在这篇文章中,我们将介绍攻击者在入侵企业网络时会采取的一些初始攻击方法。针对企业分段网络的网络攻击分为几个危险的阶段,企业遇到的第一个安全问题,归根结底就是对系统的初始访问权。在这一点上,网络攻击这的目标就是用一系列恶意代码感染目标系统,并确保它可以在之后的攻击活动中成功执行。
Drive-by Download
描述:这种攻击技术的要点就是欺骗受害者打开一个恶意网站,而这个网站包含了各种浏览器/插件的漏洞利用代码以及恶意JavaScript文件,当用户打开网站之后,恶意代码会在用户毫不知情的情况下将恶意软件下载到目标用户系统上。
如何保护自己?
保证Web浏览器和插件全部更新到最新版本,并运行反恶意软件解决方案。微软建议用户使用EMET和WDEG。
利用热门应用程序
描述:这种方法需要利用应用程序中已知的安全漏洞、错误配置或其他故障(例如SSH网络服务、Web服务器和SMB2等等),OWASP会定期更新并发布排名前十的Web应用程序安全漏洞报告。
如何保护自己?
硬件添加
描述:计算机、网络设备和计算机附加组件可能会带有隐藏的硬件组件,这些组件的任务就是提供初始访问权。无论是开源产品还是商用产品都会包含隐藏网络连接、用于破解加密的MITM攻击功能、键盘记录、通过DMA读取内核内存数据以及添加新的无线网络等隐藏功能,而攻击者正好可以利用这些隐藏功能来实现攻击。
如何保护自己?
- 采用网络访问控制策略,例如设备凭证和IEEE 802.1X标准;
- 限制DHCP的使用,只允许已注册的设备使用;
- 屏蔽未注册的设备进行网络交互;
- 使用主机保护机制来禁用未知的外部设备;
可移动媒介
描述:这项技术可以利用autorun功能来执行恶意代码。为了欺骗用户,攻击者会修改或重命名合法文件,然后将其拷贝到可移动驱动器中。除此之外,恶意软件还可以嵌入到可移动媒介中。
如何保护自己?
- 禁用Windows的自动运行功能;
- 修改企业的安全策略,限制可移动媒介的使用;
- 使用反病毒软件;
网络钓鱼-邮件附件
描述:这种技术需要利用网络钓鱼邮件来传播恶意软件。电子邮件正文的内容通常是一些看似合理的内容,但是当用户打开邮件中的附件时,情况可就不同了。
如何保护自己?
- 使用入侵检测系统(IDS)以及反病毒套件来扫描电子邮件中可能存在的恶意附件,并将其屏蔽或移除。
- 配置安全策略来屏蔽特定格式的电子邮件附件。
- 培训员工如何识别并避免打开钓鱼邮件。
网络钓鱼-恶意链接
描述:网络犯罪分子可能会在钓鱼邮件中嵌入恶意链接来欺骗用户下载恶意软件。
如何保护自己?
- 仔细检查电子邮件发件人以及嵌入的URL地址;
- 使用IDS和反病毒软件;
- 培训员工,增强网络钓鱼安全意识;
供应链攻击
描述:在这种技术中,攻击者会在产品的供应链环节中将各种后门、漏洞利用脚本和黑客工具注入到硬件或软件中。可能的攻击向量如下:
- 篡改软件部署工具和环境参数;
- 滥用源代码库;
- 干扰软件升级和分发机制;
- 入侵开发系统镜像;
- 修改合法软件;
发布假冒/修改版产品
不过在上述手段中,攻击者一般只会攻击软件分发和升级机制。
如何保护自己?
- 使用SCRM和SDLC管理系统;
- 运行持续性的承包商安全审查;
- 严格限制供应链内的访问操作;
- 审查和控制二进制文件的完整性;
- 扫描分发包中的病毒;
- 在部署前测试所有软件和更新包;
- 检查购买的硬件或软件是否被篡改过(MD5或SHA1);
