读红蓝攻防：技术与策略09网络杀伤链的工具.png

1. 网络杀伤链的进化过程

1.1. 从2011年首次发布起，网络杀伤链模型发生了巨大的变化，主要原因是攻击者和攻击方法的快速演变

• 1.1.1. 攻击者不断发展他们的攻击方法

• 1.1.2. 由于杀伤链是基于攻击者使用的方法论，因此它也必然会演变以适应威胁行为者方法和能力的变化

1.2. 在一开始，网络杀伤链是相当可预测的，各阶段都有清晰的定义，每个阶段的活动都有清晰的概述

1.3. 在最近一段时期，因为攻击的不可预测性，杀伤链变得更加难以预测

1.4. 使用杀伤链作为网络安全主要安全解决方案的偏好，也给组织带来了新的安全挑战，因为攻击者非常清楚组织将用哪些步骤来保护其系统

• 1.4.1. 攻击者现在要么选择避开某些步骤，要么选择结合一些步骤来帮助他们避免被检测

1.5. 由于这种演变和对该模型的普遍关注，杀伤链不应被视为可以应用于每一次攻击的万能工具，而应被视为更好地理解攻击者的方法和动机的起点

2. 网络杀伤链中使用的工具

2.1. Metasploit

• 2.1.1. 是一个传奇的、基于Linux的黑客框架，已经被黑客使用了无数次

• 2.1.2. 由许多黑客工具和框架组成，它们可以用来对目标实施不同类型的攻击

• 2.1.3. 到目前为止，该框架已有超过1500个可用于攻击浏览器、Android、Microsoft、Linux和Solaris操作系统的漏洞，以及适用于任何平台的其他漏洞

