网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

第一阶段：获取资产。获取发起攻击所需的凭据和访问权限，包括获取IP地址、加密钱包、电子邮件地址、电话号码以及犯罪分子可能需要执行其操作并使其看起来合法的任何其他信息。例如：

• 获取加密的电子邮件地址

• 获取社交媒体资产

• 注册企业

• 租用办公空间

• 注册网络域

第二阶段：伪装资产。使得其资产看起来是真实的，包括应用程序、网页、企业和账户，从而吸引和欺骗受害者。例如：

• 使用StyleGAN 2个人资料图片

• 冒充真实的人员或组织

• 伪装成虚构的媒体渠道

• 使用适合目标国家的远程基础设施

• 支持跨多个平台的角色

第三阶段：收集信息。攻击者执行侦察以了解操作所在的环境并收集有关攻击目标的信息，不良行为者会开展钓鱼活动以获取凭据并了解其可以利用的漏洞。例如：

• 使用市售的租用监视工具

• 使用开源航班跟踪数据

• 在社交媒体平台上搜索目标

• 抓取公共信息

• 监控热门话题

第四阶段：协调与计划。攻击者协调并制定计划来启动行动。随着资产继续创建无缝攻击，此阶段可能会持续数天、数周或数月。例如：

• 通过公共帖子进行协调

• 在私人团体中培训新成员

• 使用加密应用程序进行协调

• 发布目标和标签列表

• 跨多个账户自动发帖

第五阶段：测试防御。威胁行为者将使用规模较小、不太明显的技术来测试网络的漏洞、防御和对各种事件的安全响应。老练对手会花时间进行一些测试，以确定执行操作的最佳机会。例如：

• 将网络钓鱼链接发送到行动控制的电子邮件账户

• 发布违规图片的A/B变体

• 发布违规文本的A/B变体

• 使用公开可用的工具测试自己的恶意软件

• 以不同的速率从不同的账户发布垃圾邮件

第六阶段：逃避检测。攻击者不会掩饰其存在，而是在不触发安全系统的情况下“飞到雷达下方”。例如：

• 使用拼写错误混淆关键短语

• 限制网站受众的地域

• 编辑图像

• 通过虚拟专用网络（VPN）或匿名Web浏览器（如Tor）路由流量

• 使用编码语言或参考资料

第七阶段：无差别接触。许多不太复杂的攻击活动使用一种技术，涉及对目标进行不同的操作并查看哪些有效、哪些受阻。更高级的攻击者可能会使用更精确的尝试来攻击特定受害者。例如：

• 在网络论坛上发布与主题不相符的内容

• 回复与主题无关的帖子

• 仅在行动控制的网站上发布

• 仅发布到行动控制的社交媒体时间表

• 使用行动控制资产评论其他行动控制资产的帖子，其中任何资产都没有真正的关注者

第八阶段：针对性接触。攻击者曾接触、欺骗目标，收集目标信息，查找目标漏洞，现在将精力集中在受害者身上，准备发动攻击。例如：

• 投放广告

• 使用适合目标受众的主题标签

• 给潜在的受害者或招募者发送电子邮件

• 向真实的新闻媒体提交行动材料

• 将骚扰团体定向到特定的人员或帖子

第九阶段：渗透资产。开展网络入侵，正式对目标发起攻击，获得操作所需的任何东西以获取“宝库钥匙”，包括管理员凭据、金融账户访问权限及关闭企业的能力。例如：

• 网络钓鱼电子邮件登录凭据

• 使用受感染的电子邮件账户访问社交媒体账户

• 对受害者进行社会工程以移交凭证

• 获得对社交媒体资产的管理权限

• 在受害服务器上安装恶意软件

第十阶段：长期驻留。攻击者应对网络防御的具体方式将取决于目标使用的网络安全工具和方法的类型。例如：

• 将禁用的账户替换为使用相同角色的新账户

• 更改电子邮件地址

• 创建重定向到旧网站的新网站域

• 删除日志和其他证据

• 将中断武器化，声称它一直是计划的一部分

网络国防知识库

产业发展前哨站