20、企业网络攻击流程与安全防护困境解析

企业网络攻击流程与安全防护困境解析

1. 攻击序列步骤

1.1 命令与控制

攻击者在企业中获得立足点后，会利用命令与控制来维持该立足点，并在目标环境中执行命令。在建立命令与控制之前，攻击者可能会提升权限或横向移动。攻击序列的步骤 2、3 和 4 并不总是严格按顺序进行。通常，攻击者会尽早建立命令与控制连接，以便手动控制受害者系统内的活动。主要的命令与控制方法如下：
1. 网站 WebShell ：是附加到现有网站的网页，允许攻击者在 Web 服务器上执行命令。由于 WebShell 通常隐藏在大型复杂网站中，如果未检测到其安装，就很难发现。
2. 出站 Web 连接 ：即“上网冲浪”，使受感染的端点或服务器上的恶意软件能够与企业外部的命令与控制服务器通信，请求命令并报告结果。这些连接通常使用 SSL 或 TLS 加密，无法被扫描，更难检测。
3. 协议隧道 ：将命令与控制流量编码到其他常被防火墙允许的协议中，利用额外字段或数据有效负载空间来编码命令及其结果。几乎任何协议都可用于隧道传输，常见的有域名系统（DNS）、互联网控制消息协议（ICMP）和电子邮件的简单邮件传输协议（SMTP）。
4. 面向互联网的用户账户 ：可用于控制面向互联网的 Web 服务。这种技术最常用于对云服务和基于 Web 的系统（如电子邮件或网上银行）的命令与控制。

攻击者获得命令与控制后，可在受害者企业中执行命令，并安装和操作除建立初始立足点所用工具之外的其他恶意软件和工具。下一步是获取更多权限并横向移动，以访问企