网络安全-攻击篇-攻击载体_基于人的网络安全攻击 csdn(1)

僵尸网络（Botnet）是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。之所以用僵尸网络这个名字，是为了更形象地让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。

常见利用方式：

1. 分布式拒绝服务攻击（DDoS）：攻击者利用僵尸网络中的大量受感染设备同时向目标系统发送大量的请求或数据包，以超过目标系统的处理能力，使其服务不可用。
2. 垃圾邮件和广告投放：攻击者利用僵尸网络发送大量垃圾邮件或投放广告，用于传播恶意软件、推销假冒产品或欺诈活动。
3. 数据盗取和钓鱼：攻击者使用僵尸网络收集受感染设备上存储的敏感信息，如个人身份信息、账户凭据等。

木马

木马（Trojan horse）是一种隐藏在正常程序中的具有特殊功能的代码，实质上是一种远程控制软件，是一种未经授权，利用网络欺骗或者攻击的手段装入目标计算机中。攻击者通过木马可以完全控制受害者的计算机，包括执行命令、遥控操作、下载/上传文件等。有很多黑客就是热衷使用木马程序来控制别人的电脑，比如灰鸽子、Gh0st、PcShare等。

常见利用方式：

1. 密码窃取木马：能够盗取用户登录凭证和密码信息的木马程序。这类木马常常通过钓鱼网站、恶意软件下载、邮件附件等方式传播。一旦受害者在感染后输入账户密码，攻击者就能够获取这些信息，从而窃取受害者的个人财产或者滥用其身份。
2. 键盘记录木马：通过键盘记录木马可以获取用户的登录凭证、敏感信息或者银行卡、支付宝等账户的用户名和密码。
3. 屏幕记录木马：一种能够在受感染计算机上记录用户屏幕活动的木马程序。攻击者可以通过屏幕记录木马获悉受害者的各类敏感信息，如银行账号、密码和其他个人隐私。
4. 控制技术：即攻击者如何控制服务器端实施攻击任务。

网页木马

网页木马（Webshell）是一种隐藏在正常网页文件中的恶意代码，当用户访问被感染的网页时，这些恶意代码会自动执行，窃取用户的信息或执行恶意程序，控制用户的计算机系统或将受影响的客户电脑变成肉鸡或纳入僵尸网络。网页木马通常利用用户的浏览器漏洞或者用户的不小心操作来传播和感染计算机。

常见利用方式：

1. 欺骗用户点击链接或下载附件：有些网页会伪装成其他网站或者以虚假信息吸引用户点击，从而诱导用户打开恶意链接或下载附件。这些附件可能会包含网页木马程序，一旦被激活就会感染用户的计算机。
2. 浏览器漏洞：利用浏览器漏洞是另一种常见的网页木马攻击方式。攻击者可以利用漏洞在用户浏览网页时执行恶意代码，从而实现控制用户计算机的目的。
3. 代码混淆：一些网页木马使用混淆技术来绕过杀毒软件和安全软件的检测。混淆技术可以将代码重新编码，使其看起来像合法代码，从而避免被识别为恶意代码。
4. 跨站脚本（XSS）：有些网页木马会在用户访问页面时注入恶意代码，这种被称为跨站脚本攻击。当用户访问该页面时，恶意代码会被加载并执行，从而控制用户的计算机。
5. 钓鱼陷阱：这是一种比较隐蔽的网页木马攻击方式，通常会伪装成合法的网站或者电子邮件地址，诱使用户点击或者下载附件。一旦用户点击或者下载了附件，就会感染网页木马程序。
6. 社会工程学：这是指利用人类心理弱点进行欺骗的一种攻击方式。攻击者可能冒充合法网站或者电子邮件地址，发送带有恶意附件的邮件，诱使用户点击或者下载附件。

Rootkit

Rootkit是一种特殊的恶意软件，主要功能是隐藏其他程序进程，可能是一个或一个以上的软件组合。Rootkit通常用于隐藏攻击者的踪迹和保留root访问权限。攻击者通过远程攻击获得root访问权限，或者首先通过密码猜测或密码强制破译的方式获得系统的访问权限。进入系统后，如果攻击者还没有获得root权限，他可能会通过某些安全漏洞获得系统的root权限。接着，攻击者会在侵入的主机中安装Rootkit，以达到自己长久控制对方的目的，Rootkit功能上与木马和后门很类似，但远比它们要隐蔽。然后经常通过Rootkit的后门检查系统是否有其他的用户登录。一旦确认只有自己，攻击者就开始着手清理日志中的有关信息。通过Rootkit的嗅探器获得其他系统的用户和密码之后，攻击者会利用这些信息侵入其他的系统。