• 2.1.4. 是一个可以在网络杀伤链的所有阶段使用的工具

• 2.1.5. 该框架还用于渗透测试，以确保组织受到保护，不受攻击者常用的渗透技术的影响

• 2.1.6. 该框架将告诉用户可以使用的漏洞数量和有效负载数量

  • 2.1.6.1. 用户必须根据目标或目标网络上要扫描的内容来搜索要利用的漏洞

  • 2.1.6.2. 当一个人选择一个漏洞时，他会得到可以在该漏洞下使用的有效负载

2.2. Twint

• 2.2.1. 网络攻击的一个普遍趋势是，黑客越来越关注使用社会工程的网络钓鱼攻击

• 2.2.2. 侦察目标是黑客感兴趣的组织中关键工作人员的在线档案

• 2.2.3. 目的是让这项任务变得更简单，它允许人们从经过验证的个人资料、电子邮件地址和特定地理位置等内容中抓取某个人发布的包含特定短语的推文

• 2.2.4. 开源的，只能在Linux平台上运行

2.3. Nikto

• 2.3.1. 在侦察阶段，威胁行为者会尽可能地寻找可利用的弱点，甚至是在组织的网站中

• 2.3.2. Nikto是一个基于Linux的网站漏洞扫描程序，黑客使用它来识别组织网站中可利用的漏洞

• 2.3.3. 使用该工具能够扫描Web服务器，可查找6800多个常见漏洞

• 2.3.4. 可以扫描250多个平台上未打补丁的服务器版本，还可以检查Web服务器中的文件配置是否有错误

• 2.3.5. Nikto并不善于掩盖其踪迹，因此几乎总是被入侵检测和防御系统发现

2.4. Kismet

• 2.4.1. 是一款无线网络嗅探和入侵检测系统

• 2.4.2. 通常会嗅探802.11的第2层流量，其中包括802.11b、802.11a和802.11g

• 2.4.3. 可与运行该工具的机器上的任何可用无线网卡配合使用，以便进行嗅探

• 2.4.4. 如果它检测到Wi-Fi网络是安全的，那么它将检测所使用的加密是否脆弱

2.5. Sparta

• 2.5.1. 是一个新的网络利用工具，现在预装在Kali Linux中

• 2.5.2. 该工具整合了通常提供碎片化服务的其他Web渗透工具的功能

• 2.5.3. 黑客使用Nmap进行网络扫描，然后使用其他工具进行攻击，因为Nmap不是为执行攻击而设计的

• 2.5.4. Sparta可以通过扫描网络并识别其上运行的主机和服务来进行侦察，然后对主机和服务本身进行攻击

• 2.5.5. Sparta可以用在杀伤链的多个阶段

  • 2.5.5.1. 当有人已经连接到攻击者希望攻击的网络时，该工具就会起作用

2.6. John the Ripper

• 2.6.1. 是可以在Linux和Windows操作系统上应用的功能强大的密码破解工具，被黑客用来执行字典攻击

• 2.6.2. 该工具用于从台式机或基于Web的系统和应用程序的加密数据库中检索实际的用户密码

• 2.6.3. John the Ripper的工作原理是对常用的密码进行采样，然后用特定系统所使用的相同算法和密钥进行加密

• 2.6.4. 它将其结果与数据库中存储的密码进行比较，查看是否有匹配的结果

• 2.6.5. 它标识密码的加密类型，可以是RC4、SHA或MD5，以及其他常见加密算法，它还会查看加密是否盐

  • 2.6.5.1. 盐化表示加密过程中添加了额外的字符，使黑客更难恢复原始密码

• 2.6.6. 它尝试通过将散列密码与其数据库中存储的许多其他散列进行比较来检索原始密码

2.7. Hydra

• 2.7.1. 它在线运行，而John the Ripper离线使用

• 2.7.2. Hydra可用于Windows、Linux和Mac OSX

• 2.7.3. 该工具常用于快速的网络登录黑客攻击

• 2.7.4. 使用字典攻击和暴力破解两种方式来攻击登录页面

  • 2.7.4.1. 攻击者向Hydra提供目标在线系统的登录页面，然后Hydra尝试用户名和密码字段的所有可能组合，并离线存储其组合，这使得匹配过程更快

• 2.7.5. Hydra已被发现对数据库、LDAP、SMB、VNC和SSH有效

2.8. Aircrack-ng

• 2.8.1. Aircrack-ng是一套用于无线攻击的危险工具族，已成为当今网络空间的传奇

• 2.8.2. 既适用于Linux操作系统，也适用于Windows操作系统

• 2.8.3. Aircrack-ng会先依赖于其他工具获取有关其目标的一些信息

  • 2.8.3.1. Airdump-ng是执行此操作的常用工具，但其他工具（如Kismet）是可靠的替代工具

  • 2.8.3.2. Airdump-ng检测无线接入点和连接到它们的客户端，该信息被Aircrack-ng用来入侵接入点

• 2.8.4. Aircrack-ng用于恢复安全Wi-Fi网络的密钥，前提是它在其监控模式下捕获特定阈值的数据包

  • 2.8.4.1. 该工具正被专注于无线网络的白帽公司采用

  • 2.8.4.2. 该套件包括FMS、Korek和PTW等类攻击，这使得它的能力令人难以置信

    2.8.4.2.1. FMS攻击用于攻击已使用RC4加密的密钥

    2.8.4.2.2. KoreK用于攻击使用Wi-Fi加密密码(WEP)保护的Wi-Fi网络

    2.8.4.2.3. PTW用于破解WEP和WPA（代表Wi-Fi Protected Access）安全防护的Wi-Fi网络

2.9. Airgeddon

• 2.9.1. 是一款Wi-Fi攻击工具，可以让黑客接入受密码保护的Wi-Fi连接

• 2.9.2. 要求黑客获得可以监听网络的无线网卡，扫描适配器范围内的所有无线网络，并找出连接到这些网络的主机数量

2.10. Deauther Board

• 2.10.1. 一个非常规的攻击工具，因为它不只是一个软件，也是一个可以连接到任何计算机的即插即用板

• 2.10.2. 旨在通过取消身份验证来攻击Wi-Fi网络

  • 2.10.2.1. 取消身份验证攻击已被证明非常强大，可以断开连接到无线接入点的所有设备

• 2.10.3. 具有在大范围内寻找网络的能力

• 2.10.4. 黑客必须选择要在其上执行攻击的网络，并且Deauther Board将执行取消认证攻击

2.11. HoboCopy

• 2.11.1. 基于Windows的系统使用LM散列来存储密码

• 2.11.2. 利用卷影复制服务(Volume Shadow Service)来创建计算机磁盘的快照，然后复制其内容

2.12. EvilOSX

• 2.12.1. 黑客危害Mac的为数不多的几种方法之一就是通过一个名为EvilOSX的工具获取远程访问权限

• 2.12.2. 使用此工具的唯一挑战是，黑客应该具有访问受害者计算机的物理权限，或者通过社会工程手段说服目标在其系统上运行有效负载

• 2.12.3. 一次精心策划的攻击可能会对目标造成毁灭性的影响

3. TA 002执行战术

3.1. 命令和脚本解释器

• 3.1.1. 对手可能滥用命令和脚本解释器来执行命令、脚本或二进制文件，包括PowerShell、AppleScript、UNIX和Windows Shell

