课题A:确定攻击者的类型
威胁执行者
威胁执行者(threat actor)是指需要对影响或可能影响组织安全的时间负部分或全部责任的实体。威胁执行者也被叫做恶意执行者(malicious actor)。威胁执行者的类型:
- 脚本小子(script kiddie)新手或经验不足的黑客,技术知识有限,需要依赖自动工具进行攻击。
- 黑客行为主义者(hacktivist):这种黑客为实现政治或社会变革而获取计算机系统的未授权访问并在其中引起破坏。
- 有组织的犯罪:计划进行犯罪活动的个人小组,最常见的目的是获取金钱利益。
- 民族国家:政府情报机构经常使用不同类型的威胁实现他们的政治和军事目的。
- 内部人员:内部人员威胁院子目标组织内部。内部人员包括现在和过去的员工,承包商,工作伙伴,以及任何能够访问专利或机密信息的实体。
- 竞争对手:获取了商业竞争对手敏感信息访问权限的组织。
开源情报
开源情报(open-source intelligence/OSINT)是指通过合法手段从公开可用的来源搜集到的信息。
课题B:确定社交工程攻击
社交工程
社交工程(social engineering)攻击是指使用欺骗或诡计手段说服毫无防备的用户提供敏感信息或违反安全原则的攻击类型。社交工程攻击是信息安全领域最常见也最成功的恶意技术。
| 原则 | 描述 |
|---|---|
| 权威 | 社交工程攻击者可能会以一个权威形象出现,如一位经理或IT管理员。 |
| 恐吓 | 扮演权威人物的社交工程攻击者常用的手段。 |
| 从众 | 社交工程攻击者可能会利用人类对团体的归属感以及对群体只会的服从度。 |
| 稀缺性 | 获得某种供不应求的东西又是是一种吸引人的想法。 |
| 熟悉感 | 社交工程攻击者可能会以用户的某个熟人的身份出现,如朋友或家庭成员。 |
| 紧急事件 | 如果攻击者能使用户相信他们必须立即登录并修复账户或即将发生一些坏事,用户可能就会因恐慌而无法进行理性思考。 |
冒名
冒名(Impersonation)是一种基于人员的攻击,指攻击者冒用他人身份。
注:冒名可能也会成为其他类型社交工程攻击的一个方面。
网络钓鱼和相关攻击
网络钓鱼(Phishing)是一种基于电子邮件社交工程攻击的常见类型。网络钓鱼的演变:
- 当攻击者选定特定个人或机构作为目标时,这种社交工程技术叫做鱼叉式网络钓鱼(spear phishing)。
- 捕鲸(Whaling)是选择拥有巨额财富的个人或组织为目标的一种鱼叉式网路钓鱼形式。
- 一种和网络钓鱼类似的攻击,叫做网域嫁接(pharming),是指将一个网站的请求进行重定向,通常是将一个电子商务站点定向到一个看起来类似,但是虚假的网站。
- 语音钓鱼(Vishing)是一种基于人员的攻击,其目标是从受害者哪里获取个人,财务或机密信息,通过使用电话系统和基于IP的语言消息服务等服务作为通讯媒介,也被写作voice phishing。
- 短信钓鱼(Smishing)是网络钓鱼的一种变形,是指使用SMS短信息来尝试从目标个人那里获取个人信息。
一些网络钓鱼攻击还包括使用垃圾邮件(spam)和垃圾短信(spim)。
诈骗
诈骗(hoax)是一种基于电子邮件,及时消息或网页的攻击,目的是想要欺骗用户执行不必要或不希望的行为,如删除用于移除病毒的重要系统文件。
物理利用
某些社交工程攻击是的攻击者能够获得限制区域或信息的物理访问权限。最常见的类型如下表所示:
| 原则 | 描述 |
|---|---|
| 权威 | 社交工程攻击者可能会以一个权威形象出现,如一位经理或IT管理员。 |
| 恐吓 | 扮演权威人物的社交工程攻击者常用的手段。 |
| 熟悉感 | 这是一种基于人员的攻击,攻击者会在员工不知情或不允许的情况下跟随合法员工进入安全区。 |
