您当前的位置:首页 > 电脑百科 > 安全防护 > 网络安全

APT检测利器系列3-Root9b网络攻击模型

时间:2019-12-13 10:18:34  来源:  作者:

高级可持续威胁(Advanced Persistent Threat,APT),也称为“APT攻击”,逐渐进入公众的视野。研究者目前认为APT攻击的概念是由美国空军安全分析师于2006年提出的,是指由掌握丰富攻击资源的、有组织的专业攻击者发起的,针对经济、政治和国家安全相关的重要目标,利用先进的攻击技术和理念开展的隐蔽的和持续的攻击过程

APT攻击有三个特点:

  • 高级--是指攻击者掌握先进的攻击工具和技术,具备自主开发漏洞利用工具的能力。
  • 持续--是指攻击者会持续不断的进行攻击以达成最终攻击目标。
  • 威胁--是指攻击是由掌握丰富资源的攻击组织发起的,具有明确攻击动机。

 

传统的攻击检测方法很难检测出APT攻击,研究者针对这一问题进行了研究,提出了一系列APT攻击检测的模型、技术和方法,本系列文章将相关的内容进行汇总、分析和整理,为读者提供参考。

 

APT检测利器系列3-Root9b网络攻击模型

 

 

APT检测利器系列3-Root9b网络攻击模型

 

Root9b是2011年成立的,总部位于美国科罗拉多州的网络安全公司,主要业务是网络安全产品、服务和培训,该公司提出了“威胁猎杀”(HUNTing)的概念,并声称可以在攻击者窃取信息之前发现攻击活动。该公司引起了网络安全领域的广泛重视,曾经在Cybersecurity Ventures发布的《网络安全创新500强》企业榜单中排名第一。

 

在Root9b开展的高级培训班中,提出了Root9b攻击模型,将网络攻击过程进行了分解,细化为踩点、扫描、枚举、网络结构图、获取访问权、权限提升和溢出后控制等过程,具体过程如下图所示。

 

APT检测利器系列3-Root9b网络攻击模型

 

 

踩点(Footprinting):是对目标进行分析、识别和发现的过程。通常使用开源工具,包括社会工程学、电子邮箱搜索、搜索引擎hack、traceroutes、ping, network lookup等。

扫描(Scanning):根据踩点获取的信息对目标网络进行更深入地探测,这一步骤一般包括端口扫描、操作系统识别等过程,以确定是否可以获取目标系统的访问权。

枚举(Enumeration): 与目标系统的特定服务进行交互,以确定操作系统和应用软件的版本等细节信息,枚举技术一般包括搜索网络共享、运行的应用程序版本、用户账户、SNMP枚举等。

网络结构图(Network MApping):此步骤根据所有可用的资源(如日志、扫描、枚举结果等),创建目标网络的可视化结构图,此结构图是从攻击者角度出发,与系统管理员角度看到的可能不一样,根据网络结构图制定进一步攻击计划。此步骤不是必须的。

获取访问权(Gaining Access):此步骤就是指通过漏洞利用过程获取系统访问权。利用客户端应用程序漏洞利用、内部人员渗透、远程漏洞利用和供应链攻击等方式获取目标系统和网络的访问权,也可以通过鱼叉式钓鱼攻击、缓冲区溢出、嵌入式设备溢出、证书伪装攻击等方式达到目的。

权限提升(Privilege Escalation): 如果使用的漏洞利用工具获取的系统访问权不能满足攻击要求,攻击者就需要权限提升以获取更高的权限,在许多情况下都需要进行这个过程。通常,可以通过本地漏洞利用机获取root权限或者系统权限,这是最高的用户权限。

溢出后的控制(Post Exploitation): 这一步实际上是有许多步组成,取决于具体的任务目标。这一步可能包含以下任何步骤的全部或部分的组合:

目标调查或远程取证分析

消除痕迹

数据收集

后门和木马、Rootkit

计算机网络攻击 6D

破坏 Disrupt

拒绝 Deny

降级 Degrade

欺骗 Deceive

销毁 Destroy

延迟 Delay

 

