TS符就不直接在公众号上说太多了,师傅直发,可以去朋友圈看效果,属蛇、虎、猴、猪的兄弟,可以整一个,大事化小,小事化了
买手作产品,送精品安全学习资源,有需要联系教父微信,购买后拉群,国外资源部分目录
更新palo防火墙使用手册,安服进阶必备,中大型企业,或者外企会需要你们了解他们的产品,dddd
最新数据安全ISO27002落地
高级免杀资源
src报告
资料目录
仅列举部分资料,更多资料可购买手作资源获取
什么是关键基础设施?
关键基础设施(CI)是指指对社会和经济运作至关重要的资产、系统和网络。这些包括支持能源、水、交通、医疗保健、通信、紧急服务和金融服务等服务的有形资产。关键基础设施一词还包括对国家安全、公共安全和公共卫生必不可少的资源、设施和系统。
网络安全和基础设施安全局( CISA **)**确定了 16 个 CI 部门_如图 1.1_所示。这些部门至关重要,它们的破坏、瘫痪或毁坏可能会对国家安全、公共健康和安全或经济安全造成严重_影响_:
化工领域
化工行业美国 CISA 确定的 16 个 CI 行业之一。它包括对农业、医疗保健和制造业等许多行业至关重要的化学品的生产、储存和运输。该行业种类繁多,包括生产工业化学品、农药、药品和其他特种化学品的公司。化学行业对美国经济至关重要,其运作受到干扰可能会对公共卫生、安全和国家安全造成严重影响。
化工行业受损的影响
如果如果化工行业受到攻击或入侵,可能会造成严重后果。例如,对化工厂的网络攻击可能导致有毒化学物质释放到环境中,对人类、动物和植物造成危害。化学品生产的中断也可能影响其他 CI 行业,例如依赖药品和医疗器械的医疗保健行业。此外,化工行业在许多行业的供应链中发挥着关键作用,其运营中断可能会对整个经济产生连锁反应。
化工领域的网络攻击场景
这化工行业是制造和供应基本化学品的关键,面临着严重的网络攻击,可能导致运营中断、环境危害和国家安全风险。以下是一些关键的网络攻击场景,需要加强该行业的安全措施和主动防御策略:
-
勒索软件攻击:勒索软件攻击可能针对化工厂的控制系统,这可能会导致工厂关闭或向环境中释放有毒化学物质。然后攻击者可以要求支付赎金,以换取安全归还系统的控制权。
-
供应链攻击:对化学品供应商的网络攻击可能会影响基本化学品的生产,从而对整个经济产生连锁反应。攻击者可能会针对供应商的系统窃取知识产权或破坏运营,从而导致关键化学品短缺。
-
内部威胁:A恶意内部人员可能会利用其对化工厂控制系统的访问权限造成损害或泄漏有毒化学品。这样做可能是为了获取经济利益,也可能是为了伤害公司或其员工。
-
国家支持的网络攻击:一个民族国家可能会针对化工行业破坏关键化学品的生产或窃取知识产权用于其行业。此类攻击可能对国家安全和经济稳定造成严重后果。
-
物联网( IoT )攻击:IoT化学行业越来越多地使用设备来监控生产过程和控制系统。对这些设备进行网络攻击可能会危及整个系统,导致停机或释放有毒化学物质。攻击者可能会利用受感染的设备发起进一步攻击或窃取敏感数据。
化工行业是美国经济的重要组成部分,其运营对许多其他行业至关重要。网络攻击导致化工行业运营中断可能会对公共卫生、安全和国家安全造成严重后果。因此,保护化工行业的资产、系统和网络免受网络威胁至关重要。
商业设施领域
商业设施行业是CISA 在 2019 年确定的 16 个 CI 行业之一。美国。该行业包括各种设施,例如办公楼、购物中心、体育场馆和娱乐场所。它还包括提供基本服务的设施,例如交通枢纽、酒店和餐馆。该行业对社会运转至关重要,其运营中断可能会对公共安全和经济稳定造成严重后果。
商业设施部门受损的影响
如果商业设施部门受到损害或攻击,可能会产生严重后果:
-
经济混乱:对交通枢纽或商业设施的网络攻击可能会扰乱货物和人员的流动,造成重大经济损失。这可能会妨碍业务运营,影响供应链,并对企业和整个经济造成财务影响。
-
公共安全问题:对体育场馆或娱乐场所的袭击可能危及公共安全,可能导致活动取消或中断。这可能会对参加者和设施的声誉产生负面影响,导致公众失去信任。
-
数据泄露和财务损失:针对酒店或餐饮连锁店的网络攻击可能会泄露敏感数据,包括信用卡信息和客户个人信息。此类泄露可能导致因欺诈、法律责任和品牌声誉受损而造成的财务损失。恢复信任和从数据泄露中恢复可能既耗时又费钱。
-
声誉受损:商业设施部门受损可能会给企业声誉造成重大损害。网络攻击或数据泄露的消息可能会削弱客户信任,导致顾客流失,并可能对受影响公司的品牌形象造成长期影响。
-
法律和监管影响:对商业设施的网络攻击可能导致法律和监管后果。根据司法管辖区的不同,企业可能会因未能充分保护客户数据或维持足够的网络安全措施而受到罚款、处罚或法律诉讼。
为了降低这些风险,商业设施必须实施强有力的网络安全措施、定期更新系统、进行员工培训并制定有效的事件响应计划。
商业设施领域的网络攻击场景
这商业设施行业包括酒店、餐厅、交通枢纽和体育场馆等各种场所,容易受到网络攻击,这些攻击可能会扰乱运营、泄露敏感数据并破坏客户信任。以下是一些对该行业构成重大风险的关键网络攻击场景:
-
勒索软件攻击:勒索软件攻击可能针对连锁酒店或餐厅,导致敏感数据和关键系统加密被盗。然后攻击者可以要求支付赎金,以换取安全归还系统和数据的控制权。
-
内部威胁:A恶意内部人员可能会利用其对商业设施系统的访问权限造成损害或窃取敏感数据。这样做可能是为了获取经济利益,也可能是为了损害公司或其客户。
-
分布式拒绝服务( DDoS )攻击:DDoS 攻击可能针对交通运输中心或体育场馆的网站,导致其崩溃,并阻止人们访问关键信息。此次攻击还可能通过使网络流量过大来破坏设施的运营。
-
社会工程攻击:社会工程攻击可能针对商业设施,诱骗他们泄露敏感信息或授予访问关键系统的权限。然后攻击者可以利用这些信息发起进一步的攻击或窃取敏感数据。
-
物联网( IoT )攻击:物联网设备在商业领域的应用越来越广泛设施监控运营并为客户提供服务。对这些设备进行网络攻击可能会危及整个系统,导致运营中断或敏感数据泄露。攻击者可能会利用受感染的设备发起进一步攻击或窃取敏感数据。
确保强大的网络安全措施和全面的员工培训对于商业设施部门至关重要,以减轻勒索软件攻击、内部威胁、DDoS 攻击、社会工程和物联网漏洞的风险,保障运营、数据和客户信任。
通讯领域
通信行业是指指能够跨各种平台传输语音、数据和视频等信息的系统和网络。该行业包括有线和无线通信网络、广播系统、卫星系统和互联网服务提供商。通信行业对于能源、交通和金融等许多其他 CI 行业的运作至关重要,该行业的任何中断都可能产生深远的影响。
通信部门受损的影响
如果如果通信部门受到攻击或入侵,许多其他 CI 部门的运作将受到严重干扰。例如,应急响应人员依靠通信网络来协调响应工作,这些网络的任何中断都可能妨碍他们有效应对紧急情况的能力。通信网络中断还可能导致供应中断链,因为物流公司依靠这些网络来追踪货物并协调运送。
通信领域的网络攻击场景
有针对通信行业的几种潜在网络攻击场景。其中一种场景是 DDoS 攻击,受感染设备组成的网络(称为僵尸网络)会向通信网络发送大量流量,使合法用户无法访问。另一种场景是一种中间人攻击,攻击者可以拦截双方之间的通信,窃听通信或修改通信以达到自己的目的。第三种情况是勒索软件攻击,攻击者可以加密关键数据并要求付款以换取解密密钥。这些只是可能针对通信行业的众多潜在网络攻击场景中的几个例子。该行业的组织必须采取适当的网络安全措施来防止和减轻这些攻击的影响。
关键制造业
关键制造业包括生产必需品的行业汽车、航空航天产品、电子产品、药品和化学品等商品和材料。该行业通过确保基本产品的供应,在经济、国家安全和公共福祉中发挥着至关重要的作用。该行业严重依赖先进技术、自动化和互联系统来优化生产流程和供应链。
关键制造业受损的影响
如果关键制造业部门一旦受到损害或攻击,可能会在各个层面产生严重后果:
经济混乱 | 关键制造业务中断可能导致供应链中断、产品短缺和成本增加,从而影响企业和消费者。这可能会对整体经济产生连锁反应。 |
国家安全威胁 | 关键制造设施受损可能会导致敏感知识产权的丢失,危及国家安全利益。此外,重要的国防相关产品和设备可能无法供应,影响军事准备。 |
公共安全问题 | 对关键制造系统的攻击可能会影响产品的安全和质量。恶意行为者可能会操纵生产流程,导致产品存在缺陷或不安全,从而对公众健康和安全构成风险 |
表 1.1 – 关键制造业受损的影响
妥协关键制造业领域面临重大风险,包括经济混乱、国家安全威胁和公共安全问题,凸显了保护该领域免受网络攻击的重要性。
关键制造业的网络攻击场景
这关键制造业容易受到各种网络攻击,这些攻击可能会破坏运营、损害知识产权并利用内部威胁。以下是一些需要注意的关键场景:
-
勒索软件攻击:网络犯罪分子可能会部署勒索软件来破坏关键通过加密数据和系统来破坏制造业务,要求支付赎金才能恢复访问权限。这可能会停止生产,破坏供应链并造成财务损失。
-
供应链攻击:对手可能会针对关键制造部门的供应商或分包商,利用其系统中的漏洞获取未经授权的访问权限。这可以为攻击者提供渗透和破坏大型制造网络的途径。
-
知识产权盗窃:民族国家行为者或竞争对手可能会发起复杂的网络间谍活动旨在窃取专有制造流程、设计或商业机密。这可能会造成重大经济损失并削弱受影响公司的竞争力。
-
内部威胁:内部威胁对关键制造业造成风险。心怀不满的员工或拥有授权访问权限的内部人员可能会破坏生产系统、泄露敏感信息或泄露宝贵的知识产权。
为了减轻网络攻击对关键制造业的风险和后果,企业必须实施强有力的网络安全措施,例如网络分段、定期系统修补、对员工进行网络钓鱼和社会工程培训以及持续监控 IT 系统。政府机构、行业利益相关者和网络安全专家之间的合作对于制定和实施保护关键制造业基础设施的有效策略也至关重要。
水坝部门
水坝部门是指涉及大坝及相关设施建设、运营和维护的基础设施和系统。大坝在水资源管理、水力发电、防洪和灌溉。它们提供可靠的水源供应,为世界各地区的经济和社会发展做出贡献。
水坝行业受损的影响
如果如果水坝部门遭到入侵或攻击,可能会在各个层面产生严重后果:
-
基础设施损坏:针对水坝的袭击可能会对水坝结构造成物理损坏,例如水坝破裂或不稳定。这可能会导致灾难性的洪水、人员伤亡和下游的大规模财产损失。
-
供水中断:受损的水坝会破坏供水系统,影响饮用水供应、农业灌溉和工业用水。这可能会对社区、农业生产和工业运营产生深远影响。
-
发电中断:许多水坝也与水力发电有关。水坝基础设施遭到攻击可能会中断发电,导致电力短缺并影响区域电网的稳定性。
-
环境影响:网络攻击造成的水坝溃坝可能会向自然生态系统释放大量水,造成严重的环境破坏、生物多样性丧失和水生栖息地破坏。
水坝部门的保护和恢复能力对于减轻受损基础设施的潜在影响至关重要。通过确保强有力的安全措施、定期维护和有效的响应计划,利益相关者可以最大限度地降低基础设施损坏、供水中断、发电中断和不利环境后果的风险。
水坝领域的网络攻击场景
这水坝部门面临各种网络攻击场景,可能对大坝的安全和运行完整性构成重大风险。
-
远程访问利用:对手可能会试图利用大坝控制系统的漏洞,获得未经授权的远程访问权限。这可以让攻击者操纵放水机制、修改操作参数或破坏通信网络。
-
数据操纵:网络犯罪分子可能会攻击大坝的数据管理系统,改变水位测量或流量等运行数据。这可能导致有关大坝运营的错误决策,从而可能危及安全和水资源管理。
-
DDoS 攻击:水坝通常依靠基于计算机的系统来管理运营。DDoS 攻击可能会使这些系统因大量流量而崩溃,从而导致监控、控制和通信能力中断。
-
内部威胁:内部威胁大坝部门内部的违规行为构成重大风险。心怀不满、拥有关键系统访问权限的员工可能会故意破坏或操纵大坝运行,危及安全和完整性。
攻击者可能会利用控制系统中的漏洞、操纵数据管理系统、发起 DDoS 攻击或利用内部威胁。保护大坝部门免受这些网络威胁对于确保大坝可靠、安全运行、保护公共安全和水资源管理至关重要。
为了减轻大坝部门遭受网络攻击的风险,实施强有力的网络安全措施至关重要。这包括定期安全评估、网络监控、访问控制、敏感数据加密、员工网络安全最佳实践培训,以及大坝运营商、政府机构和网络安全从业人员之间的密切合作。主动措施可以帮助发现漏洞、加强防御,并确保大坝可靠、安全地运行,造福社会和环境。
国防工业基地部门
国防工业基础(DIB)部门在支持国防和军事能力。国防基础工业部门由参与国防相关商品和服务研究、开发、生产和维护的组织、承包商、制造商和供应商组成,对于确保国家国防基础设施的准备和有效性至关重要。
国防工业基础部门受损的影响
如果 DIB 扇区一旦被入侵或受到攻击,后果将十分严重。后果可能包括国家安全风险、运营中断和经济影响。
DIB 部门被攻陷的主要问题之一是可能危及国家安全。对手获得敏感军事技术、机密信息和知识产权可能会严重破坏一个国家的国防能力。关键国防技术和军事机密被盗对一个国家的国家安全构成严重威胁,并可能损害其军事优势和战备能力。