| 稍带(Piggy backing) | 和跟随进入的方式类似,捎带是指攻击者在员工允许的情况下进入安全区。 |
水坑式攻击
在水坑式攻击(watering hole attack)中,攻击者选择特定团体或组织为目标,找出他们经常访问的网站,然后在这些网站中注入恶意代码。
水坑式攻击往往集中于合法和流行网站,使之变得难以监测。
课题C:确定恶意软件
恶意代码
恶意代码(Malicious code)是指不受欢迎或未经授权的软件,也叫恶意软件,他们被放置在目标系统中破坏操作或将系统资源重定向以实现攻击者的利益。
根程序病毒包(rootkit)是指想要在最低层级对系统进行全部或部分控制的代码。rootkit常常会进行自我隐藏,不被监控或检测到,并修改底层系统文件将自己整合到系统中。
病毒
病毒(virus)是指可以将自己附加在其他文件中,通过自我复制过程从一台计算机中传播到另一台中的恶意代码段。
多态恶意软件(Polymorphic malware)使用相同的病毒加密,只有解密模块会在病毒每次感染文件时进行改变。对杀毒软件来说,检测一个处于持续变化中的感染是非常困难的。
铠装病毒(armored viruse)最典型的特征就是他们会掩盖自己不被杀毒软件和安全专家们发现。为了骗过杀毒软件,铠装病毒能隐藏他们在系统中的真正位置,并使杀毒软件相信它们在别的地方。这样就能防止杀毒软件准确地检测并移除感染。类似的铠装病毒通常还包含混淆代码,使安全研究院难以对他们进行合理的评估并进行逆向。
蠕虫
蠕虫(worm)是一种恶意软件,和病毒一样,能在感染系统之间进行自我复制。但是和病毒不同的是,它不需要人的行为就能进行复制。
广告软件
广告软件(Adware)是指会自动显示或下载未经请求广告的软件。
间谍软件
间谍软件(Spyware)是一种被密码安装的恶意软件,目的是为了跟踪并报告目标系统的使用情况,并搜集攻击者希望获取的其他数据。
特洛伊木马
特洛伊木马(Trojan horse),经常被简称为木马,是一种隐藏恶意软件,会对系统造成破坏或为攻击者提供监控或控制系统的平台。与病毒不通,木马不会进行自我复制,也不会附着到其他文件中。而是经常保持隐匿,更加不容易被检测到。木马这种恶意内容会隐藏在平时无害的数据包中,如用户下载一个可以按预期运行的游戏或屏幕保护程序,但其中却包含了一个恶意代码的有效负荷。
键盘记录器
键盘记录器(keylogger)是一种用于识别并记录用户进行的每次击键行为的硬件设备或软件应用程序。
远程访问木马
远程访问木马(remote access Trojan/RAT)是一种专用的特洛伊木马,其专门的目标是为攻击者提供目标计算机的未授权访问或控制。
逻辑炸弹
逻辑炸弹(logic bomb)是在目标计算机中保持休眠状态直到被某个特定事件激活的一种代码段,如特定的时间。一旦代码被激活,逻辑炸弹就会引爆,执行其中被编程的任何内容。通常包括清除并破坏目标系统中的数据。
僵尸网络
僵尸网络(botnet)是指被一种叫机器人程序的控制程序感染的一组计算机,它能使攻击者集中利用这些计算机来发动攻击。通常黑客使用僵尸网络协同拒绝服务攻击,发送垃圾邮件,获取个人信息或密码。
勒索软件
勒索软件(Ransomware)是一种日益及流行的恶意软件,攻击者用恶意代码感染受害者的计算机,限制受害者对他们的计算机及其其中数据的访问,然后攻击者就会进行勒索。
高级持续性攻击
高级持续性攻击(advanced persistent threat/APT)使用多个攻击向量来获取敏感资源的未授权访问,然后再长时间段内保留访问权限。
课题D:确定基于软件的威胁
软件攻击
软件攻击(software attack)是指针对软件资源,包括操作系统,应用程序,访问,协议和文件的任何攻击。
