PTES
Penetration Testing Execution Standard
渗透测试执行标准
企业进行渗透测试工作的7个标准动作,包括前期交互、情报搜集、威胁建模、漏洞分析、渗透利用、后渗透、报告输出
具体解释参考下面博客
https://www.jianshu.com/p/92dfdbe8bb8a
CKC
Cyber Kill Chain
网络杀伤链 俗称七步杀
对于真实世界中的每个攻击阶段(模拟骇客行为),包括目标侦察、武器研制、载荷投递、渗透利用、安装恶意软件、远程命令控制、完成原始目的
翻译版(这里只介绍攻击者,防御者去上面的链接看)
现代攻击者
网络攻击并非新鲜事,但每一层面的风险都比以往任何时候都高。对手更加老练、资源丰富、训练有素,并且擅长发起被称为高级持续威胁(APT)的有计划的入侵活动。我们国家的安全和繁荣取决于关键的基础设施。
保护这些资产需要清楚地了解我们的对手、他们的动机和战略。
对手的意图是为了经济、政治和国家安全进步而妥协和提取数据。更糟糕的是,对手已经表现出了进行破坏性攻击的意愿。他们的工具和技术有能力击败最常见的计算机网络防御机制。
CKC
Cyber Kill Chain®框架是智能驱动防御®模型的一部分,用于识别和预防网络入侵活动。该模型确定了对手为了实现其目标必须完成的任务。
在任何阶段阻止对手都会打破攻击链!对手必须在所有阶段取得全面进展,才能取得成功;这就给了我们有利的机会,因为我们只需要在任何一个给定的位置阻止它们就可以成功。每一次入侵都是一次机会,让我们更多地了解我们的对手,并利用他们的毅力为我们谋利。
杀伤链模型设计分为7步:
- 防御者的目标:了解侵略者的行为
- 理解就是智慧
- 入侵者成功的条件是,且仅当他们能够继续执行步骤1-6并达到Cyber Kill Chain®的最后阶段。
侦察 确认目标
- 攻击者
对手正处于行动计划阶段。他们进行研究,以了解哪些目标将使他们能够实现其目标。
收获电子邮件地址
确定员工的身份
社交媒体网络
收集新闻稿、合同授予、会议与会者名单
发现面向internet的服务器
武器化 准备行动
对手正处于行动的准备和准备阶段。恶意软件生成很可能不是手工完成的——它们使用自动化工具。一个“武器化者”将恶意软件结合起来,并将其利用到可交付的有效载荷中。
获取武器装备,无论是内部获取还是通过公共或私人渠道获取
对于基于文件的攻击,请选择“诱饵”向被害人出示的文件。
选择后门植入和适当的命令和控制基础设施进行操作
指定一个特定的“任务id”并嵌入恶意软件
编译后门并将有效载荷武器化
传递 开展行动
对手将恶意软件传送给目标。他们已经开始行动。
敌方控制下传递:
直接针对web服务器
敌方放行传递:
恶意电子邮件
U盘上的恶意软件
社交媒体互动
“水坑”受损网站
剥削 获得入口
对手必须利用漏洞获得访问权限。短语“零日”指的是此步骤中使用的攻击代码。
软件、硬件或人为漏洞
获取或开发零日利用率
针对基于服务器的漏洞的对手触发的攻击
受害者触发的漏洞攻击
打开恶意电子邮件的附件
单击恶意链接
安装 建立后门
通常情况下,对手会在系统中安装一个持久的后门或植入物受害者环境可在较长时间内保持访问权限。
在web服务器上安装webshell
在客户机上安装后门和植入物
通过添加服务、自动运行键等创建持久性点。
对于一些对手,“时间戳”文件,使恶意软件看起来是标准操作系统安装的一部分。
命令和控制 远程控制植入物
恶意软件打开一个命令通道,使对手能够远程操纵受害者。
开放通向指挥与控制基础设施的双向通信通道
最常见的C2通道是通过web、DNS和电子邮件协议
指挥与控制基础设施可能为敌方所有,也可能为另一受害网络本身
关于目标的行动
通过亲自操作键盘,入侵者可以完成任务目标。接下来会发生什么取决于谁在键盘上。
收集用户凭据
特权升级
内部侦察
通过环境的横向运动
收集和过滤数据
摧毁系统
覆盖或损坏数据
秘密修改数据
分析
随着时间的推移,对多个入侵杀死链的分析提请注意相似性和重叠指标。防御者学习识别和定义入侵活动,了解入侵者的任务目标,识别模式:他们在寻找什么,为什么他们要针对我?这将有助于确定如何最好地保护自己免受下一次攻击。除非你了解他们的行动,否则你无法超越威胁。
ATT&CK
目前最火也是最全面的框架,什么工具,攻击手法,攻击场景等都能在框架上得以体现,以后有时间再总结
349
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