对国防工业部门的攻击可能会扰乱国防系统的生产、供应链和维护。设备交付延迟和作战准备度降低可能会妨碍一个国家有效应对威胁和保持强大国防态势的能力。
DIB 行业受损的经济影响不容忽视。该行业创造就业机会、推动创新并为更广泛的工业基础做出贡献。DIB 行业受损可能导致经济损失、裁员和供应链中断。连锁反应可能超出国防承包商的范围,影响与DIB 行业相关的整体经济和行业稳定性。
国防工业基础部门的网络攻击场景
按照网络攻击场景中,针对 DIB 部门存在多种可能性。高级持续性威胁( APT ) 包括由国家支持的攻击者精心策划的复杂、长期的渗透活动。这些攻击涉及对敏感网络的持续访问、数据泄露以及知识产权、军事机密和关键国防技术的盗窃。
供应链攻击是另一个重大威胁。攻击者可以通过针对 DIB 部门内的分包商、供应商或制造商来利用供应链中的漏洞。通过破坏这些实体,攻击者可以将恶意代码注入防御系统或破坏组件的完整性,从而导致安全性和功能受损。
内部威胁也是一大隐患。恶意内部人员或有权访问敏感信息的员工的无意行为可能会导致机密数据被盗、防御系统被破坏或关键信息被未经授权泄露给对手。
勒索软件攻击(网络犯罪分子加密关键系统并索要赎金)也会影响 DIB 部门。此类攻击会破坏运营、泄露敏感数据并造成财务损失。
为了减轻这些风险,国防投资银行部门必须优先考虑强有力的网络安全措施。这包括实施强大的网络安全协议、定期进行安全评估、培养网络安全意识文化、建立信息共享伙伴关系以及投资先进的威胁检测和响应能力。通过这样做,国防投资银行部门可以减轻风险、维护国家安全,并在不断演变的网络威胁面前确保国防行动的连续性。
紧急服务部门
紧急服务部门是应急服务部门是任何社会的重要组成部分,包括负责应对和管理紧急情况的组织和机构,包括执法部门、消防部门、紧急医疗服务和灾难响应小组。该部门在危机情况下保障公共安全和福祉方面发挥着至关重要的作用。然而,如果应急服务部门受到损害或攻击,后果将是严重而深远的。
紧急服务部门受损的影响
中的一个应急服务部门受到攻击的主要后果是应急响应能力可能崩溃。在网络攻击的情况下,重要的通信系统可能会中断,从而阻碍应急人员和机构之间的有效协调。这种中断可能会妨碍迅速有效地应对紧急情况的能力,导致关键援助延误,并可能加剧局势的严重性。
另一个重大问题是敏感信息和系统可能遭到入侵。紧急服务机构掌握着大量个人数据,包括医疗记录、联系方式以及与正在进行的调查相关的机密信息。如果这些系统遭到入侵,可能会导致敏感信息泄露,侵犯隐私权,并可能危及紧急情况中的个人。
应急服务领域的网络攻击场景
网络攻击场景针对应急服务部门的攻击形式多种多样。DDoS 攻击就是其中一种,攻击者通过大量流量使通信系统超载,导致系统无法使用。在这种情况下,应急人员将难以获取关键信息并进行有效沟通,从而严重影响他们的响应能力。
勒索软件攻击对应急服务部门构成了另一个重大威胁。攻击者可以入侵系统并加密重要数据和系统,要求支付赎金才能释放数据。如果成功,这些攻击可能会扰乱运营,瘫痪应急响应工作,并可能泄露敏感数据。
网络钓鱼攻击也给该行业带来了风险。攻击者可以冒充受信任的个人或组织,并试图欺骗应急人员泄露敏感信息或提供对系统的未经授权的访问权限。成功的网络钓鱼攻击可能导致对 CI 的未经授权的访问、通信渠道的破坏或恶意软件的部署。
为了减轻网络攻击对应急服务部门的风险和后果,必须采取强有力的网络安全措施。这包括实施先进的防火墙、入侵检测系统和加密协议,以保护敏感信息数据和通信渠道。应定期开展培训和宣传计划,让员工了解潜在的网络威胁和保护信息的最佳做法。与网络安全专家的合作和机构间的信息共享有助于有效识别和应对新出现的威胁。
总之,应急服务部门是公共安全的重要组成部分,需要强有力的网络安全措施来保护其关键系统和信息。应急服务部门受到攻击的后果可能导致应急响应延迟、敏感数据暴露以及对个人的潜在伤害。通过投资网络安全并采取主动措施,应急服务部门可以增强其弹性,并在危机时期继续发挥其在保护社区方面的关键作用。
能源领域
能源行业在推动经济发展、提供电力和运输燃料方面发挥着关键作用。它涵盖各种子行业,包括石油和天然气、发电、可再生能源和核能。随着我们对技术和互联系统的依赖性不断增加,能源行业面临着越来越多的网络安全挑战和潜在威胁。对该行业的入侵或攻击可能会造成严重后果,不仅影响行业,还会影响经济和公共安全。
能源行业受损的影响
妥协能源部门的破坏会对能源供应、经济和基础设施产生深远影响。以下是能源部门受损可能产生的一些主要后果:
-
能源供应中断:如果能源部门受到攻击或破坏,则可能导致能源供应中断。停电、石油和天然气炼油厂关闭或可再生能源发电中断可能会造成重大经济损失、给企业和个人带来不便以及对公共安全造成潜在风险。
-
经济后果:能源行业是经济稳定和增长的重要组成部分。破坏能源生产、分配或定价机制的攻击可能会产生深远的经济后果,包括增加企业和消费者的成本、收入损失和生产力下降。
-
基础设施损坏:针对能源基础设施的网络攻击可能会对关键系统和设备造成物理损坏。例如,对电网的攻击可能会损坏变压器或控制系统,导致停机时间延长、维修费用高昂以及潜在的安全隐患。
妥协能源部门的攻击会对能源供应、经济和基础设施产生毁灭性的影响。能源供应中断可能导致重大经济损失、给企业和个人带来不便以及对公共安全造成潜在风险。此外,对能源生产、分配或定价机制的攻击造成的经济后果可能导致成本增加、收入损失和生产力下降。针对能源基础设施的网络攻击可能会造成物理损坏,例如损坏变压器或控制系统,从而导致停机时间延长、维修费用高昂以及潜在的安全隐患。
能源领域的网络攻击场景
能源领域面临着越来越严重的网络攻击威胁,各种攻击场景都可能造成严重破坏、泄露敏感信息并危及运营。以下是一些对能源行业构成重大风险的关键网络攻击场景:
-
勒索软件攻击:勒索软件攻击,恶意行为者可以渗透能源公司的网络并加密关键文件和系统。然后他们要求支付赎金以换取恢复访问权限。此类攻击可能会瘫痪运营,破坏能源供应并造成重大财务损失。
-
高级持续性威胁(APT) :涉及资金充足、组织有序的对手发动的复杂而持久的攻击。在能源领域,APT 可能以敏感信息、知识产权或控制系统为目标,以获取未经授权的访问权限、收集情报或破坏行动。
-
内部威胁:内部威胁对能源领域构成重大风险,因为恶意的内部人员或凭证受损的员工可以利用其特权访问权限来破坏关键系统,窃取敏感数据或造成故意破坏。
-
DDoS 攻击:DDoS 攻击向能源公司网络或网站注入过多流量,导致其不堪重负。这可能会中断在线服务、阻碍通信并影响客户获取能源相关服务。
综上所述,能源行业面临着多方面且不断变化的网络攻击威胁。勒索软件攻击、APT、内部威胁和 DDoS 攻击对该行业的运营、基础设施和敏感信息的安全构成了重大风险。
预防和减轻网络攻击
为了增强能源部门的安全态势,可以实施以下措施:
-
强大的网络安全实践:能源公司应采用强大的网络安全实践,包括定期漏洞评估、网络监控和事件响应计划。确保系统和软件使用最新补丁和安全更新至关重要。
-
员工教育和培训:应开展培训计划,教育员工了解网络安全最佳实践,例如识别网络钓鱼电子邮件、使用强密码和保护敏感信息。
-
增强网络分段:实施适当的网络分段可隔离关键系统,减少攻击者进行横向移动的可能性并限制入侵的影响。
-
持续监测和威胁情报:能源部门应利用先进的监控工具和威胁情报,可实时识别和应对网络威胁。入侵检测系统、安全信息和事件管理( SIEM ) 系统和威胁情报源可以提供有价值的见解。
-
合作与信息共享:能源部门应促进合作行业利益相关者、政府机构和网络安全组织之间共享威胁情报和最佳实践,并就事件响应进行合作。
加强能源部门抵御网络攻击的安全性需要采取多方面的方法,包括强大的网络安全实践、员工教育、网络分段、持续监控以及利益相关者之间的协作信息共享。通过实施这些措施,能源部门可以更好地预防和减轻网络威胁,保护 CI 并确保能源系统的可靠性和弹性。
金融服务业
金融服务业发挥金融业在全球经济中发挥着重要作用,涵盖与金融交易、投资和货币管理相关的各种机构和活动。其中包括银行、保险公司、资产管理公司、证券交易所和其他金融中介机构。该行业促进资本流动,为个人和企业提供基本服务,并促进经济增长和稳定。
金融服务业受损的影响
如果一旦金融服务部门受到攻击或入侵,可能会在国家和全球范围内产生严重后果。一些潜在影响包括:
-
经济混乱:对金融服务业的攻击或入侵会破坏金融市场的运作,导致市场动荡、投资者信心下降,并可能导致经济衰退。它会影响股价、货币汇率、利率和信贷可用性,从而对企业和个人造成影响。
-
财务损失:针对金融机构的攻击可能会因盗窃、欺诈或未经授权访问敏感信息而造成财务损失。这些损失可能发生在机构和个人层面,可能会影响储蓄、投资和金融稳定。
-
客户信任和声誉:金融服务业受损会削弱客户对金融系统安全性的信任和信心。客户可能会犹豫是否进行交易或分享敏感信息,从而影响该行业的整体运作。金融机构还可能面临声誉受损,这可能会对其业务运营产生长期影响。
-
监管合规性:针对金融服务行业的网络攻击可能导致监管合规性违规,违反数据保护和隐私法规。如果机构未能充分保护客户信息或遵守行业标准,可能会面临法律后果、罚款和处罚。
金融服务领域的网络攻击场景
一些对金融服务业构成风险的网络攻击场景包括:
-
DDoS 攻击:攻击者可以针对金融机构的网站和系统进行大规模流量攻击,使其服务器超负荷,导致服务中断,并导致客户无法使用网上银行和金融服务。
-
网络钓鱼和社会工程:网络犯罪分子可以发送欺诈性电子邮件或冒充合法金融机构,欺骗客户的信息分享敏感信息,例如登录凭证或个人详细信息。这些信息随后可能被用于未经授权的访问或身份盗窃。
-
内部威胁:恶意有权访问财务系统和客户数据的内部人员可以利用其特权窃取敏感信息、操纵交易或破坏运营。这可能包括具有授权访问权限的员工、承包商或第三方供应商。
-
APT:复杂针对金融机构的持续性网络攻击包括长期渗透、隐秘数据泄露和针对性攻击,以破坏关键系统。APT 可以由国家支持的行为者、有组织的犯罪集团或技术娴熟的恶意黑客策划。
-
勒索软件攻击:金融机构可能成为勒索软件的目标,攻击者会加密关键数据并索要赎金。如果机构无法恢复加密数据或支付赎金,这可能会导致数据丢失、运营中断和财务损失。
为了降低风险并保护金融服务业免受网络攻击,金融机构应实施强有力的网络安全措施,包括网络安全、加密、访问控制、威胁情报、员工培训、事件响应计划和定期安全评估。金融机构、监管机构和执法机构之间的合作对于确保有效防御网络威胁并维护金融服务业的稳定和安全也至关重要。
食品和农业服务业
食品和农业服务业涵盖与以下方面相关的广泛活动:食品和农产品的生产、加工、分销和零售。它包括农场、食品加工厂、批发商、零售商和支持该行业的各种服务提供商。该行业在确保粮食安全、支持农村生计和满足人口营养需求方面发挥着至关重要的作用。
食品和农业部门受损的影响
如果食品和农业服务业一旦受到攻击或入侵,可能会产生严重后果,影响经济和公共卫生。一些潜在影响包括:
-
食品供应链中断:针对食品和农业部门的网络攻击可能会破坏整个供应链,导致短缺、价格波动和食品安全受损。攻击者可能会以 CI、物流系统或信息系统为目标,阻碍货物流通并导致生产和分销延迟。
-
食品安全受损:该行业的信息系统遭受攻击可能导致食品安全数据被操纵或更改,从而难以识别和减轻潜在风险。这可能导致受污染或不安全的食品被分销和消费,对公众健康构成风险,并可能导致食源性疾病。
-
财务损失:针对食品和农业服务行业金融交易和系统的攻击可能会给企业带来财务损失。这可能包括资金盗窃、欺诈交易或财务运营中断,从而影响农场、加工商和该行业其他企业的盈利能力和可持续性。
-
声誉受损:食品和农业服务业受损会导致消费者对食品安全和质量失去信任和信心。污染、掺假或其他恶意活动事件会损害公司的声誉并对其品牌形象产生负面影响,从而对其业务运营产生长期影响。
-
经济影响:食品和农业服务业是经济的重要贡献者,无论是在就业还是创收方面。损害这一行业可能会产生更广泛的经济影响,影响农村生计、出口机会和整体经济增长。
总之,食品和农业服务业的受损会对经济和公共健康产生不利影响,包括食品供应链中断、食品安全受损、财务损失、声誉受损以及更广泛的经济影响。
食品和农业服务领域的网络攻击场景
一些对食品和农业服务业构成风险的网络攻击场景包括:
-
供应链中断:攻击者黑客可能会针对该行业的供应链系统,包括库存管理、运输和物流平台。通过破坏这些系统,黑客可能会导致产品交付延迟、短缺或将假冒产品引入市场。
-
数据泄露:网络犯罪分子可能会试图入侵食品和农业公司的信息系统以获取敏感数据。这可能包括客户信息、财务记录或专有信息,这些信息可用于获取经济利益或在暗网上出售。
-
工业间谍:竞争对手或者外国实体可能进行网络间谍活动,窃取知识产权,例如专有技术、研究数据或创新农业技术。这可能会削弱公司的竞争优势并阻碍该行业的创新。
-
基础设施中断:该行业依赖于各种基础设施,如灌溉系统、储存设施和加工厂。针对这些系统进行网络攻击可能会扰乱运营,导致生产延误、设备故障甚至物理损坏。
-