密码攻击
密码攻击(password attack)是指攻击者尝试获取密码的未授权访问或使用。
密码攻击的类型:
| 密码攻击的类型 | 描述 |
|---|---|
| 猜测 | 最简单的密码攻击就是通过输入不通的常见密码值,重复尝试猜测密码,如用户的名字,配偶的名字或重要的日期。 |
| 偷窃 | 可以通过不通的方式窃取到密码,包括探查网络通讯,读取手写密码的便条或在用户输入密码时偷看。 |
| 字典攻击(Dictionary attack) | 这种攻击通过将密码与可能密码值的预确定清单,如字典词语,进行比较,自动地进行密码猜测。字典攻击针对比较简单和明显的密码是一种非常成功的方式。 |
| 暴力破解(Brute force attack) | 在这种攻击方式中,攻击者使用密码破解软件来尝试所有可能的字母数字密码组合。暴露破解严重受限于时间和计算资源,因此在破解短密码时最为有效。 |
| 彩虹表攻击(Rainbow table attack) | 彩虹表是相关明文密码及其散列的集合。 |
| 混合密码攻击(Hybrid password attack) | 这种攻击类型在尝试破解密码时会使用多种攻击方式,包括字典攻击,彩虹表攻击,暴力破解等。 |
| 生日攻击(Birthday attack) | 这种攻击利用了生成散列的数学算法中的缺陷。 |
暴力破解可以通过在线或离线进行。
加密攻击
加密攻击(cryptographic attack)是一种软件攻击,利用了代码,密文,协议,密钥管理系统等加密系统元素中的缺陷。
加密攻击的类型:
| 加密攻击的类型 | 描述 |
|---|---|
| 猜测 | 最简单的密码攻击就是通过输入不通的常见密码值,重复尝试猜测密码,如用户的名字,配偶的名字或重要的日期。 |
| 选择明文攻击(Chosen plaintext attack) | 可以通过不通的方式窃取到密码,包括探查网络通讯,读取手写密码的便条或在用户输入密码时偷看。 |
| 字典攻击(Dictionary attack) | 这种攻击通过将密码与可能密码值的预确定清单,如字典词语,进行比较,自动地进行密码猜测。字典攻击针对比较简单和明显的密码是一种非常成功的方式。 |
| 暴力破解(Brute force attack) | 在这种攻击方式中,攻击者使用密码破解软件来尝试所有可能的字母数字密码组合。暴露破解严重受限于时间和计算资源,因此在破解短密码时最为有效。 |
| 彩虹表攻击(Rainbow table attack) | 彩虹表是相关明文密码及其散列的集合。 |
| 混合密码攻击(Hybrid password attack) | 这种攻击类型在尝试破解密码时会使用多种攻击方式,包括字典攻击,彩虹表攻击,暴力破解等。 |
| 生日攻击(Birthday attack) | 这种攻击的专注点与其他加密攻击方式不同,没有致力于破解用以加密目标数据的算法,而是致力于探究部署加密系统的方式。 |
后门攻击
后门攻击(backdoor attack)是一种软件攻击,指攻击者创建了 一个叫做后门的软件机智来获取计算机的访问权限。
应用程序攻击
应用程序攻击(Application attack)是针对基于网页或其他客户端-服务器应用程序的软件攻击。
应用程序攻击的类型:
- 跨站点脚本(XSS):通过将恶意脚本注入可信任网站中进行攻击。
- 跨站点请求伪造攻击(CSRF):这是一种利用网站授权用户和网站本身之间已建立起来的信任关系的网络应用程序攻击。
- 命令注入攻击
- 零日攻击(Zero day exploit):这种攻击发生在系统安全等级处在最底层时,在发现漏洞之后立即进行。