常见利用方式：

1. 利用系统漏洞：攻击者利用操作系统的漏洞或缺陷，将rootkit安装到目标系统上。这些漏洞可能包括缓冲区溢出、格式化字符串漏洞、整数溢出等。
2. 网络攻击：攻击者通过网络向目标系统发送恶意代码，一旦目标系统打开或运行恶意代码，rootkit就会被安装。这种攻击方式包括拒绝服务攻击、特洛伊木马、蠕虫病毒等。
3. 恶意软件：攻击者通过安装恶意软件，如间谍软件、广告软件等，来传播rootkit。这些恶意软件会在用户不知情的情况下，在其电脑上安装后门、收集用户信息、篡改用户设置等。
4. 物理访问攻击：如果攻击者有物理访问目标系统的权限，他们可以直接将rootkit安装到系统上。这种攻击方式通常需要攻击者有足够的权限或口令，以便在目标系统上进行操作。

蠕虫病毒

蠕虫病毒（Worm）是一类相对独立的恶意代码。它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。蠕虫病毒是自包含的程序，它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中。与一般病毒不同，蠕虫不需要将其自身附着到宿主程序中，而是通过将自身拷贝放置到所攻击的系统中进行攻击。蠕虫病毒利用系统漏洞进行传播，如操作系统漏洞、蠕虫病毒传播时利用的漏洞等。一旦蠕虫病毒被激活，它会在计算机系统内部迅速传播，导致计算机运行异常、数据丢失或被窃取。

常见利用方式：

1. 利用系统漏洞：蠕虫病毒通常利用操作系统或应用程序的漏洞进行传播。当系统存在未修复的漏洞时，蠕虫病毒能够利用这些漏洞在系统中快速传播，并对系统造成破坏。
2. 自动传播：蠕虫病毒具有自动传播的能力，它能够在计算机内部自我复制，并将自身传播到其他计算机上。这种传播方式通常是通过网络进行，如电子邮件附件、网络共享、网页等。
3. 欺骗用户点击：蠕虫病毒经常通过伪装成可执行文件或链接来欺骗用户点击。当用户点击这些恶意链接或下载恶意文件时，蠕虫病毒就会被激活，并在系统中迅速传播。
4. 弱密码攻击：蠕虫病毒可能会利用弱密码进行攻击，尝试破解用户的账户密码，从而获得对系统的控制权。
5. 感染其他程序：蠕虫病毒可能会感染其他应用程序或文件，使其携带病毒并继续传播。

震网病毒

震网病毒（Stuxnet）是一种计算机蠕虫病毒，是第一个专门定向攻击真实世界中基础能源设施的“蠕虫”病毒，包括核电站、水坝、国家电网。震网病毒的由来可以追溯到2006年，当时伊朗重启核计划的消息一出，美国和以色列都感到了威胁。以色列决定对伊朗实施外科手术式的打击，派出由F-16组成的攻击机群，像1981年摧毁伊拉克核设施那样摧毁伊朗的核工业。而美国则将目光瞄准了西门子，希望通过控制西门子的工控机来破坏伊朗的核设施。为此，美国情报机构和以色列情报机构合作，开发出了震网病毒。主要针对西门子型号为S7-315和S7-417的工控机，利用高度复杂的恶意代码和多个零日漏洞作为攻击武器。主要破坏经过是：在核设施中，它可以让离心机过载运转，从而破坏离心机本身以及与之相关的系统和设施；同时，它还会掩盖离心机故障的情况，使得维护人员无法及时发现问题。