虚假信息和社会工程:攻击者可能会传播虚假信息或采取社会工程手段,如散布虚假食品安全警告、操纵网上评论或欺骗消费者食品产地或质量。这可能会引发恐慌,削弱消费者信任,并损害该行业企业的声誉。
为了降低风险并保护食品和农业服务业免受网络攻击,公司应实施强有力的网络安全措施,包括安全的网络基础设施、定期的系统更新和修补、员工网络安全最佳实践培训以及事件响应计划。
政府设施业
政府设施行业涵盖政府提供的广泛服务政府部门是支持公共设施和基础设施运作的机构。它包括政府建筑、公共空间和 CI 的维护、安全、运输和行政支持等服务。该部门在确保政府运作、公共服务和社会整体运作的顺利进行方面发挥着至关重要的作用。
政府设施部门受损的影响
如果政府设施部门一旦受到攻击或入侵,可能会产生严重后果,影响政府运作和公共安全。一些潜在影响包括:
-
基本服务中断:对政府设施的网络攻击可能会破坏向公众提供的基本服务,例如交通系统、公用事业、应急响应服务和行政职能。这可能导致服务中断、延迟和公共服务提供效率下降,影响公民的日常生活。
-
基础设施受损:针对政府设施的攻击可能会损害基础设施,包括发电厂、水处理设施、交通枢纽和通信网络。此类攻击可能会破坏基本服务,导致基础设施故障,甚至对公共安全构成风险。
-
数据泄露和隐私问题:政府机构存储大量敏感数据,包括公民个人信息、机密政府文件和 CI 蓝图。网络攻击可能导致数据泄露,导致未经授权的访问、盗窃或泄露敏感信息。这可能对国家安全、隐私和公众对政府的信任产生严重影响。
-
政治和经济影响:政府设施部门受到攻击可能会产生重大的政治和经济后果。这可能会削弱公众对政府保护 CI 和提供基本服务的能力的信心。此外,从网络攻击中恢复和实施更强有力的安全措施的成本可能会给政府预算和资源造成压力。
总之,政府设施部门的入侵可能会产生广泛影响,包括基本服务中断、基础设施受损、数据泄露和隐私问题,以及政治和经济影响。
政府设施部门的网络攻击场景
一些对政府设施部门构成风险的网络攻击场景包括:
-
勒索软件攻击:攻击者可能会在政府系统上部署勒索软件,加密关键数据并索要赎金。这可能会使政府运作陷入瘫痪,破坏基本服务,并迫使政府在付款方面做出艰难的决定。
-
高级持续性威胁(APT) :此类团体可能会将政府设施作为目标,以获得对网络和系统的持续访问权。他们可以渗透网络、收集敏感信息,并长期不被发现,从而可能危及 CI 或进行间谍活动。
-
物理基础设施攻击:针对政府设施的网络攻击可能旨在操纵或禁用物理基础设施系统,例如门禁系统、监控摄像头或楼宇自动化系统。这可能会破坏安全措施、破坏安全协议或为未经授权访问敏感区域提供便利。
-
社会工程学和鱼叉式网络钓鱼:攻击者可能采用社会工程学钓鱼式攻击等技术,诱骗政府雇员泄露敏感信息或授予未经授权的系统访问权限。这可能导致未经授权访问政府网络、数据泄露或恶意软件传播。
-
内部威胁:政府设施部门可能面临内部威胁的风险,即有权访问系统的个人有意或无意地危害安全。这可能包括未经授权披露敏感信息、破坏系统或旨在扰乱运营的内部攻击。
为了降低风险并保护政府设施部门免受网络攻击,强大的网络安全措施至关重要。这些措施包括实施强大的访问控制、定期进行安全评估、对员工进行网络安全最佳实践培训、实施事件响应计划以及与网络安全机构合作分享威胁情报和最佳实践。
医疗保健和公共卫生部门
卫生和公共卫生部门在提供医疗保健、公共卫生服务、应急响应,以保障个人和社区的福祉。它涵盖各种实体,包括医院、诊所、医学研究机构、公共卫生机构和制药公司。该部门负责确保提供基本医疗服务、促进公共卫生以及应对医疗紧急情况和疫情。
医疗保健和公共卫生部门受损的影响
如果医疗保健和公共卫生部门受到威胁或攻击,可能会对个人和社会产生严重后果。一些潜在影响包括:
-
医疗服务中断:对医疗系统的网络攻击可能会破坏关键的医疗服务,包括患者护理、诊断、治疗和医疗记录管理。这可能会导致医疗治疗延迟或受损,危及患者安全并可能导致不良的健康后果。
-
患者数据和隐私受损:医疗保健机构存储大量敏感患者数据,包括医疗记录、个人信息和账单详细信息。网络攻击可能导致数据泄露,暴露机密患者信息遭受未经授权的访问、身份盗窃或滥用。此类违规行为会削弱患者对医疗保健系统的信任,并可能对医疗保健提供者产生法律和财务影响。
-
应急响应能力受损:医疗保健部门在公共卫生危机、自然灾害或疾病爆发期间的应急响应中发挥着至关重要的作用。如果受到影响,有效应对紧急情况、协调资源和及时提供医疗服务的能力可能会受到严重影响,导致发病率和死亡率上升。
-
医疗设备入侵:医疗保健行业依赖各种医疗设备和设备来护理和治疗患者。网络攻击可以针对这些设备,破坏其功能或操纵其操作。这可能导致提供错误的治疗、设备故障或关键生命支持系统中断。
-
知识产权盗窃:医学研究机构和制药公司是网络间谍和知识产权盗窃的主要目标。攻击者可能旨在窃取有价值的研究数据、临床试验信息或专有知识,从而导致经济损失、医学进步受挫并可能危害公众健康。
总之,医疗保健和公共卫生部门的妥协对患者护理、数据隐私、应急响应能力、医疗设备功能和知识产权保护构成了重大风险。
医疗保健和公共卫生领域的网络攻击场景
一些对医疗保健和公共卫生部门构成风险的网络攻击场景包括:
-
勒索软件攻击:网络犯罪分子可能会部署勒索软件来加密医疗保健系统并要求支付数据解密赎金。这可能会使医疗保健业务陷入瘫痪,妨碍获取患者记录,并延误关键医疗程序,从而可能危及患者安全和护理。
-
数据泄露和患者信息盗窃:黑客可能渗透医疗保健数据库窃取患者信息,包括医疗记录、保险详细信息和个人身份信息。这些被盗数据可能会在黑市上出售或用于各种恶意目的,从而导致身份盗窃、欺诈或有针对性的网络钓鱼攻击。
-
DDoS 攻击:攻击者可能会对医疗保健网站或系统发起 DDoS 攻击,使其流量过大,导致医疗保健提供者和患者无法访问。此类攻击会破坏在线服务、阻碍通信并损害关键医疗保健资源的可用性。
-
内部威胁:医疗保健行业容易受到内部威胁,拥有授权访问权限的员工可能会有意或无意地危及数据安全。这可能涉及未经授权访问患者记录、故意操纵医疗数据或窃取敏感信息。
-
社会工程和网络钓鱼:网络犯罪分子可能会使用社交工程技术(例如网络钓鱼电子邮件或电话诈骗)来诱骗医疗保健人员泄露敏感信息或授予系统访问权限。这可能会导致未经授权访问医疗保健网络、数据泄露或引入恶意软件。
为了降低风险并保护医疗保健和公共卫生部门免受网络攻击,强有力的网络安全措施至关重要。这些措施包括实施安全的网络基础设施和培训医疗保健人员掌握网络安全最佳实践。
信息技术部门
信息技术(IT )行业涵盖了涉及计算机系统、软件、网络和数字服务的开发、实施和维护。它是推动创新、实现通信和支持经济各个部门的关键部门。IT 服务包括软件开发、网络管理、网络安全、数据管理、云计算和技术支持。
信息技术部门受损的影响
如果IT 部门受到攻击或入侵,可能会对企业、政府和个人产生深远影响。一些潜在影响包括:
-
业务运营中断:对 IT 系统的攻击可能会扰乱业务运营,导致停机、生产力损失和财务损失。这可能会影响各种规模的组织,从小型企业到大型企业,影响他们服务客户、提供产品和服务以及开展日常运营的能力。
-
数据泄露和信息盗窃:IT 部门处理大量敏感数据,包括客户信息、财务记录和知识产权。网络攻击可能导致数据泄露,即敏感数据被盗或泄露。这可能会造成严重后果,包括金融欺诈、身份盗窃、声誉损害以及法律和监管处罚。
-
受损的CI:对IT系统的攻击可以针对电网、交通等CI系统、电信网络和医疗设施。这些系统的入侵可能导致服务中断、失控,以及对个人和社区的潜在安全风险。
-
知识产权盗窃:IT 行业是知识产权盗窃的主要目标,攻击者试图窃取有价值的信息、商业机密或专有软件代码。这可能导致财务损失、竞争优势丧失,并阻碍创新和技术进步。
-
网络间谍活动和国家支持的攻击:民族国家可能会进行网络间谍活动或对 IT 系统发起有针对性的攻击,以获取机密信息、政府机密或敏感的公司数据。这些攻击可能具有重大的地缘政治影响,影响国家安全和经济稳定。
总之,IT 部门的入侵会给企业、政府和个人带来严重风险,包括运营中断、数据泄露、CI 入侵、知识产权盗窃和网络间谍活动。
信息技术领域的网络攻击场景
一些对IT部门构成风险的网络攻击场景包括:
-
恶意软件攻击:恶意病毒、蠕虫或勒索软件等软件可能会入侵 IT 系统、危害网络安全并扰乱运营。这可能会导致数据丢失、系统损坏或未经授权访问敏感信息。
-
DDoS 攻击:攻击者可能会对 IT 基础设施发起 DDoS 攻击,造成压倒性的网络或服务器流量巨大,导致合法用户无法访问。这些攻击可能导致服务中断、财务损失和声誉受损。
-
网络钓鱼和社会工程:网络犯罪分子经常采用网络钓鱼技术欺骗用户泄露敏感信息,例如密码或财务信息。社交工程策略可以操纵个人执行危害 IT 安全的操作,例如点击恶意链接或下载受恶意软件感染的文件。
-
零日漏洞: 零日漏洞漏洞是指软件中未知的安全缺陷或攻击者在开发人员修补之前利用的系统漏洞。这些漏洞可使攻击者获得未经授权的访问权限、窃取数据或破坏系统而不被发现。
-
内部威胁:内部威胁涉及滥用访问权限的员工或授权个人破坏 IT 系统。这可能包括窃取敏感数据、破坏 IT 基础设施或未经授权披露机密信息。
为了降低风险并保护 IT 部门免受网络攻击,组织必须优先考虑网络安全措施。这些措施包括实施强大的防火墙和入侵检测系统、定期更新软件和系统、对员工进行网络安全最佳实践培训、实施多因素身份验证以及定期进行安全审计和漏洞评估。
核反应堆、材料和废物部门
核反应堆行业发挥核能发电在提供全球大部分电力方面发挥着至关重要的作用。它涉及核电站的运营和维护,核电站利用核反应释放的能量来发电。由于核技术存在潜在风险,该行业需要严格的安全措施和监管监督。
核反应堆部门受损的影响
如果核反应堆部门一旦遭到入侵或攻击,可能会在各个层面产生严重后果。以下是一些潜在影响:
-
安全风险和放射性物质释放:核反应堆遭到攻击可能导致安全漏洞,从而导致放射性物质释放到环境中。这对公众健康和环境构成重大风险,因为暴露于辐射会导致严重的健康影响,包括癌症和遗传损伤。
-
电力中断和能源短缺:受损的核反应堆可能需要出于安全原因关闭或降低电力输出。这可能导致电力中断和能源短缺,影响家庭、企业和 CI 的电力供应可靠性。核电发电能力的丧失还可能给现有能源基础设施带来压力,并导致对其他能源的依赖增加。
-
环境污染:对核反应堆部门的网络攻击可能会针对控制系统,导致故障或错误,从而造成环境污染。反应堆附近受污染的土壤、水或空气可能会产生长期的生态后果,需要进行大量的清理工作。
-
基础设施受损:对核反应堆 CI 组件(如冷却系统或应急响应系统)的网络攻击可能会导致物理损坏和运行中断。这可能会妨碍反应堆的安全运行,可能加剧安全风险并延长恢复工作。
核反应堆领域的网络攻击场景
一些网络攻击场景对核反应堆部门构成风险:
-
类似 Stuxnet 的攻击:与 Stuxnet 蠕虫类似、专门针对核反应堆控制系统的复杂攻击可能会破坏或操纵关键流程、危及安全机制并可能导致运行故障。
-
恶意软件感染:网络犯罪分子可能会针对核反应堆的 IT 基础设施和人员,目的是将恶意软件引入系统。这种恶意软件可能会破坏操作、危害控制系统或促进对 CI 的未经授权的访问。
-
网络钓鱼和社会工程:攻击者可能采用网络钓鱼技术或攻击者使用社会工程手段欺骗核反应堆部门的员工。通过诱骗他们泄露敏感信息或未经授权访问系统,攻击者可以破坏反应堆和相关基础设施的安全。
-
内部威胁:内部威胁来自核反应堆部门内部心怀不满的员工或怀有恶意的个人的攻击会带来重大风险。能够访问关键系统或敏感信息的内部人员可能会故意破坏操作或协助外部攻击。
-
供应链妥协:支持核能的复杂供应链反应堆部门是网络攻击的潜在目标。通过危害供应商或引入恶意组件,攻击者可以渗透该部门的基础设施并未经授权访问关键系统。
为了保护核反应堆部门免受网络攻击,强大的网络安全措施至关重要。这些措施包括实施严格的访问控制、定期进行安全评估、采用先进的入侵检测和预防系统、确保供应链安全、对人员进行网络威胁和最佳实践教育,以及与政府机构和国际组织合作共享威胁情报并加强网络安全防御。核工业还遵守严格的法规和安全协议,以降低风险并保持最高水平的安全性。
交通运输系统部门
交通系统部门包括运输业是各种交通方式的综合体,包括空中、陆地和海上,在促进人员和货物在各个地区和国家之间的流动方面发挥着关键作用。它包括机场、海港、铁路、公路和公共交通系统等基础设施。该行业严重依赖复杂的网络、信息系统和技术来确保高效和安全的运输运营。
交通运输系统受损的影响
如果交通系统部门一旦受到攻击或入侵,可能会对个人和经济产生深远影响。以下是一些潜在影响:
-
服务中断:交通系统遭受攻击可能导致航班、火车服务或海上作业大规模中断、延误和取消。这会给旅行者带来极大不便,给企业带来物流挑战,并因供应链中断而造成经济损失。
-
安全风险:交通系统被入侵可能带来重大安全风险。例如,针对空中交通管制系统的攻击可能会破坏飞机的通信和协调,从而可能导致事故或碰撞。对铁路系统的攻击可能会影响信号和控制系统,危及列车运行和乘客安全。