- 缓冲区溢出(Buffer overflow):这种攻击是指数据超出了缓冲区的边缘地区,开始影响邻近的内存。
驱动器操纵
驱动器操纵(Driver manipulation)是一种软件攻击,攻击者会重写或替换合法设备的驱动器或应用程序编程接口(API),使恶意活动能够被执行。
- 插片(Shimming)是指在应用程序和操作系统之间开发并应用额外程序的过程,这种程序实现了原本不可用的功能。
- 重构(Refactoring)是指重新构建应用程序代码,以便能够在不影响应用程序外部表现的情况下改善其设计或使之能够处理特定情况的过程。
课题E:确定基于网络的威胁
欺骗攻击
- IP和MAC地址欺骗(IP address spoofing):是最常用的攻击手段。攻击者从一个假的(伪造的)源地址发送一个IP数据包,来与目标进行通讯。这种通讯的目的各不相同,从产生网络流量到获取敏感数据,或是绕过基于IP地址的认证机制。
- MAC地址欺骗(MAC address spoofing):改变网络设备中网络接口的出厂设置MAC地址。
- ARP中毒(ARP poisoning),也叫ARP欺骗(ARP spoofing),是指能够访问目标网络的攻击者将一个IP地址重新定向到非目标接受计算机的MAC地址上。
- DNS中毒(DNS poisoning)或DNS欺骗(DNS spoofing)是一种基于网络的攻击,攻击者利用DNS系统的开放属性,将一个域名重定向到一个由攻击者选择的IP地址上。
窃听攻击
窃听攻击(eavesdropping attack)或监听攻击(sniffing attack)使用特殊的监控软件来获取私密网络通讯的访问权限,可能是窃取通讯内容本身,也可能是为了获得用户名密码以便进行以后的软件攻击。
中间人攻击
中间人攻击(man-in-the-middle attack)是窃听的一种形式,指攻击者在两位受害者之间建立一个独立的连接,并在两者之间重放信息。
浏览器中间人攻击(man-in-the-browser attack)结合使用了中间人攻击的特洛伊木马,实时地拦截并篡改网络交易。
重放攻击
你已经以加密攻击的形式定义过重放攻击,攻击者拦截回话密钥或认证流量并在以后使用它们来进行认证并获得访问权限。
DOS攻击
拒绝服务攻击(Denial of Service attack/DoS attack)是一种网络攻击,攻击者尝试通过不同方式破坏或禁用提供网络服务的系统。这些方式包括:
- 使用数据炎魔网络链路,消耗所有的可用宽带。
- 发送能够利用应用程序中已知缺陷的数据。
- 发送多个服务请求,消耗系统的资源。
- 用垃圾邮件消息塞满用户的电子邮件收件箱,使真正的消息被退回发送者。
DDOS攻击
分布式拒绝服务(Distributed Denial of Service/DDOS)攻击是DOS攻击的一种类型,使用不同网络上的计算机多源同步地发动攻击。攻击者引入未经授权的软件将计算机编程一个僵尸,操纵这些计算机来发动攻击。
劫持攻击
劫持(Hijacking)包括一组基于网络的攻击,攻击者伪装成两个系统之中的一个实体,以获取对他们之间通讯的控制。劫持常见形式如下:
| 劫持攻击的类型 | 描述 |
|---|---|
| 点击劫持(Clickjacking) | 攻击者将链接隐藏在其他网页因素中,使受害者在无意间选中隐藏链接。攻击者可以使用不透明图层或多个透明图层欺骗用户选中其中的隐藏链接。 |
| DNS劫持(DNS hijacking) | 攻击者设置一个流氓DNS服务器,使用恶意或不存在的网站IP地址响应合法请求。在某些情况下,互联网服务供应商(ISP)会应用DNS劫持来为想要导航到不存在域名中的用户显示广告。 |