目标调查或远程取证分析(Target Survey & Remote Forensics Analysis):这一步对目标系统进行分析,以确定其安全机制、文件存储位置或用户权限,这有助于获取目标控制权并避免被发现。

消除痕迹(Cover Tracks & cleanup): 此步骤是消除漏洞利用或访问过程遗留的可以用于取证的残留数据。此步骤是攻击者保持隐蔽性的最重要的步骤之一,也通常是系统管理员发现攻击最重要的机会。

数据收集(Data Collection): 攻击者总会在网络中采取一些行动,这些行动不单纯为了展示攻击能力,而是为了获取尽可能多的东西,如敏感数据,网络流量分析是这一步的重要手段。

后门和木马、Rootkit(Backdoor, Implant, Persistence): 此步骤需要安装一个应用程序,通过内核钩子或者其他机制部署,以保持攻击者对目标系统或网络的持续访问权。如果植入的远程控制工具设计的好,攻击者可以对目标网络进行长期的隐秘控制。

计算机网络攻击(Computer Network Attack): 这一步攻击者已将目标网络确定为可能的攻击目标,并有计划的对其发动攻击。这种攻击可能是远程的,也可能是本地的,可能通过已经获取的访问权或者没有取得访问权,攻击者通常会识别核心和重要的网络进程,并在目标网络中执行破坏、拒绝服务、降级、摧毁或欺骗等活动,这些活动简称6D。

 

APT检测利器系列3-Root9b网络攻击模型

 

 