-
经济影响:运输系统部门是全球贸易和经济活动。交通基础设施中断或遭受攻击可能导致生产力下降、运输成本增加、旅游和商业活动减少,从而造成经济损失。这可能会对多个行业和部门产生连锁反应。
-
公众信心和信任:受损的交通系统会削弱公众对交通服务可靠性和安全性的信心和信任。旅行者和企业可能会犹豫是否使用交通系统,从而导致乘客数量减少和经济活动减少。
总之,交通系统部门的受损可能会产生广泛影响,包括服务中断、安全风险、经济后果以及公众信心丧失。维护交通基础设施对于确保旅行、贸易和整体经济稳定顺利运行至关重要。
交通运输系统领域的网络攻击场景
几种网络攻击场景对运输系统部门构成风险:
-
勒索软件攻击:网络犯罪分子可能针对交通运输机构或组织使用勒索软件,加密关键系统或数据,并要求支付赎金才能释放。这可能导致运营瘫痪,并妨碍提供服务的能力,直到支付赎金或恢复系统为止。
-
控制系统操纵:攻击者可能试图操纵或破坏交通基础设施控制系统,例如交通管理系统、空中交通管制系统或铁路信号系统。利用这些系统中的漏洞,可能会导致混乱、延误甚至事故。
-
GPS 欺骗:全球定位系统( GPS ) 欺骗涉及发送攻击者利用虚假信号来操纵交通工具或系统接收到的位置或时间信息。通过伪造 GPS 信号,攻击者可以误导导航系统,导致路线错误、发生碰撞或故意误导交通资产。
-
未经授权访问交通系统:针对交通的攻击者系统可能会试图未经授权访问关键系统,例如票务或预订数据库、乘客信息系统或控制界面。这可能会导致数据泄露、身份盗窃或未经授权操纵乘客记录或旅行行程。
-
基础设施定位:交通系统的物理基础设施,例如桥梁、隧道或主要交通枢纽等基础设施都可能成为网络攻击的目标。通过破坏运营系统或基础设施组件,攻击者可以扰乱交通流量、破坏结构完整性或促成物理攻击。
为了减轻交通运输系统领域遭受网络攻击的风险,强有力的网络安全措施至关重要。这包括实施强大的访问控制、网络分段、入侵检测系统和加密机制。定期的安全评估、对员工进行网络安全最佳实践培训以及与行业合作伙伴和政府机构的信息共享合作对于维护交通运输系统领域的弹性和安全性也至关重要。
水和废水处理行业
水和废水处理行业发挥着在为饮用水、工业用水和卫生设施提供清洁安全的水方面发挥着关键作用。它包括水处理厂、配水系统、废水处理设施和供水基础设施等各种实体。该部门负责收集、处理和向社区供应水,并确保废水得到妥善管理。
供水和污水处理行业受损的影响
如果如果水和废水部门受到攻击或入侵,可能会对公共卫生、环境和经济稳定造成严重后果。以下是一些潜在影响:
-
公共卫生风险:水和废水处理部门受损可能对公共卫生构成重大风险。供水系统可能成为目标,使饮用水受到有害物质、病原体或化学物质的污染。这可能导致大面积疾病、水传播疾病爆发,并可能导致生命损失。
-
环境损害:对水和废水部门的攻击可能导致环境损害。例如,篡改废水处理系统可能导致未经处理或处理不充分的废水排入河流、湖泊或海洋,造成污染并损害水生生态系统。水源污染可能产生长期的生态影响。
-
服务中断:对供水和污水处理部门的攻击可能会中断社区的清洁水供应。这可能导致水资源短缺、水质下降以及饮用水、卫生设施和消防等基本服务中断。社区可能难以满足基本需求并维持卫生标准。
-
经济影响:受损的水和废水系统可能会产生重大的经济影响。依赖稳定可靠的供水的行业,例如农业、制造业和能源生产等行业的运营可能会中断。经济生产力可能会下降,依赖水上旅游业的社区可能会受到负面影响。
总之,水和废水部门的妥协不仅对公众健康和环境构成严重风险,而且对经济稳定和依赖可靠供水的各个行业产生深远影响。
水和污水处理行业的网络攻击场景
一些网络攻击场景对水和废水处理部门构成风险:
-
基础设施破坏:攻击者攻击者可能会以水处理厂、泵站或废水处理设施的操作系统和控制网络为目标。通过获取未经授权的访问权限或利用漏洞,攻击者可以破坏关键流程、控制机制或远程监控系统,从而导致服务中断或水质下降。
-
数据操纵和盗窃:网络犯罪分子可能会试图操纵水管理系统中的数据,包括水质监测数据或计费系统。操纵数据可能会歪曲水质水平、妨碍准确决策或为欺诈活动提供便利。
-
网络钓鱼和社会工程:攻击者可能使用网络钓鱼电子邮件、社交黑客利用网络攻击技术或有针对性的鱼叉式网络钓鱼活动来获取对水和废水处理组织的网络基础设施或内部系统的未经授权的访问。一旦进入网络,他们就可以利用漏洞、提升权限或发起进一步的攻击。
-
DDoS 攻击:水和废水系统可能遭受 DDoS 攻击,导致网络资源、控制系统或通信渠道不堪重负。这些攻击可能会扰乱运营、损害系统可用性,并妨碍监控和响应关键事件的能力。
-
内部威胁:内部人员获得水和废水系统授权访问权限的人可能会滥用其权限或从事恶意活动。这可能包括故意篡改控制系统、破坏流程或泄露敏感信息。
为了保护水和废水部门免受网络攻击,强大的网络安全措施至关重要。这包括实施安全的网络架构、访问控制、加密机制和入侵检测系统。定期进行漏洞评估、对员工进行网络安全最佳实践培训以及与网络安全专家和政府机构的合作对于保持水和废水部门的弹性和安全性至关重要。此外,制定事件响应计划并定期进行演习以测试响应能力有助于最大限度地减少潜在网络事件的影响。
Stuxnet 攻击伊朗核计划(2010 年)
Stuxnet 是一种2010 年出现的复杂蠕虫,被广泛认为是多国合作的结果。其主要目标是破坏伊朗的核浓缩计划,特别是针对用于浓缩铀的离心机。
Stuxnet 专门针对监控和数据采集( SCADA ) 系统,更多特别是西门子 Step7 软件,它用于编程工业控制系统(ICS),包括可编程逻辑控制器(PLC)。PLC 控制实际工业环境中的机器,例如 Stuxnet 所针对的伊朗核设施中的离心机。
Stuxnet 采用多阶段攻击流程,结合多种技术来渗透和操纵 ICS。目标是用于控制伊朗纳坦兹铀浓缩设施离心机的西门子 SCADA 系统。
攻击过程如下:
|
技术描述
|
| — |
|
感染****和传播
|
Stuxnet 最初通过受感染的 USB 驱动器和网络共享进行传播。一旦进入系统,它就会利用 Windows 和 SCADA 软件中的多个零日漏洞来获取访问权限并进行传播。
|
|
Windows****零日漏洞
|
LNK/PIF 快捷方式文件自动执行漏洞 (CVE-2010-2568):最臭名昭著的零日漏洞。Stuxnet 利用此漏洞通过放置在 USB 驱动器上的特制 Windows 快捷方式文件 ( .lnk ) 来执行自身。当访问 USB 驱动器时,即使只是为了查看其内容,恶意软件也会自动运行。
打印后台处理程序服务模拟漏洞 (CVE-2010-2729):Stuxnet 利用此漏洞传播到其他机器。一旦进入计算机,它就可以使用打印后台处理程序服务将自身写入网络上的其他系统。
服务器服务 NetPathCanonicalize() 溢出 (CVE-2008-4250):虽然在发现 Stuxnet 时还不完全是零日漏洞(因为补丁在 2008 年底就已发布),但 Stuxnet 仍然利用此漏洞在未打补丁的系统的网络上进行传播。
任务计划程序权限提升漏洞 (CVE-2010-3338) :Stuxnet 利用此漏洞在系统上提升其权限。
|
|
针对离心机****的攻击
|
Stuxnet 的主要目标是通过改变 SCADA 系统的编程逻辑来操纵离心机的速度。它的目标是用于控制离心机速度的西门子 S7-300 PLC。
|
|
通过横向移动****渗透 SCADA 系统
|
Profibus 网络:Stuxnet 扫描了 Profibus 网络(许多 PLC(包括西门子)使用的标准工业网络协议),以识别目标设备。
西门子 Step7 项目文件劫持:Stuxnet 拦截并修改了通过 Step7 软件上传到 PLC 的代码。通过这种方式,Stuxnet 能够在操作员不知情的情况下将自己的代码注入 PLC,导致离心机在报告正常运行的同时出现异常行为。
西门子默认硬编码凭证:Stuxnet 使用硬编码凭证访问和操纵与西门子 Step7 软件相关的数据库。具体来说,它使用这些凭证访问存储项目详细信息和配置的 SQL 数据库。
西门子 S7 通信:Stuxnet 对西门子 PLC 使用的 S7 通信协议有着深入的了解。这些知识使其能够在不被发现的情况下拦截和修改编程软件和 PLC 之间的通信。
对 OPC(过程控制的 OLE)服务器进行中间人攻击:Stuxnet 使用中间人攻击来拦截 PLC 和监控它们的基于 Windows 的系统之间的通信。这使得 Stuxnet 可以报告虚假信息,使一切看起来都正常运转,而实际上机器正在遭到破坏。
|
|
Rootkit****功能
|
Stuxnet 主要利用 rootkit 技术来隐藏其活动并在受感染的系统中保持持久性,这使得检测和删除特别具有挑战性。
|
|
Rootkit****技术
|
内核模式 rootkit:Stuxnet 包含一个内核模式 rootkit,可让其在操作系统的深层隐藏活动。这种访问级别使其特别难以检测,因为它可以拦截和修改安全软件经常用于检查的系统调用。
驱动程序签名:为了确保其内核模式 rootkit 在 Windows 系统上顺利加载,Stuxnet 使用窃取的数字证书对其驱动程序进行签名,使其看起来合法。这些窃取的证书来自合法公司(Realtek 和 JMicron),从而绕过了 Windows 对内核模式驱动程序进行数字签名的要求。
隐藏文件和进程:Stuxnet 可以隐藏与其操作相关的文件和进程。这使得通过查看正在运行的进程或搜索可疑文件等常规方法进行检测变得无效。
文件感染:Stuxnet 能够感染可执行文件,确保受感染文件运行时其代码会被执行。这也提供了一种持久性手段,因为即使检测到并删除了其他组件,这些受感染的可执行文件仍会继续运行恶意软件。
PLC 代码隐藏:Stuxnet 使用的较新颖的 rootkit 技术之一是在 PLC 端。在修改西门子 PLC 上的代码后,它会拦截读取请求,并在查询时返回原始的、未修改的代码。这意味着检查 PLC 代码的操作员将看到预期的、未修改的代码,而不知道 PLC 实际上正在运行恶意的Stuxnet 修改版本。
针对 OPC 服务器的中间人攻击:如前所述,Stuxnet 使用中间人攻击来拦截 PLC 和监控它们的基于 Windows 的系统之间的通信。这使得 Stuxnet 能够向监控工具提供虚假信息,确保破坏行为不被察觉。
|
|
指挥****与控制
|
Stuxnet 与其命令和控制( C&C或C2 ) 服务器通信以接收更新和新命令。它使用各种技术(包括加密的点对点通信)来避免被发现。
|
|
C&C 技术
|
限制使用 C&C 服务器:与许多其他类型的恶意软件不同,Stuxnet 并不严重依赖其 C&C 服务器来完成其主要任务(破坏离心机)。相反,主要功能直接内置在蠕虫本身中,即使其 C&C 基础设施被关闭或断开连接,它仍可运行。
域名生成算法 (DGA):Stuxnet 利用 DGA 生成 C&C 域名列表。DGA 会生成大量可能的域名,通常用于提供抵御删除的弹性。如果一个域名被删除,恶意软件可以尝试联系另一个域名。
备用域名:除了 DGA,Stuxnet 还硬编码了备用域名。如果无法连接到 DGA 生成的域名,它会尝试连接到这些备用域名。
点对点更新:Stuxnet 能够更新同一本地网络中其他受 Stuxnet 感染的机器。如果一台受感染的机器设法联系 C&C 服务器并接收更新,它就可以将该更新分发给其他受感染的机器,而无需它们直接连接到C&C 服务器。
加密通信:受 Stuxnet 感染的机器与 C&C 服务器之间的通信是加密的,这使得基于网络的检测和分析更加困难。
被盗证书:正如前面在 rootkit 技术中提到的,Stuxnet 使用了被盗数字证书。这不仅有助于加载其驱动程序,还有助于确保其通信的安全性和合法性。
数据泄露:虽然 Stuxnet 的主要目标是破坏,但它也旨在泄露有关受感染环境的信息。这些信息可以发送回 C&C 服务器,为攻击者提供有关感染成功率和所侵入环境性质的宝贵情报。
|
|
变频器****操作
|
Stuxnet 病毒操控了与离心机相连的变频器设备,发送恶意命令,导致变频器振荡,造成离心机过度磨损,最终导致其发生故障。
|
|
结果
|
Stuxnet 成功对伊朗大量离心机造成物理损坏。其复杂的设计、多个零日漏洞的使用以及高度针对性的方法使其成为历史上最引人注目、影响最深远的网络攻击之一。
|
表 5.1 – Stuxnet 对伊朗核计划的攻击
这震网攻击可以说是历史上最重大的网络攻击之一,这不仅是因为其技术复杂性,还因为它对现实世界基础设施的影响及其地缘政治影响。以下是震网攻击的一些主要后果:
-
Stuxnet 病毒以伊朗纳坦兹核设施的离心机为目标,成功破坏了这些离心机,导致离心机失控旋转,同时监控系统显示离心机正常运行。Stuxnet 病毒导致伊朗大部分离心机遭到物理破坏。
