络
- 5.3.1. 系统和网络中使用的所有技术
- 5.3.2. 系统中可能的差距
5.4. 最佳方式是让系统有一个日志收集点,在那里集中收集关于系统中的日志和活动的消息
5.5. 方式
- 5.5.1. 使用Graylog工具
- 5.5.1.1. 可以看到系统内的所有网络通信,以及网络通信是如何完成的
- 5.5.1.2. 该信息是从日志文件中获得的,日志文件将揭示所有被拒绝的网络连接和那些被建立的网络连接
- 5.5.2. 雇佣红队
- 5.5.2.1. 雇佣一个团队对你的系统进行道德黑客攻击
- 5.5.2.2. 红队的测试结果将帮助你识别系统基础设施中的漏洞
- 5.5.2.3. 如果红队成功进入该系统,那么他们将能够查明用来进入系统的区域,并给出关于需要额外保护的其他区域的建议
6. 防止侦察
6.1. 侦察过程是攻击的第一阶段,黑客将使用它来确定需要付出什么样的努力或使用什么工具来访问系统
6.2. 成功的侦察阶段允许黑客有效地计划他们的攻击
- 6.2.1. 如果黑客没有在这个阶段获得信息,将被迫使用试错法,这将大大增加他们在系统中的噪声,或者增加他们触发安全系统告警以阻止攻击的概率
6.3. 找到防止黑客成功执行侦察程序的方法并确定有关系统的重要细节以帮助他们更好地应对攻击是至关重要的
6.4. 渗透测试是一种解决方案
- 6.4.1. 组织可以使用它来确定攻击者在侦察期间可以获得系统哪些方面的信息
- 6.4.2. 渗透测试是一个合乎道德的黑客程序,由安全团队执行,以确定系统中的漏洞,如开放端口和攻击者可以利用来进入系统的其他漏洞
- 6.4.3. 安全小组利用能够扫描大型网络的端口扫描工具来确定与网络相关的所有主机,包括启动的主机和未启动的主机
- 6.4.4. 旨在扫描和识别系统中可能被潜在攻击者利用的任何漏洞
- 6.4.5. 有助于检测网络中处于活动状态的源IP地址,并在给定时间运行扫描工具
来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