Tags:网络攻击   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
我们都知道公司网络中开放的端口越多,遭受网络攻击的可能性就越大,就越容易发生数据泄露事件。 在这篇文章中,我们将讨论与开放端口相关的网络安全隐患。 网络中的端口 据统计...【详细内容】
2021-12-10  Tags: 网络攻击  点击:(33)  评论:(0)  加入收藏
网络安全服务商Randori公司日前发布了一份调查报告,列出了网络攻击者最有可能攻击或利用的IT资产。在遭遇Solarwinds黑客攻击一周年之际,以及在网络安全(尤其是勒索软件和供应...【详细内容】
2021-10-28  Tags: 网络攻击  点击:(57)  评论:(0)  加入收藏
一场意料之外的大停电可能成为现代社会的一场灾难。随着网络环境的开放,关键设施控制网络的数字化水平不断提高,以电力为首的能源系统遭到的网络攻击显著增多,成为电网安全...【详细内容】
2021-10-22  Tags: 网络攻击  点击:(37)  评论:(0)  加入收藏
黑客与安全在当今的互联网当中,总是存在着我们看不见也摸不着的一些 “互联网地下工作者”,也就是黑客。黑客的攻击方式分为很多种,有非破坏性攻击和破坏性攻击。非破坏性攻击...【详细内容】
2021-10-09  Tags: 网络攻击  点击:(60)  评论:(0)  加入收藏
DDoS之所以猖獗,是因为巨大的市场需求,尤其是在竞争激烈的行业。要想占领市场,十次宣传可能不如一次DDoS攻击快,鬼影互联但一次宣传可以发动十次甚至几十次DDoS攻击。现在国家越...【详细内容】
2021-06-02  Tags: 网络攻击  点击:(147)  评论:(0)  加入收藏
你的手机可能被入侵的方式有几种种。让我们分解每一个,看看一些可能的预防措施。1:手机丢失或被盗如果你丢失了手机,它可能会落入坏人之手。如果他们还有关于你的其他信息,他们...【详细内容】
2021-06-01  Tags: 网络攻击  点击:(131)  评论:(0)  加入收藏
新冠肺炎疫情带来的大量不确定性正让人们越发依赖数字化工具,并使远程办公、学习、购物、娱乐等生活方式变为常态,随着人们对互联网的依赖达到了前所未有的程度,网络威胁发起者...【详细内容】
2020-09-07  Tags: 网络攻击  点击:(102)  评论:(0)  加入收藏
近日,美国新闻网站雅虎新闻披露,美国总统特朗普曾于2018年签署密令,全面授权中央情报局(CIA)进行网络攻击活动,目标国家包括俄罗斯、中国、伊朗、朝鲜等。这项秘密授权使中情局可...【详细内容】
2020-07-21  Tags: 网络攻击  点击:(84)  评论:(0)  加入收藏
内容目录 0 引 言1 外部攻击模式与薄弱点利用要点分析·侦察跟踪阶段·武器构建阶段·突防利用与安装植入阶段·通信控制与达成目标阶段2 构建...【详细内容】
2020-07-05  Tags: 网络攻击  点击:(85)  评论:(0)  加入收藏
1.网络攻击技术概述常见网络攻击技术,网络嗅探技术、缓冲区溢出技术、拒绝服务攻击技术、IP欺骗技术、密码攻击技术等。常见的网络攻击工具,安全扫描工具、监听工具、口令破译...【详细内容】
2020-06-28  Tags: 网络攻击  点击:(103)  评论:(0)  加入收藏
▌简易百科推荐
(报告出品方:德勤)数字化转型网络安全及转型挑战在任何行业,保持竞争力都需要快速开发新产品和 服务并推向市场。创新型业务模式不仅仅是简单地将现有 流程数字化,其正在覆盖供应...【详细内容】
2021-12-22  认是    Tags:网络安全   点击:(29)  评论:(0)  加入收藏
10月18号, W3C中网络平台孵化器小组(Web Platform Incubator Community Group)公布了HTML Sanitizer API的规范草案。这份草案用来解决浏览器如何解决XSS攻击问题。 网络安全中...【详细内容】
2021-12-07  实战Java  博客园  Tags:脚本攻击   点击:(20)  评论:(0)  加入收藏
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-12-01  Kali与编程    Tags:防火墙   点击:(30)  评论:(0)  加入收藏
网络安全服务商Randori公司日前发布了一份调查报告,列出了网络攻击者最有可能攻击或利用的IT资产。在遭遇Solarwinds黑客攻击一周年之际,以及在网络安全(尤其是勒索软件和供应...【详细内容】
2021-10-28  企业网D1net   企鹅号  Tags:网络攻击   点击:(57)  评论:(0)  加入收藏
0x01.背景实验利用Dns Administrators 组成员,通过远程配置Dns服务,进行Dll inject从而实现特权提升。 在域内,Dns server 通常为Dc Server,Dns服务器管理基于rpc,通过调用c:\wi...【详细内容】
2021-10-22  IT影子    Tags:特权提升   点击:(37)  评论:(0)  加入收藏
本文主要介绍和总结了CSRF跨站请求伪造的基本原理和主要防范措施,工作中有用到的朋友不妨收藏转发一下,以备您参考。什么是CSRF?CSRF跨站点请求伪造(Cross—Site Request...【详细内容】
2021-10-13  快乐中恒    Tags:CSRF   点击:(49)  评论:(0)  加入收藏
waf拦截在打某市 Hvv 第一天就找到一个文件上传的点,经过测试,可以直接任意文件上传,没有什么道理。 直接尝试上传 Php 文件,被 waf 拦截了 2021最新整理网络安全/渗透测试/安...【详细内容】
2021-10-11  KaliMa    Tags:防火墙   点击:(56)  评论:(0)  加入收藏
应用程序与文件系统的交互始终是高度安全敏感的,因为较小的功能漏洞很容易成为可利用漏洞的来源。这种观察在web文件管理器的情况下尤其正确,其作用是复制完整文件系统的功能...【详细内容】
2021-09-17  IT野涵    Tags:漏洞链   点击:(56)  评论:(0)  加入收藏
您的苹果手机尽管iPhone比Android更安全,但也可以通过各种方式入侵。避免黑客入侵的最佳方法是警惕奇怪的链接或粗略的应用程序,并仅在必要时提供信息。电池寿命差和性能低下...【详细内容】
2021-09-16  Hackers爱好者    Tags:黑客入侵   点击:(633)  评论:(0)  加入收藏
防火墙一般布置在逻辑区域的入口处,位于三层网络架构的核心和汇聚之间,起到隔离逻辑区域,为逻辑区域创建安全策略的作用。 上面就是应用区的防火墙布置方式,他布置在应用区,可以...【详细内容】
2021-09-03  知来知去    Tags:主备模式防火墙   点击:(109)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条