-
在 Stuxnet 出现之前,许多网络攻击都侧重于数据窃取或间谍活动。Stuxnet 表明,网络武器可以对关键基础设施造成物理损坏。这一认识改变了全球对网络战潜在影响的看法。
-
震网病毒被发现和分析表明,即使是最复杂的网络行动也可能被揭露。这给各国和各组织提供了有关部署网络武器风险的教训,因为一旦被发现,他们的策略可能会被分析并被他人利用。
-
震网事件之后,出现了多款被认为源自震网或由同一实体开发的恶意软件。例如 Duqu(专注于间谍活动)和 Flame(一种高级间谍工具)。此外,震网的公开剖析意味着网络犯罪分子可以研究其技术,这导致人们担心其策略会在其他恶意活动中使用。
总结一下,Stuxnet 的后果此次袭击的影响远远超出了对伊朗核计划造成的直接损害。它重塑了人们对网络战争的认识,影响了全球网络安全战略,并引发了有关网络伦理和规范的新讨论。
乌克兰电网袭击事件(2015年)
这2015 年 12 月发生的乌克兰电网攻击是一次重大的网络物理事件,扰乱了乌克兰的电力供应。这是首次公开的由网络攻击导致大面积停电并造成现实后果的案例之一。
以下是此次攻击的技术描述:
|
技术描述
|
| — |
|
初步妥协
|
攻击者首先针对乌克兰三家地区配电公司的员工发起了鱼叉式网络钓鱼活动。
这些电子邮件包含嵌入了 BlackEnergy 3 恶意软件的 Microsoft Office 文档。一旦打开这些文档,恶意软件就会传送到主机。
一旦 BlackEnergy 进入目标系统,它就会促进 KillDisk 和其他模块的交付。
KillDisk 被用来清除或破坏受感染系统上的各种文件。它还会通过覆盖主引导****记录( MBR ) 来导致某些机器无法启动。
|
|
黑色能量
|
BlackEnergy 是一个恶意软件家族,至少自 2007 年起就已存在。它最初是一个用于创建僵尸网络的简单工具包,主要用于分布式拒绝服务( DDoS ) 攻击,但多年来已发展到包含各种功能。BlackEnergy 3 是该恶意软件的较新且更复杂的版本。
BlackEnergy 3 包含一个名为KillDisk的组件。该模块能够通过覆盖 MBR 和分区表来擦除文件并使系统无法启动。
BlackEnergy 3 表现出对 ICS 和 SCADA 环境的特定兴趣。它拥有专门用于收集工业控制系统数据的模块,这表明其操作员对关键基础设施特别感兴趣。
|
|
建立****立足点
|
在取得初步进展后,攻击者利用恶意软件获取凭证、提升权限并在受害者网络内横向移动。
他们利用 PsExec 和 Mimikatz 等常用工具分别远程执行进程并从内存中提取凭据。
|
|
执行程序
|
PsExec 允许管理员在系统上远程执行命令。
PsExec 的一个主要功能是它不需要在远程系统上安装任何软件或代理。它通过服务器消息块( SMB ) 协议运行,该协议由 Windows 系统原生支持。要使用 PsExec,需要管理凭据。如果这些凭据被泄露,攻击者可以使用 PsExec 在这些凭据有效的任何机器上执行命令。
|
|
米米卡茨
|
Mimikatz 是一款著名的后漏洞利用工具。它因能够从内存(特别是从lsass.exe,即本地安全机构子系统服务)中提取纯文本密码、哈希、PIN 码和 Kerberos 票证而广受认可。这使得它成为系统管理员验证安全措施和网络攻击者进一步利用受感染系统的有力工具。
Mimikatz 可以检索存储在内存中的明文密码。
它还允许攻击者使用密码哈希进行身份验证,从而无需实际密码。
它创建伪造的 Kerberos票证授予票证( TGT ),允许未经授权访问域上的任何帐户。
它为目标机器上的特定服务创建伪造的 Kerberos 服务票证。
它使用 AES 密钥从密钥分发中心( KDC )获取 TGT,而无需密码,并且可以从lsass.exe的内存中提取凭据。
|
|
侦察
|
攻击者花时间观察电网的运行并了解 ICS 环境和SCADA 系统。
网络犯罪分子使用 VPN 连接、远程桌面会话和管理工具在受感染的网络中移动。
|
|
破坏****电源
|
攻击者手动打开变电站的断路器来中断电源。他们利用 SCADA 系统自身的控件实现了这一目的。
值得注意的是,这种手动干预表明对受害者的操作环境有一定程度的熟悉。
|
|
禁用****IT基础设施
|
攻击者使用 KillDisk 禁用 SCADA 系统,从而阻止操作员获得控制权。
工作站和服务器也成为攻击目标,导致许多工作站无法运行。
|
|
电话****拒绝服务
|
攻击者还对该公用事业公司的客户呼叫中心发动了电话拒绝服务攻击,以阻止客户报告或询问停电情况。
|
|
恢复****与影响
|
派遣工程师到受影响的变电站手动恢复供电。
据估计,约有 23 万人因此次袭击而停电数小时。
|
表 5.2 – 乌克兰电网攻击
2015 年袭击事件发生后,针对乌克兰基础设施的网络事件增多,凸显了网络威胁不断演变的性质以及持续警惕保护关键系统的重要性。
Dyn 对互联网基础设施的攻击(2016 年)
这2016 年的 Dyn 攻击是网络战争史上的里程碑事件,是有史以来最严重的 DDoS 攻击之一。这次精心策划的攻击针对的是美国一家主要的域名系统( DNS ) 提供商 Dyn,对于将网站名称转换为 IP 地址至关重要。这次攻击的影响深远且史无前例,严重破坏了对众多热门网站和在线服务的访问。Twitter、Netflix 和 Reddit 等知名网站都受到影响,凸显了这次攻击的广泛影响。这次事件不仅表明数字基础设施固有的脆弱性,同时也强调了当关键互联网节点受到损害时造成大规模破坏的可能性。
它的工作原理如下:
技术描述 | |
初步妥协 | Dyn 攻击主要利用了 Mirai,这是一种恶意软件,可将运行 Linux 的网络设备转变为可远程控制的机器人。这些机器人成为更大规模僵尸网络的组成部分,可部署在大规模网络攻击中。Mirai 恶意软件会扫描互联网以查找易受攻击的设备,尤其是物联网( IoT ) 设备,例如安全摄像头、DVR和路由器。 |
开发 | 受 Mirai 感染的设备首先会扫描互联网,查找易受攻击的 IoT 设备的 IP 地址。主要目标是监听 telnet 端口(23和2323)的设备,但其他端口也可能成为攻击目标。 一旦确定目标,Mirai 就会尝试使用预定义的常用默认用户名和密码列表建立连接。许多物联网设备出厂时都带有默认登录凭据,而用户通常不会更改这些凭据,从而使设备容易受到攻击。 |
感染 | 如果 Mirai 使用其中一个默认凭证对成功登录,它会建立连接并将有关易受攻击设备的信息发送回报告服务器。然后,恶意软件会指示受感染的设备下载并执行 Mirai 二进制文件。此二进制文件是根据设备的特定架构量身定制的。 |
僵尸网络招募 | 一旦执行该二进制文件,设备就会成为 Mirai 僵尸网络的一部分。它开始与 C2 服务器通信并可以接收命令。 |
C2服务器交互 | 每个受感染的设备(机器人)都会定期联系 C2 服务器。该服务器向机器人提供指令,并可以命令它们对目标网络发起攻击。 |
发起DDoS 攻击 | 攻击者指示 Mirai 僵尸网络(在 Dyn 攻击时,已经积累了大量受感染的设备)瞄准Dyn 的基础设施。 僵尸网络开始向 Dyn 的 DNS 服务器发送大量请求。 |
第一波攻击 | 此次大规模攻击大约始于美国东部时间早上 7:00 点,主要针对 Dyn 的东海岸数据中心。攻击导致美国东海岸的许多用户无法访问几个主要网站。 |
第二波 | 中午时分,一波攻击规模更大。攻击范围更广,旨在攻击东海岸和全球其他基础设施。Dyn 的应对措施和增加的流量容量在一小时内成功缓解了这一波攻击。 |
第三波 | 下午晚些时候,Dyn 观察到了第三波攻击,但他们已经采取了防御措施来抵挡它,使得这波攻击的破坏性较小。 |
对Dyn 服务的影响 | 大量恶意请求导致 Dyn 的 DNS 基础设施不堪重负。 由于 Dyn 系统遭受攻击,用户尝试访问使用 Dyn DNS 服务的网站(如 Twitter、Reddit、Netflix 等)的合法请求被延迟或丢失,导致许多用户无法访问。 |
表 5.3 – 针对互联网基础设施的 Dyn 攻击
这很重要值得注意的是,Dyn 攻击凸显了现代互联网架构的脆弱性,特别是当网络的很大一部分依赖于单一服务(在本例中为 Dyn 的 DNS 服务)时。它还凸显了不安全的物联网设备带来的风险。攻击发生后,人们越来越多地呼吁提高物联网设备的安全标准,以防止将来再次发生类似的攻击。
WannaCry(2017年)
WannaCry 是一个2017 年 5 月,一场席卷全球的勒索软件攻击在短短几天内影响了 150 个国家的 20 多万台计算机。该攻击利用 Windows 操作系统的漏洞在受感染的计算机上传播和加密文件。
以下是对WannaCry攻击的描述:
|
技术描述
|
| — |
|
初步****妥协
|
最初人们对 WannaCry 传播的误解是它主要通过钓鱼电子邮件传播。然而,随着进一步分析,我们清楚地认识到,WannaCry 在全球快速传播的主要机制是通过 EternalBlue 漏洞利用 SMB 漏洞 (CVE-2017-0144),利用开放 (服务器消息块) 端口 (具体来说,端口445 )的系统。
|
|
CVE-2017-0144
|
CVE-2017-0144 是 Windows SMB 1.0 版中漏洞的特定标识符。SMB 是一种允许计算机之间通信的网络文件共享协议。
如果成功利用此漏洞,攻击者可以在受影响的系统上执行远程代码执行,这意味着他们可以运行任意代码并可能完全控制系统。
如果攻击者向目标 SMBv1 服务器发送特制的数据包,则无需任何用户交互即可实现此目的。
|
|
影子****经纪人
|
Shadow Brokers 是一个神秘的黑客组织,于 2016 年中期开始受到关注。其确切起源、动机和从属关系仍是猜测的对象。Shadow Brokers 宣布他们从方程式组织窃取了一批网络武器和工具,而方程式组织被广泛认为是一个与美国国家安全局( NSA ) 有关联的网络间谍组织。他们提供了一些样本,后来试图拍卖整套工具。
在影子经纪人泄露的工具中,EternalBlue 尤为突出。它是一种针对 Microsoft Windows SMB 1.0 版协议的漏洞,允许未经授权的远程代码执行和用于WannaCry 攻击。
|
|
EternalBlue****获取访问权限
|
EternalBlue 利用了 Microsoft 实施的 SMBv1 协议中的 CVE-2017-0144 漏洞。具体来说,该漏洞针对的是 SMBv1 处理某些类型的数据包的方式,以及向 SMBv1 服务器发送特制数据包的方式。这些数据包的构造方式是它们会溢出Windows 操作系统的srvnet.sys进程中的缓冲区。该漏洞的主要技术方面是缓冲区溢出条件。这允许攻击者覆盖目标系统内核空间中的内存。成功触发缓冲区溢出后,EternalBlue 继续执行其 shellcode。此 shellcode 负责在目标机器上加载和运行主要有效载荷。通常与 EternalBlue 一起使用的是 DoublePulsar,这是一种内核级后门。
|
|
DoublePulsar 用于****持久访问
|
DoublePulsar 是一种后门植入工具,在 Shadow Brokers 披露涉嫌NSA 工具时也被泄露。
虽然 EternalBlue 是通过针对 SMB 漏洞来获取系统未授权访问的主要漏洞,但 DoublePulsar 通常用作后续有效载荷,以维持该访问权限并对受感染系统进行进一步控制。
DoublePulsar 提供了一种将恶意 DLL 注入用户空间进程的机制,从而允许执行任意代码。它在内核级别运行,使其活动隐秘且难以检测。
|
|
LAN****扫描功能
|
一旦一台机器被感染,WannaCry 就会识别受感染机器的本地 IP 地址和子网。这样它就能确定哪些 IP 地址属于同一个本地网络。然后,WannaCry 开始扫描本地子网中的其他机器,特别是针对SMB 协议使用的 TCP 端口 445。
主要目标是识别启用了 SMBv1 且易受 EternalBlue 漏洞攻击的系统。当在 LAN 内识别出潜在目标时,WannaCry 会尝试使用 EternalBlue 漏洞利用 SMBv1 漏洞。如果利用尝试成功,勒索软件负载就会被传送到新受感染的机器上,并在该系统上开始加密例程。然后,新受感染的机器会重复该过程。
|
|
互联网范围的****扫描功能
|
除了局域网扫描外,WannaCry 还发起了更大范围的扫描,随机瞄准互联网上的 IP 地址。这使得它能够在未连接的网络之间跳跃并在全球范围内传播。
这种外部扫描更像散弹枪式扫描,比内部局域网扫描范围更广,针对性更低。尽管如此,它仍然很有效,尤其是考虑到互联网上有大量暴露且易受攻击的系统。
|
|
文件加密
|