常见利用方式：

1. 漏洞利用：震网病毒利用了多个零日漏洞（0Day）来绕过系统防护措施，从而进入目标系统。这些零日漏洞通常是未被及时修复的安全漏洞，使得病毒可以轻松地感染系统和相关设备。
2. 隐蔽传播：震网病毒在传播过程中采用了多种隐蔽手段，如伪装成合法文件、修改图标、使用虚假信息等。这些隐蔽手段使得病毒可以在不被用户注意的情况下快速传播到其他系统中。
3. 持久化感染：震网病毒可以通过多种方式实现持久化感染，如在系统启动时自动运行、在后台隐藏运行、通过网络连接等方式激活等。这种持续感染能力使得病毒能够在目标系统中长期存在并造成更大的破坏。
4. 控制网络流量：震网病毒可以通过控制网络流量来实现对目标系统的控制。它能够阻断网络通信，使目标系统无法访问外部网络，从而达到保护自己的目的。
5. 破坏系统资源：震网病毒可以对计算机系统进行各种破坏操作，包括占用大量系统资源、破坏文件系统、干扰操作系统等。这些破坏行为可能导致系统崩溃、数据丢失等问题。
6. 远程控制：震网病毒可以通过网络远程控制目标系统，实现对目标系统的控制和操纵。这种远程控制功能可以为黑客提供更多的非法操作权限和便利条件。

勒索病毒

勒索病毒（Ransomware）是一种恶意软件，这种病毒通常会利用各种漏洞和加密算法对被感染者的计算机文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。

常见利用方式：

1. 感染系统文件：勒索病毒会感染系统文件，如exe、sys等可执行文件或驱动程序。一旦感染成功，病毒就会对文件进行加密，导致文件无法正常打开和使用。
2. 破坏数据：勒索病毒会对数据进行破坏，包括用户的个人信息、银行账户信息等敏感数据。这些数据被破坏后，可能会导致严重的后果。
3. 锁定设备：勒索病毒可以对计算机设备进行锁定，使设备无法正常使用。这会导致用户无法完成工作、学习等日常活动。
4. 要求支付赎金：有些勒索病毒会在受害者付款后才会解密受感染的文件。因此，很多受害者因为不想支付赎金而选择不采取任何措施，但这会导致更多的受害者受到感染。
5. 社会工程学：一些勒索病毒可能会利用社会工程学的方法进行传播，即通过伪装成合法软件或者钓鱼网站来吸引用户点击或者下载。

挖矿木马

挖矿木马（Mining Malware）是一种恶意软件，将电脑、移动设备甚至是服务器变为矿机的木马，通常由挖矿团伙植入，用于挖掘比特币从而赚取利益。它会在受感染的计算机上运行，并利用计算机的资源来进行加密货币挖矿操作，从而赚取利润。这种木马可以隐藏在用户下载的文件或链接中，或者通过网络漏洞进行远程传播。一旦感染，木马会在后台默默地运行，用户可能会发现计算机变得缓慢，甚至出现崩溃的情况。

常见利用方式：

1. 利用系统漏洞：挖矿木马会利用各种系统漏洞，如Windows系统漏洞、服务器组件插件漏洞、中间件漏洞、Web漏洞等，通过自动化脚本扫描互联网上的所有机器，寻找漏洞并部署挖矿进程。
2. 弱密码暴力破解：挖矿木马会通过弱密码暴力破解进行传播，但这种方法攻击时间较长。
3. 利用僵尸网络：利用僵尸网络也是挖矿木马重要的传播方法，如利用Mykings、 WannaMine、Glupteba等控制大量主机。攻击者通过任务计划、数据库存储过程、WMI等技术进行持久化攻击，很难被清除，还可随时从服务器下载最新版本的挖矿木马，控制主机挖矿。
4. 无文件攻击：通过在PowerShell中嵌入PE文件加载的形式，达到执行“无文件”形式挖矿攻击。新的挖矿木马执行方法没有文件落地，会直接在PowerShell.exe进程中运行，这种注入“白进程”执行的方法更加难以实施检测和清除恶意代码。
5. 利用网页挂马：在网页内嵌入挖矿JavaScript脚本，用户一旦进入此类网页，脚本就会自动执行，自动下载挖矿木马。
6. 利用社交软件、邮件传播：攻击者将木马程序伪装成正规软件、热门文件等，通过社交软件或邮件发送给受害者，受害者一旦打开相关软件或文件就会激活木马。
7. 内部人员私自安装和运行挖矿程序：机构、企业内部人员带来的安全风险往往不可忽视，需要防范内部人员私自利用内部网络和机器进行挖矿获取利益。

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

8100834e9291cfcf1695d8cd42.png#pic_center)

因篇幅有限，仅展示部分资料

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
[外链图片转存中…(img-7ZpnReTX-1712643203585)]