| 域名劫持(Domain hijacking) | 共集资和通过修改注册信息盗取域名,然后将这个域名转让给另一个实体。有时也指品牌劫持(brandjacking) |
| 会话劫持(Session hijacking) | 攻击者利用一个合法会话来获取组织网络或服务的未授权访问权限。一种类似的利用方式就是窃取用于向远程服务器验证用户身份的活动会话cookie,然后用这个cookie在以后对会话进行控制。 |
| URL劫持/网域抢注(typo squatting) | 攻击者注册与合法网站名称十分相似的域名,利用在浏览器中输入域名时拼写错误的可能性。 |
放大攻击
放大攻击(amplification attack)是一种基于网络的攻击,指攻击者在DDoS攻击过程中,动态地增加向受害者发送的宽带数量。
| 放大攻击的类型 | 描述 |
|---|---|
| ICMP放大 | ICMP放大攻击,最常用的名称叫做海量攻击(Smurf attack),通过向目标主机发送大量的ICMP的探测(ping)数据包。 |
| DNS放大 | 在DNS放大攻击中,攻击者使用受害者的IP地址向DNS服务器发送一个DNS查询,服务器用一个DNS响应向这个虚假地址进行回应。如果攻击者请求全区域内的额外信息,响应数据包可能就会被放大到正常DNS响应包的179倍。当多个虚假查询倍发送到不同的服务器上时,多个DNS服务器同事回应,受害者和的网络会被急剧增长的DNS响应所淹没。 |
| UDP放大 | UDP放大攻击实际上包括了DNS放大攻击,但是它们可能还会使用去其他网络服务以不同的速率来放大攻击效应。Fraggle攻击与Smurf攻击非常类似,只是它使用UDP数据包而不是ICMP回应请求来轰炸路由器的广播地址。新型路由器不会转发以广播地址为目的地的数据包,因此Smurf和Fraggle攻击在现今的网络中不太可能成功。 |
| NTP放大 | NTP放大攻击是UDP放大攻击的另一种形式。如果攻击者欺骗目标IP地址,向NTP服务器发送一个monlist请求,响应数据包会比初始数据包大559.6倍。 |
传递散列的攻击
传递散列的攻击(pass the hash attack)是一种基于网络的攻击,攻击者窃取散列的用户证书,在散列证书来源的相同网络中,原封不动地使用这些证书来进行验证。
课题F:确定无线威胁
欺骗访问点
欺骗访问点(rogue access point)是指企业或私有网络中的未授权无线访问点。欺骗访问点可能会对组织的数据造成极其严重的损害。它们不会被轻易监测到,并且可以通过合适的设备使未授权用户访问私有网络。
双面恶魔
双面恶魔(evil twin)访问点会欺骗用户相信无线网络中的这个访问点是合法的。虽然企业和私有网络中都能安装双面恶魔访问点,但通常都是在公共WiFi热点中发现他们,用户不会像在公司网络中一样直接自动连接这些热点,而是会从列表中选择可用网络。
注意:合法WAP和双面恶魔的SSID不需要完全相同。它们通常是相似的,但不完全匹配。
干扰
在无线网络中,干扰(jamming)也叫冲突(interference),是指无线电波扰乱802.11无线信号的一种攻击。
蓝牙劫持
蓝牙劫持(Bluejacking)是指攻击者从智能手机,移动手机,平板电脑,笔记本电脑等设备向其他启用蓝牙(Bluetooth)功能的设备中发送不想要的蓝牙信号的方式。由于蓝牙的传输距离相对较短,因此蓝牙劫持往往发生在近距离范围内。
蓝牙窃听
蓝牙窃听(Bluesnarfing)是指攻击者在328英尺的蓝牙传输挟制之内,获取使用蓝牙连接的无线设备中的未授权信息的访问权限。与蓝牙劫持不通,通过蓝牙窃听访问只能手机,平板电脑,移动手机,笔记本电脑等无线设备可能会导致私密信息被利用,包括电子邮件消息,联系人信息,日历条目,图片,视频,以及存储在设备中的任何数据。