一旦在系统上运行,勒索软件 WannaCry 的主要目的是加密用户的文件,使其无法访问,直到支付赎金为止。WannaCry 有一个针对特定文件扩展名的加密列表,其中包括常见的数据文件类型,例如文档 ( .doc、.docx )、数据库 ( .sql )、图像 ( .jpg、.png )、视频 ( .mp4 ) 等。这使得它可以专注于最有可能对受害者有价值的文件。
对于每个文件,WannaCry 都会生成一个随机 AES 密钥。此密钥用于加密实际文件内容。AES 是一种对称加密方法,这意味着同一个密钥可以加密和解密数据。这可以更快地加密大型文件。
每个文件随机生成的 AES 密钥在使用后会用 WannaCry 的 RSA 公钥进行加密。RSA 是一种非对称加密算法,这意味着它有一个公钥(用于加密)和一个私钥(用于解密)。只有拥有私钥 RSA 的人才能解密与每个文件绑定的 AES 密钥。
加密的 AES 密钥被附加到加密文件中,因为如果支付赎金并提供解密,攻击者需要先解密此 AES 密钥(使用他们的私人 RSA 密钥)。
加密文件的扩展名已更改为**.wcry**。
|
|
赎金****票据展示
|
加密过程完成后,WannaCry 会在桌面和包含加密文件的文件夹中放置一个名为**@WanaDecryptor@.exe 的**勒索信息。运行此可执行文件时,会显示勒索信息,指导受害者如何付款才能恢复文件。
勒索软件还将桌面壁纸更改为一条消息,通知用户他们的文件已被加密,并引导他们查看赎金通知以了解详细信息。
|
|
卷影副本
|
为了降低受害者不支付赎金就恢复文件的可能性,WannaCry 尝试使用vssadmin命令删除 Windows 卷影副本(文件的备份或快照副本)。这让用户从系统备份中恢复文件变得更加困难。
|
|
终止****开关域
|
执行后,在启动加密程序之前,WannaCry 会尝试向特定的硬编码域发出 HTTP 请求。该域是一串看似随机的长字符串,后面跟着**.com****(**iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com )。
在 WannaCry 首次爆发时,该域名尚未注册。如果域名无法解析(即由于域名未注册而没有服务器响应请求),WannaCry 将继续其恶意活动,包括加密受害者的文件。但是,如果域名确实解析并响应了请求,勒索软件将自行终止,不会造成任何伤害。从本质上讲,成功连接到域名相当于勒索软件的_关闭开关。_
|
|
终止开关****的目的
|
有一种理论认为,终止开关是一种反分析或反沙盒技术。一些恶意软件分析环境(沙盒)旨在通过解析所有域请求来模拟互联网连接,无论这些域是否真实。通过检查不存在域的解析,WannaCry 可能试图检测它是否在沙盒环境中运行。
另一种理论认为,这是勒索软件开发人员添加的安全功能。如果他们出于任何原因想要阻止勒索软件的传播,只需自己注册域名即可。
|
|
WannaCry 病毒****被意外中和
|
一位名叫 Marcus Hutchins(别名_MalwareTech_)的安全研究员在分析勒索软件代码时发现了这个未注册的域名。出于对勒索软件用途的好奇,他注册了这个域名,从而有效地创建了一个_漏洞_。
通过注册域名并允许其解析,哈金斯无意中激活了_终止开关_,阻止了最初的 WannaCry 变体的传播。域名注册后受感染的机器将联系域名,收到响应,并在发生任何损害之前终止勒索软件进程。
|
表 5.4 – WannaCry 攻击
WannaCry 的影响关键基础设施尤其令人担忧,因为这些系统对于社会和经济的运转至关重要。
最引人注目和最令人担忧的影响可能就是国家医疗服务体系 (NHS)。超过三分之一英格兰的 NHS 信托机构因勒索软件而中断。一些医院不得不将急诊患者转移到其他未受影响的设施。非关键预约和程序被推迟或取消。勒索软件阻碍了患者记录的访问,影响了诊断和治疗程序。考虑到 IT 响应、产出损失以及系统和数据的恢复,此次攻击给 NHS 造成的损失估计为 9200 万英镑。
德国铁路的售票系统和火车站的显示屏受到 WannaCry 的影响,导致火车服务混乱和中断。
汽车制造联盟雷诺-日产因 WannaCry 而面临中断。其部分制造工厂(尤其是在法国、罗马尼亚和日本)不得不暂时停止运营,以应对勒索病毒的影响。
西班牙最大的电信供应商之一 Telefónica 遭受了 WannaCry 的重创。虽然严格意义上来说, Telefónica 并不是_关键基础设施,但任何对主要电信供应商的干扰都可能对其他关键服务产生下游影响,包括_应急通信。
NotPetya(2017)
NotPetya 就是其中之一这是历史上最臭名昭著的网络攻击之一,据信是由国家支持的行为者发起的。该恶意软件迅速蔓延至全球,影响了众多组织的数千台计算机,并造成了严重破坏。
该恶意软件被命名为**NotPetya,**因为乍一看,它似乎是_Petya_勒索软件的一个变种,此前已被网络安全专家识别和研究。Petya 以加密受感染系统的 MBR、阻止其启动并索要赎金而闻名。
然而,随着研究人员对这一新变种的深入研究,他们发现其操作和意图存在显著差异。Petya 是一种真正的勒索软件,它为受害者提供了在支付赎金后解密文件的可能性(尽管不是保证),而 NotPetya 则更像是一种_擦除器,其主要目的是造成破坏和破坏。它的加密方式使得即使_支付了赎金,数据也几乎不可能恢复。
它的工作原理如下:
|
技术描述
|
| — |
|
初步妥协
|
NotPetya 最初是通过 MEDoc 软件(一种流行的乌克兰税务会计软件包)的受感染更新进行传播的。攻击者未经授权访问了 MEDoc 的更新服务器,并向其用户推送了包含 NotPetya 负载的恶意更新。
|
|
有效载荷执行
|
一旦安装了恶意的 MEDoc 更新,NotPetya 负载就会执行,首先检查是否存在_终止开关_文件。如果恶意软件检测到自己的存在(通过检查特定文件),它将不会在该系统上继续执行。
否则,它将进入加密和传播阶段。
|
|
使用 Mimikatz****窃取凭证
|
NotPetya 整合了 Mimikatz 工具的一个版本,用于从内存中提取密码。这使得恶意软件能够从受感染的系统中获取用户凭据。
|
|
MBR 覆盖
|
NotPetya 覆盖了受感染计算机的 MBR。这导致系统无法启动,并向用户显示勒索信息。
|
|
文件****系统加密
|
虽然 NotPetya 看起来像是勒索软件,但它更像是一个清除器。它使用_Salsa20_算法加密文件系统的部分内容,使得文件恢复变得困难甚至不可能。
|
|
横向移动
|
NotPetya 使用多种机制在网络中传播:
-
EternalBlue 和 EternalRomance,从 NSA 泄露的 SMB 漏洞:NotPetya 将其武器化以传播到同一网络中的其他系统。
-
WMIC 和 PsExec,带有收集的凭据:NotPetya 使用Windows 管理规范命令行(WMIC)和 PsExec 工具在远程系统上执行恶意软件。
它利用获得的凭证,尝试将自身复制到其他机器上的admin$共享。
|
|
传播到****世界各地
|
尽管最初的重点是乌克兰企业,但恶意软件很快蔓延到与这些企业相关的其他组织,包括他们的国际合作伙伴、客户和其他实体。
鉴于现代商业和供应链的相互联系,这意味着 NotPetya 可以超越其最初的地理和行业目标,影响全球的组织。
|
|
保护自己
|
NotPetya 试图通过禁用多个 Windows 服务(包括 Windows 更新)以及关闭防病毒解决方案等重要进程来使分析和缓解更加困难。
|
|
与C2 服务器****通信
|
NotPetya 并不像传统恶意软件那样与其 C2 服务器保持活动连接。其主要目标似乎是破坏,而不是数据泄露或远程控制。
|
|
解密不可能性
|
受害者被要求支付比特币赎金以换取解密密钥。然而,NotPetya 的支付和解密流程执行不力,再加上其主要目的是破坏,即使支付了赎金,解密和恢复的可能性也非常小。
|
表 5.5 – NotPetya 攻击
NotPetya 对全球关键基础设施产生了重大影响。虽然该恶意软件最初针对的是乌克兰企业,但其迅速传播意味着众多全球组织都受到了影响。
马士基,一家全球最大的航运公司之一,受到严重影响。他们的全球多个港口的运营受到干扰。马士基后来报告称,此次事件给他们造成了 2.5 亿至3 亿美元的损失。
默克公司 (Merck) 是美国最大的制药公司制药公司遭受重创。此次中断影响了其制造、研究和销售业务。财务影响估计约为8.7 亿美元。
俄罗斯石油公司是俄罗斯石油生产商报告称,他们受到了影响,但损失程度尚未详细说明。
吉百利等品牌的母公司亿滋国际也受到了影响,其运输和发票中断。该公司报告称,此次攻击导致销售额下降了 3%。
联邦快递的欧洲子公司TNT Express受到严重影响。他们的许多业务,包括运输和通讯,都受到了干扰。联邦快递估计损失约为3亿美元。
多家医疗机构受到影响,导致服务和患者护理中断。例如,在美国,一些医院不得不重新安排手术和其他重要服务。
此次攻击主要发生在乌克兰,该国电网出现中断。乌克兰能源公司 Kyivenergo 因此次攻击不得不手动处理付款。
乌克兰多家银行的运营出现中断,影响了客户交易和服务。此外,机场和地铁等公共基础设施也出现问题。例如,首都鲍里斯波尔机场的运营出现一些中断。
SolarWinds 攻击(2020 年)
SolarWinds 是一家美国公司,为企业开发软件,帮助企业管理其网络、系统和信息技术基础设施。该公司成立于 1999 年,总部位于德克萨斯州奥斯汀,提供各种产品,旨在帮助 IT 专业人员监控和管理其网络、服务器、应用程序、数据库和其他 IT基础设施组件的性能。
SolarWinds 网络攻击是历史上最复杂、影响最广泛的供应链攻击之一,主要针对美国政府机构和全球众多公司。据美国情报机构称,这次攻击是俄罗斯政府支持的行为者所为。
它的发展过程如下:
|
技术描述
|
| — |
|
初步妥协
|
攻击者获得了 SolarWinds 环境的访问权限。
确切的初始入侵媒介仍不确定,但复杂的鱼叉式网络钓鱼或利用漏洞是常用方法。
|
|
将恶意代码插入****Orion 平台
|
进入系统后,攻击者将恶意代码插入到广泛使用的网络监控和管理工具SolarWinds Orion 平台的源代码中。
该恶意代码被设计成隐秘的,其功能和行为模仿合法的 SolarWinds 代码以避免被发现。
|
|
构建过程
|
随后,恶意代码被纳入 Orion 软件的合法构建过程。结果,SolarWinds 向其客户提供的官方软件更新包含恶意后门。这种类型的攻击被称为_供应__链攻击_。
由于恶意代码是官方构建过程的一部分,因此生成的软件二进制文件使用有效的 SolarWinds 数字证书进行签名,使得更新对最终用户和大多数安全工具来说看起来是合法的。
|
|
激活
|
2020 年 3 月至 2020 年 6 月期间发布的 Orion Platform 2019.4 至 2020.2.1 版本均已遭入侵。使用这些版本的组织可能会受到 SUNBURST(或Solorigate)后门的影响。
与攻击相关的主要恶意动态链接库( DLL ) 文件名为SolarWinds.Orion.Core.BusinessLayer.dll。此 DLL 是 Orion 软件的一个组件。执行此受污染的 DLL 时,会导致 SUNBURST 后门被激活,从而允许攻击者开展操作。
|
|
命令与****控制 (C&C)
|
一旦激活,SUNBURST 后门将与avsvmcloud[.]com的子域进行初始 C2 通信。
成功与 C2 服务器通信后,恶意软件开始秘密侦察阶段,收集有关受感染环境的详细信息。 其中包括系统配置、用户帐户、网络架构等。
它还检查了安全产品和服务,以避免被发现。
攻击者使用各种方法来获取凭证,利用 Mimikatz(一种密码转储工具)或自定义脚本等工具从内存、磁盘或配置文件中提取凭证。在某些情况下,攻击者还会创建新账户或利用被盗账户,从而让他们有更大的移动灵活性。
|
|
横向移动和****进一步攻击
|
攻击者使用了 Windows 原生工具和自定义实用程序的组合。例如,他们利用 PowerShell 脚本和 PsExec 等实用程序在其他计算机上远程执行命令。
Windows 管理规范( WMI ) 也用于在远程计算机上执行命令或脚本。
这样做的目的是,如果最初被入侵的帐户没有更高级别的权限,则获取更高级别的权限。攻击者寻找系统中可以利用的漏洞或错误配置来提升其权限。
通过从已登录或最近注销的用户中提取令牌,攻击者可以模仿这些用户或角色,让他们像这些用户一样访问资源并执行任务。
|
|
建立持久性
|
除了 SUNBURST 后门外,攻击者还部署了其他工具来确保他们能够保持访问权限。TEARDROP 和 RAINDROP 是在某些情况下使用的自定义恶意软件加载器的示例。