3.2. 针对客户端执行的攻击

• 3.2.1. 对手可能会利用客户端应用程序中的软件漏洞来执行代码

• 3.2.2. 对手可以通过有针对性地利用某些漏洞来执行任意代码

3.3. 进程间通信

• 3.3.1. 对手可能会滥用进程间通信(Inter-Process Communication，IPC)机制来执行本地代码或命令

3.4. 原生API

• 3.4.1. 对手可以直接与原生操作系统应用编程接口(Application Programming Interface，API)交互来执行行为

3.5. 计划的任务/作业

• 3.5.1. 对手可能滥用任务调度功能来促进恶意代码的初始或重复执行

3.6. 共享模块

• 3.6.1. 对手可能滥用共享模块来执行恶意负载

3.7. 软件部署工具

• 3.7.1. 对手可以访问并使用安装在企业网络中的第三方软件套件，如管理、监控和部署系统，从而在网络中横向移动

3.8. 系统服务

• 3.8.1. 对手可能会滥用系统服务或守护程序来执行命令或程序

3.9. 用户执行

• 3.9.1. 对手可能依靠用户的特定动作来获得执行

• 3.9.2. 用户可能会受到社会工程的影响

3.10. Windows管理规范

• 3.10.1. 对手可能会滥用Windows管理工具(Windows Management Instrumentation，WMI)来实现执行

4. 使用Comodo AEP

4.1. Comodo AEP的Dragon Platform就是这样一种工具，它汇集了一种可以在杀伤链的每个阶段阻止黑客的方法

4.2. Comodo有一个默认的拒绝技术，当攻击发生时，它对阻止攻击特别有用，因为它可以防止未知文件创建网络通信的套接字

• 4.2.1. 只有在文件判定系统确定文件是安全的之后，才允许它创建套接字并与网络通信

• 4.2.2. 这消除了对解码协议、识别非标准端口使用和协议隧道的需要，因为文件在确认它们绝对安全之前无法通信

4.3. Comodo使用了一个略有不同的杀伤链版本，只有三个步骤：准备、入侵和主动破坏

4.4. 准备阶段

• 4.4.1. Comodo已经将杀伤链的侦察阶段映射到MITRE攻击准备阶段

• 4.4.2. 在此阶段，威胁行为者的行动大多是被动的

4.5. 入侵阶段

• 4.5.1. 杀伤链的投送阶段是Comodo主要与MITRE ATT&CK分类法进行交互的阶段

• 4.5.2. 技术

  • 4.5.2.1. 破坏驱动

  • 4.5.2.2. 利用面向公众的应用程序

  • 4.5.2.3. 外部远程服务

  • 4.5.2.4. 硬件添加

  • 4.5.2.5. 网络钓鱼

  • 4.5.2.6. 通过可移动介质复制

  • 4.5.2.7. 供应链破坏

  • 4.5.2.8. 信任关系

  • 4.5.2.9. 有效账户

• 4.5.3. 杀伤链的利用阶段主要包括“TA 002执行战术”。

4.6. 杀伤链的安装阶段主要是攻击者使用MITRE ATT&CK持久化战术

• 4.6.1. 用于持久化的技术包括任何访问、操作或配置更改，这些更改使它们能够在系统里站稳脚跟

4.7. 可以使用基于网络的过滤器，包括内嵌AV、代理过滤器或DNS过滤器

4.8. 主动破坏阶段

• 4.8.1. 杀伤链的最后两步，指挥控制以及针对目标行动，被认为是主动破坏

• 4.8.2. 技术

  • 4.8.2.1. 应用层协议

  • 4.8.2.2. 通过可移动介质进行通信

  • 4.8.2.3. 数据编码

  • 4.8.2.4. 数据混淆

  • 4.8.2.5. 动态分解(Dynamic Resolution)

  • 4.8.2.6. 加密信道

  • 4.8.2.7. 回退信道

  • 4.8.2.8. 入口工具传输

  • 4.8.2.9. 多级信道

  • 4.8.2.10. 非应用层协议

  • 4.8.2.11. 非标准端口

  • 4.8.2.12. 协议隧道

  • 4.8.2.13. 代理

  • 4.8.2.14. 远程访问软件

  • 4.8.2.15. 流量信令

  • 4.8.2.16. 网络服务

• 4.8.3. 针对指挥控制的常规防御基于网络入侵防御技术，如NIDS、NIPS、UTM、DNS过滤等

• 4.8.4. 所有这些技术都依赖于入侵检测签名或基于行为的签名来阻止网络边界的流量

4.9. Comodo AEP特别有用的地方，因为它只是防止未知文件创建网络通信的套接字，这大大简化了这个过程

• 4.9.1. Comodo对于防御网络杀伤链中各类APT攻击特别有用