近场通讯攻击
近场通讯(Near Field Communication/NFC)是指智能手机和平板电脑等移动设备之间在极近距离内进行的一种标准通讯,通常是通过接触或在相隔几英寸的距离内进行。
无线电射频识别系统攻击
无线电射频识别(Radio-Frequency Identification/RFID)这种技术使用电磁场来自动识别并跟踪被附加在选定对象上存储了有关对象信息的标签或芯片。
战争驾驶,战争漫步和开战标记
战争驾驶(war driving)或战争漫步(war walking)是指使用智能手机,平板电脑,移动电话或笔记本电脑等无线跟踪设备搜索无线网络实例的行为。它会确定可以加以利用的无线访问点位置,来获取未授权的互联网访问,可能的话还会窃取数据。
开战标记(war chalking)是指使用符号标记人行道或墙壁,以表明附近无线网络的存在情况和状态。
数据包嗅探
数据包嗅探(Packet sniffing)可以成为无线网络中的一种攻击手段,攻击者使用协议分析器捕获数据并寄存数据流,最终将允许攻击者分析包含在捕获数据包中的数据。
IV攻击
在加密领域中,初始化向量(initialization vector/IV)是一种被添加到密钥上的数字,它会处于持续变化中,以防止相同的文本在加密后产生完全一样的密文。
无线重放攻击
在弱加密或无加密的无线网中,攻击者可能会发现捕获数据包进行重放以操控数据变得更加容易。
WEP和WPA攻击
有线等效保密(Wired Equivalent Privacy/WEP)算法是用于保护无线网络的最早算法。这种数据加密方法是为了匹配当时的有线连接安全性。WEP有64位,128位和256位的密钥长度。但是由于它使用流密码来加密数据,因此需要依赖一个IV来将文本的相同字符串随机化。如果使用24位的IV长度,那么在IV攻击中,IV的值可能被预测出发,使WEP变得极其脆弱。实际上一些可用软件能在标准消费级别的硬件上,在几分钟内破解WEP加密。由于其脆弱性,2004年时WEP就收到了反对并不在使用。
WEP已被安全得多的无线保护访问(WIFI Protected Access/WPA)协议极其后续协议WPA2所替代。与WEP不同的是WPA为每个被发送的数据包生成一个128位的密钥,放置加密信息被轻易破解。虽然WPA使用相同的RC4流密码,但是WPA2使用了更加安全的AES块密码来进行加密。但即使安全性得到了加固,这两种WPA协议仍然容易受到攻击。尤其是对于使用弱密码保护WPA无线网络的用户,他们的网络在密码暴力破解的攻击之下仍不堪一击。WPA中另一个潜在的弱点就是允许攻击者在无线数据流中注入恶意数据包。
当下,WPA2被认为是最安全的无线加密协议,并应当取代WPA使用。
WPS攻击
无线保护装置(WIFI Protected Setup/WPS)功能通过添加更多方法来验证密钥生成,实现无线加密安全性的增强,防止用户选择弱密码。其中一种方式就是必须输入物理无线设备上显示的8位PIN码,才能登入网络。但是,由于WPS检查每个PIN码的一半,只需要几千次猜测就能成功地破解PIN码。
无线分离攻击
无线分离攻击(wireless disassociation attack)是一种无线攻击,攻击者向目标设备发送一个虚假的分离帧,使之看起来好像来自WAP。这种行为使目标设备尝试与WAP重新取得连接。通过持续不断地放松分离帧,攻击者就能引起DOS。
课题G:确定物理威胁
硬件攻击
硬件攻击(hardware attack)是指针对计算机物理组成和外围设备的攻击,包括硬盘,主板,键盘,网络布线或智能卡读卡器。
环境威胁
- 火灾
- 飓风和台风
- 洪灾
- 极端温度
- 极端湿度