他们还使用_金票_(Kerberos 票证授予票证)和_银票_(特定于服务的 Kerberos 票证)来确保持久性和进一步的移动。
|
|
数据泄露
|
目标数据从受感染的网络中被窃取。攻击者竭尽全力掩饰数据窃取行为,有时甚至使用受信任的第三方内容交付网络( CDN ) 和存储服务。
|
|
发现****和缓解
|
2020 年 12 月,领先的网络安全公司 FireEye(本身也是受害者)检测到了这一异常,随后该漏洞被公开披露。
受影响的组织在网络安全专家和供应商的协助下,开始了调查、根除恶意软件和保护其网络的复杂任务。
|
|
结果
|
美国多个政府机构遭到入侵,包括国防部、国土安全部、财政部、国务院、能源部和国家核安全局的部分部门。这引发了人们对潜在间谍活动、敏感数据被盗以及关键业务可能中断的担忧。
|
表 5.6 – SolarWinds 攻击
这SolarWinds 攻击影响深远,迫使国家重新评估网络安全政策,并要求对软件供应链进行更严格的监督。
此次入侵事件发生后,人们强烈呼吁加强网络安全措施,尤其强调采用零信任架构、优先进行持续监控和确保透明度。值得注意的是,即使是 FireEye 这样的行业巨头也未能幸免,他们的内部调查揭露了攻击的严重程度。
这一事件凸显了安全视角迫切需要从基于签名的威胁检测转向基于行为的安全,并重新引起了人们对内部威胁等潜在漏洞的关注。
Colonial Pipeline 勒索软件攻击(2021 年)
这2021 年 5 月,Colonial Pipeline 勒索软件攻击发生,影响了美国最大的燃油管道系统之一。一个名为_DarkSide的勒索软件组织对_这次攻击负责。
殖民地输油管道是美国重要的能源基础设施。该管道系统绵延 5,500 多英里,从墨西哥湾沿岸的德克萨斯州休斯顿一直延伸到纽约港地区。该管道每天可输送超过 300 万桶汽油、柴油、航空燃料和其他精炼产品。它为七个机场和众多军事设施提供服务。
殖民地输油管道在美国东海岸的燃料供应中发挥着至关重要的作用,每天为大约 5000 万消费者提供服务。它供应了东海岸大约 45% 的燃料消耗,是该地区能源安全和经济稳定的关键基础设施。
殖民管道遭受的攻击涉及勒索软件感染,目标是管道的 IT 系统和业务运营。具体技术细节尚未公布向公众全面披露。
我们知道的是:
|
技术描述
|
| — |
|
初步妥协
|
攻击者利用了一个旧的 VPN 帐户,该帐户已不再使用,但仍在 Colonial Pipeline 网络中处于活动状态。此 VPN 旨在允许员工远程安全地访问公司的 IT 系统。VPN 帐户的密码是在暗网上一批泄露的密码中发现的。目前尚不清楚密码最初是如何泄露的,也不清楚它是否是更大规模数据泄露的一部分。
|
|
横向移动
|
攻击者随后在网络中横向移动,搜索有价值的数据和负责殖民地管道运营的基础设施。
|
|
数据泄露
|
数据窃取或泄露通常先于勒索软件攻击发生。在 Colonial Pipeline 攻击案中,罪犯成功窃取了大约 100 GB 的数据。这一行动在两小时内迅速完成,表明攻击者对网络以及宝贵数据的存放位置了如指掌。
|
|
部署****勒索软件
|
在网络中确定目标后,攻击者部署了 DarkSide 勒索软件。DarkSide 是一种勒索软件即服务( RaaS ),恶意软件开发人员将勒索软件提供给实施攻击的关联公司,并与开发人员分享部分赎金。
勒索软件会加密受感染系统上的文件,使其无法访问。系统会显示一张勒索信,要求用户支付解密费用。
|
|
DarkSide****正在收集信息
|
DarkSide 会收集计算机的主机名和当前用户的用户名。这些信息可以让我们了解受感染的计算机是个人计算机还是属于某个组织,因为服务器或工作站的命名约定可能会揭示该计算机的用途。
勒索软件会收集有关操作系统的详细信息,例如操作系统版本、体系结构(32 位或 64 位)和版本号。这可以通过使用系统 API 调用或查询系统信息来实现。
DarkSide 会检查系统的语言和区域设置。如果检测到某些语言,尤其是前苏联集团国家的语言,它就会终止运行。
勒索软件枚举系统上的活动进程和服务,以识别和终止可能妨碍其运行的安全或备份相关进程,并深入了解系统的作用及其运行的软件类型,这可能表明机器对组织的价值。
勒索软件还收集网络详细信息以准备发起攻击。
|
|
DarkSide 向命令和****控制服务器发送数据
|
一旦收集到相关系统信息,DarkSide 通常会将其发送回其 C2 服务器。此通信可以使用 HTTP/HTTPS 请求、自定义协议或其他方式实现。数据可以加密或混淆,以避免在传输过程中被检测到。
|
|
DarkSide 选择****要加密的文件
|
DarkSide 有一个针对特定文件扩展名的加密列表。这些文件扩展名通常包括文档文件(例如**.docx**、.pdf)、数据库文件(例如**.mdb**、.db)、图像文件(例如**.jpg**、.png)以及其他包含有价值信息的常用文件类型。
勒索软件还列出了一系列它刻意避免使用的文件扩展名和目录,例如操作系统正常运行所必需的系统关键文件扩展名(.exe、.dll、.sys等)。加密这些文件可能会导致系统无法启动,这对于勒索软件显示赎金通知并获得报酬的目标来说,是适得其反的。
通常会排除Windows、Program Files和其他与系统相关的文件夹等目录,以防止系统损坏。
虽然与加密文件选择没有直接关系,但值得注意的是,DarkSide 与许多其他勒索软件一样,试图删除 Windows 系统上的卷影副本。这些是备份快照,可能用于恢复加密文件。通过使用vssadmin.exe等工具删除它们,勒索软件确保受害者在不支付赎金的情况下恢复数据的途径更少。
作为 RaaS 模型的一部分,DarkSide 可能允许其关联公司在目标文件方面进行一定程度的自定义。根据目标受害者或特定活动,目标或排除文件列表可能会进行调整。
|
表 5.7 – Colonial Pipeline 勒索软件攻击
此次攻击对 Colonial 的业务运营产生了重大影响。作为预防措施,Colonial 关闭了其管道运营,以遏制勒索软件的传播并确保其完整性其运营技术(OT)系统。
这停产导致美国东海岸许多地区出现大面积燃料短缺和恐慌性抢购。
Colonial 聘请了外部网络安全公司来调查和应对该事件。他们还联系了包括联邦调查局在内的执法机构。
据报道,该公司向攻击者支付了近 500 万美元的赎金,以获取解密密钥并恢复系统。
在解密密钥和网络安全专家的帮助下,Colonial 开始恢复其 IT 系统,随后恢复其管道运营。
这一恢复过程包括确保没有恶意软件残留、修补漏洞以及加强安全措施以防止未来的攻击。
黑客/网络安全学习路线
对于从来没有接触过黑客/网络安全的同学,目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。
大白也帮大家准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
这也是耗费了大白近四个月的时间,吐血整理,文章非常非常长,觉得有用的话,希望粉丝朋友帮忙点个**「分享」「收藏」「在看」「赞」**
网络安全/渗透测试法律法规必知必会****
今天大白就帮想学黑客/网络安全技术的朋友们入门必须先了解法律法律。
【网络安全零基础入门必知必会】什么是黑客、白客、红客、极客、脚本小子?(02)
【网络安全零基础入门必知必会】网络安全专业术语全面解析(05)
【网络安全入门必知必会】《中华人民共和国网络安全法》(06)
【网络安全零基础入门必知必会】《计算机信息系统安全保护条例》(07)
【网络安全零基础入门必知必会】《中国计算机信息网络国际联网管理暂行规定》(08)
【网络安全零基础入门必知必会】《计算机信息网络国际互联网安全保护管理办法》(09)
【网络安全零基础入门必知必会】《互联网信息服务管理办法》(10)
【网络安全零基础入门必知必会】《计算机信息系统安全专用产品检测和销售许可证管理办法》(11)
【网络安全零基础入门必知必会】《通信网络安全防护管理办法》(12)
【网络安全零基础入门必知必会】《中华人民共和国国家安全法》(13)
【网络安全零基础入门必知必会】《中华人民共和国数据安全法》(14)
【网络安全零基础入门必知必会】《中华人民共和国个人信息保护法》(15)
【网络安全零基础入门必知必会】《网络产品安全漏洞管理规定》(16)
网络安全/渗透测试linux入门必知必会
【网络安全零基础入门必知必会】什么是Linux?Linux系统的组成与版本?什么是命令(01)
【网络安全零基础入门必知必会】VMware下载安装,使用VMware新建虚拟机,远程管理工具(02)
【网络安全零基础入门必知必会】VMware常用操作指南(非常详细)零基础入门到精通,收藏这一篇就够了(03)
【网络安全零基础入门必知必会】CentOS7安装流程步骤教程(非常详细)零基入门到精通,收藏这一篇就够了(04)
【网络安全零基础入门必知必会】Linux系统目录结构详细介绍(05)
【网络安全零基础入门必知必会】Linux 命令大全(非常详细)零基础入门到精通,收藏这一篇就够了(06)
【网络安全零基础入门必知必会】linux安全加固(非常详细)零基础入门到精通,收藏这一篇就够了(07)
网络安全/渗透测试****计算机网络入门必知必会****
【网络安全零基础入门必知必会】TCP/IP协议深入解析(非常详细)零基础入门到精通,收藏这一篇就够了(01)
【网络安全零基础入门必知必会】什么是HTTP数据包&Http数据包分析(非常详细)零基础入门到精通,收藏这一篇就够了(02)
【网络安全零基础入门必知必会】计算机网络—子网划分、子网掩码和网关(非常详细)零基础入门到精通,收藏这一篇就够了(03)
网络安全/渗透测试入门之HTML入门必知必会
【网络安全零基础入门必知必会】什么是HTML&HTML基本结构&HTML基本使用(非常详细)零基础入门到精通,收藏这一篇就够了1
【网络安全零基础入门必知必会】VScode、PhpStorm的安装使用、Php的环境配置,零基础入门到精通,收藏这一篇就够了2
【网络安全零基础入门必知必会】HTML之编写登录和文件上传(非常详细)零基础入门到精通,收藏这一篇就够了3
网络安全/渗透测试入门之Javascript入门必知必会
【网络安全零基础入门必知必会】Javascript语法基础(非常详细)零基础入门到精通,收藏这一篇就够了(01)
【网络安全零基础入门必知必会】Javascript实现Post请求、Ajax请求、输出数据到页面、实现前进后退、文件上传(02)
网络安全/渗透测试入门之Shell入门必知必会
【网络安全零基础入门必知必会】Shell编程基础入门(非常详细)零基础入门到精通,收藏这一篇就够了(第七章)
网络安全/渗透测试入门之PHP入门必知必会
【网络安全零基础入门】PHP环境搭建、安装Apache、安装与配置MySQL(非常详细)零基础入门到精通,收藏这一篇就够(01)
【网络安全零基础入门】PHP基础语法(非常详细)零基础入门到精通,收藏这一篇就够了(02)
【网络安全零基础入门必知必会】PHP+Bootstrap实现表单校验功能、PHP+MYSQL实现简单的用户注册登录功能(03)
网络安全/渗透测试入门之MySQL入门必知必会
【网络安全零基础入门必知必会】MySQL数据库基础知识/安装(非常详细)零基础入门到精通,收藏这一篇就够了(01)
【网络安全零基础入门必知必会】SQL语言入门(非常详细)零基础入门到精通,收藏这一篇就够了(02)
【网络安全零基础入门必知必会】MySQL函数使用大全(非常详细)零基础入门到精通,收藏这一篇就够了(03)
【网络安全零基础入门必知必会】MySQL多表查询语法(非常详细)零基础入门到精通,收藏这一篇就够了(04)
****网络安全/渗透测试入门之Python入门必知必会
【网络安全零基础入门必知必会】之Python+Pycharm安装保姆级教程,Python环境配置使用指南,收藏这一篇就够了【1】
【网络安全零基础入门必知必会】之Python编程入门教程(非常详细)零基础入门到精通,收藏这一篇就够了(2)
python入门教程python开发基本流程控制if … else
python入门教程之python开发可变和不可变数据类型和hash
【网络安全零基础入门必知必会】之10个python爬虫入门实例(非常详细)零基础入门到精通,收藏这一篇就够了(3)
****网络安全/渗透测试入门之SQL注入入门必知必会
【网络安全渗透测试零基础入门必知必会】之初识SQL注入(非常详细)零基础入门到精通,收藏这一篇就够了(1)
【网络安全渗透测试零基础入门必知必会】之SQL手工注入基础语法&工具介绍(2)
【网络安全渗透测试零基础入门必知必会】之SQL注入实战(非常详细)零基础入门到精通,收藏这一篇就够了(3)
【网络安全渗透测试零基础入门必知必会】之SQLmap安装&实战(非常详细)零基础入门到精通,收藏这一篇就够了(4)
【网络安全渗透测试零基础入门必知必会】之SQL防御(非常详细)零基础入门到精通,收藏这一篇就够了(4)
****网络安全/渗透测试入门之XSS攻击入门必知必会
【网络安全渗透测试零基础入门必知必会】之XSS攻击基本概念和原理介绍(非常详细)零基础入门到精通,收藏这一篇就够了(1)
网络安全渗透测试零基础入门必知必会】之XSS攻击获取用户cookie和用户密码(实战演示)零基础入门到精通收藏这一篇就够了(2)
【网络安全渗透测试零基础入门必知必会】之XSS攻击获取键盘记录(实战演示)零基础入门到精通收藏这一篇就够了(3)
【网络安全渗透测试零基础入门必知必会】之xss-platform平台的入门搭建(非常详细)零基础入门到精通,收藏这一篇就够了4
【网络安全渗透测试入门】之XSS漏洞检测、利用和防御机制XSS游戏(非常详细)零基础入门到精通,收藏这一篇就够了5
****网络安全/渗透测试入门文件上传攻击与防御入门必知必会
【网络安全渗透测试零基础入门必知必会】之什么是文件包含漏洞&分类(非常详细)零基础入门到精通,收藏这一篇就够了1
【网络安全渗透测试零基础入门必知必会】之cve实际漏洞案例解析(非常详细)零基础入门到精通, 收藏这一篇就够了2
【网络安全渗透测试零基础入门必知必会】之PHP伪协议精讲(文件包含漏洞)零基础入门到精通,收藏这一篇就够了3
【网络安全渗透测试零基础入门必知必会】之如何搭建 DVWA 靶场保姆级教程(非常详细)零基础入门到精通,收藏这一篇就够了4
【网络安全渗透测试零基础入门必知必会】之Web漏洞-文件包含漏洞超详细全解(附实例)5
【网络安全渗透测试零基础入门必知必会】之文件上传漏洞修复方案6
****网络安全/渗透测试入门CSRF渗透与防御必知必会
【网络安全渗透测试零基础入门必知必会】之CSRF漏洞概述和原理(非常详细)零基础入门到精通, 收藏这一篇就够了1
【网络安全渗透测试零基础入门必知必会】之CSRF攻击的危害&分类(非常详细)零基础入门到精通, 收藏这一篇就够了2
【网络安全渗透测试零基础入门必知必会】之XSS与CSRF的区别(非常详细)零基础入门到精通, 收藏这一篇就够了3
【网络安全渗透测试零基础入门必知必会】之CSRF漏洞挖掘与自动化工具(非常详细)零基础入门到精通,收藏这一篇就够了4
【网络安全渗透测试零基础入门必知必会】之CSRF请求伪造&Referer同源&置空&配合XSS&Token值校验&复用删除5
****网络安全/渗透测试入门SSRF渗透与防御必知必会
【网络安全渗透测试零基础入门必知必会】之SSRF漏洞概述及原理(非常详细)零基础入门到精通,收藏这一篇就够了 1
【网络安全渗透测试零基础入门必知必会】之SSRF相关函数和协议(非常详细)零基础入门到精通,收藏这一篇就够了2
【网络安全渗透测试零基础入门必知必会】之SSRF漏洞原理攻击与防御(非常详细)零基础入门到精通,收藏这一篇就够了3**
**
****网络安全/渗透测试入门XXE渗透与防御必知必会
【网络安全渗透测试零基础入门必知必会】之XML外部实体注入(非常详细)零基础入门到精通,收藏这一篇就够了1
网络安全渗透测试零基础入门必知必会】之XXE的攻击与危害(非常详细)零基础入门到精通,收藏这一篇就够了2
【网络安全渗透测试零基础入门必知必会】之XXE漏洞漏洞及利用方法解析(非常详细)零基础入门到精通,收藏这一篇就够了3
【网络安全渗透测试零基础入门必知必会】之微信XXE安全漏洞处理(非常详细)零基础入门到精通,收藏这一篇就够了4
****网络安全/渗透测试入门远程代码执行渗透与防御必知必会
【网络安全渗透测试零基础入门必知必会】之远程代码执行原理介绍(非常详细)零基础入门到精通,收藏这一篇就够了1
【网络安全零基础入门必知必会】之CVE-2021-4034漏洞原理解析(非常详细)零基础入门到精通,收藏这一篇就够了2
【网络安全零基础入门必知必会】之PHP远程命令执行与代码执行原理利用与常见绕过总结3
【网络安全零基础入门必知必会】之WEB安全渗透测试-pikachu&DVWA靶场搭建教程,零基础入门到精通,收藏这一篇就够了4
****网络安全/渗透测试入门反序列化渗透与防御必知必会
【网络安全零基础入门必知必会】之什么是PHP对象反序列化操作(非常详细)零基础入门到精通,收藏这一篇就够了1
【网络安全零基础渗透测试入门必知必会】之php反序列化漏洞原理解析、如何防御此漏洞?如何利用此漏洞?2
【网络安全渗透测试零基础入门必知必会】之Java 反序列化漏洞(非常详细)零基础入门到精通,收藏这一篇就够了3
【网络安全渗透测试零基础入门必知必会】之Java反序列化漏洞及实例解析(非常详细)零基础入门到精通,收藏这一篇就够了4
【网络安全渗透测试零基础入门必知必会】之CTF题目解析Java代码审计中的反序列化漏洞,以及其他漏洞的组合利用5
网络安全/渗透测试**入门逻辑漏洞必知必会**
【网络安全渗透测试零基础入门必知必会】之一文带你0基础挖到逻辑漏洞(非常详细)零基础入门到精通,收藏这一篇就够了
网络安全/渗透测试入门暴力猜解与防御必知必会
【网络安全渗透测试零基础入门必知必会】之密码安全概述(非常详细)零基础入门到精通,收藏这一篇就够了1
【网络安全渗透测试零基础入门必知必会】之什么样的密码是不安全的?(非常详细)零基础入门到精通,收藏这一篇就够了2
【网络安全渗透测试零基础入门必知必会】之密码猜解思路(非常详细)零基础入门到精通,收藏这一篇就够了
【网络安全渗透测试零基础入门必知必会】之利用Python暴力破解邻居家WiFi密码、压缩包密码,收藏这一篇就够了4
【网络安全渗透测试零基础入门必知必会】之BurpSuite密码爆破实例演示,零基础入门到精通,收藏这一篇就够了5
【网络安全渗透测试零基础入门必知必会】之Hydra密码爆破工具使用教程图文教程,零基础入门到精通,收藏这一篇就够了
【网络安全渗透测试零基础入门必知必会】之暴力破解medusa,零基础入门到精通,收藏这一篇就够了7
【网络安全渗透测试零基础入门必知必会】之Metasploit抓取密码,零基础入门到精通,收藏这一篇就够了8
****网络安全/渗透测试入门掌握Redis未授权访问漏洞必知必会
【网络安全渗透测试零基础入门必知必会】之Redis未授权访问漏洞,零基础入门到精通,收藏这一篇就够了
【网络安全渗透测试零基础入门必知必会】之Redis服务器被攻击后该如何安全加固,零基础入门到精通,收藏这一篇就够了**
**
网络安全/渗透测试入门掌握**ARP渗透与防御关必知必会**
【网络安全渗透测试零基础入门必知必会】之ARP攻击原理解析,零基础入门到精通,收藏这一篇就够了
【网络安全渗透测试零基础入门必知必会】之ARP流量分析,零基础入门到精通,收藏这一篇就够了
【网络安全渗透测试零基础入门必知必会】之ARP防御策略与实践指南,零基础入门到精通,收藏这一篇就够了
网络安全/渗透测试入门掌握系统权限提升渗透与防御关****必知必会
【网络安全渗透测试零基础入门必知必会】之Windows提权常用命令,零基础入门到精通,收藏这一篇就够了
【网络安全渗透测试零基础入门必知必会】之Windows权限提升实战,零基础入门到精通,收藏这一篇就够了
【网络安全渗透测试零基础入门必知必会】之linux 提权(非常详细)零基础入门到精通,收藏这一篇就够了
网络安全/渗透测试入门掌握Dos与DDos渗透与防御相关****必知必会
【网络安全渗透测试零基础入门必知必会】之DoS与DDoS攻击原理(非常详细)零基础入门到精通,收藏这一篇就够了
【网络安全渗透测试零基础入门必知必会】之Syn-Flood攻击原理解析(非常详细)零基础入门到精通,收藏这一篇就够了
【网络安全渗透测试零基础入门必知必会】之IP源地址欺骗与dos攻击,零基础入门到精通,收藏这一篇就够了
【网络安全渗透测试零基础入门必知必会】之SNMP放大攻击原理及实战演示,零基础入门到精通,收藏这一篇就够了
【网络安全渗透测试零基础入门必知必会】之NTP放大攻击原理,零基础入门到精通,收藏这一篇就够了
【网络安全渗透测试零基础入门必知必会】之什么是CC攻击?CC攻击怎么防御?,零基础入门到精通,收藏这一篇就够了
【网络安全渗透测试零基础入门必知必会】之如何防御DDOS的攻击?零基础入门到精通,收藏这一篇就够了
网络安全/渗透测试入门掌握无线网络安全渗透与防御相关****必知必会
【网络安全渗透测试零基础入门必知必会】之Aircrack-ng详细使用安装教程,零基础入门到精通,收藏这一篇就够了
【网络安全渗透测试零基础入门必知必会】之aircrack-ng破解wifi密码(非常详细)零基础入门到精通,收藏这一篇就够了
【网络安全渗透测试零基础入门必知必会】之WEB渗透近源攻击,零基础入门到精通,收藏这一篇就够了
【网络安全渗透测试零基础入门必知必会】之无线渗透|Wi-Fi渗透思路,零基础入门到精通,收藏这一篇就够了
【网络安全渗透测试零基础入门必知必会】之渗透WEP新思路Hirte原理解析,零基础入门到精通,收藏这一篇就够了
【网络安全渗透测试零基础入门必知必会】之WPS的漏洞原理解析,零基础入门到精通,收藏这一篇就够了
网络安全/渗透测试入门掌握木马免杀问题与防御********必知必会
【网络安全渗透测试零基础入门必知必会】之Metasploit – 木马生成原理和方法,零基础入门到精通,收藏这篇就够了
【网络安全渗透测试零基础入门必知必会】之MSF使用教程永恒之蓝漏洞扫描与利用,收藏这一篇就够了
网络安全/渗透测试入门掌握Vulnhub靶场实战********必知必会
【网络安全渗透测试零基础入门必知必会】之Vulnhub靶机Prime使用指南,零基础入门到精通,收藏这一篇就够了
【网络安全渗透测试零基础入门必知必会】之Vulnhub靶场Breach1.0解析,零基础入门到精通,收藏这一篇就够了
【网络安全渗透测试零基础入门必知必会】之vulnhub靶场之DC-9,零基础入门到精通,收藏这一篇就够了
【网络安全渗透测试零基础入门必知必会】之Vulnhub靶机Kioptrix level-4 多种姿势渗透详解,收藏这一篇就够了
【网络安全渗透测试零基础入门必知必会】之Vulnhub靶场PWNOS: 2.0 多种渗透方法,收藏这一篇就够了
网络安全/渗透测试入门掌握社会工程学必知必会
【网络安全渗透测试零基础入门必知必会】之什么是社会工程学?定义、类型、攻击技术,收藏这一篇就够了
【网络安全渗透测试零基础入门必知必会】之社会工程学之香农-韦弗模式,收藏这一篇就够了
【网络安全渗透测试零基础入门必知必会】之社工学smcr通信模型,收藏这一篇就够了
【网络安全渗透测试零基础入门必知必会】之社会工程学之社工步骤整理(附相应工具下载)收藏这一篇就够了
网络安全/渗透测试入门掌握********渗透测试工具使用******必知必会**
2024版最新Kali Linux操作系统安装使用教程(非常详细)零基础入门到精通,收藏这一篇就够了
【网络安全渗透测试零基础入门必知必会】之渗透测试工具大全之Nmap安装使用命令指南,零基础入门到精通,收藏这一篇就够了
2024版最新AWVS安装使用教程(非常详细)零基础入门到精通,收藏这一篇就够了
2024版最新burpsuite安装使用教程(非常详细)零基础入门到精通,收藏这一篇就够了
2024版最新owasp_zap安装使用教程(非常详细)零基础入门到精通,收藏这一篇就够了
2024版最新Sqlmap安装使用教程(非常详细)零基础入门到精通,收藏这一篇就够了
2024版最新Metasploit安装使用教程(非常详细)零基础入门到精通,收藏这一篇就够了
2024版最新Nessus下载安装激活使用教程(非常详细)零基础入门到精通,收藏这一篇就够了
2024版最新Wireshark安装使用教程(非常详细)零基础入门到精通,收藏这一篇就够了
觉得有用的话,希望粉丝朋友帮大白点个**「分享」「收藏」「在看」「赞」**
黑客/网络安全学习包
资料目录
-
成长路线图&学习规划
-
配套视频教程
-
SRC&黑客文籍
-
护网行动资料
-
黑客必读书单
-
面试题合集
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.SRC&黑客文籍
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!
4.护网行动资料
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
5.黑客必读书单
**
**
6.面试题合集
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
更多内容为防止和谐,可以扫描获取~
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
