Security+ 3. 确定安全威胁

3. 确定安全威胁

• • 3.1 威胁执行者(Threat actor)
  • 3.2 社交工程
  • • 3.2.1 网络钓鱼(Phishing)
    • 3.2.2 物理利用
    • 3.2.3 水坑式攻击(Watering hole attack)
  • 3.3 确定恶意软件
  • 3.4 基于软件的威胁
  • • 3.4.1 密码攻击类型
    • 3.4.2 应用程序攻击(Application attack)
    • 3.4.3 权限扩大(Privilege escalation)
  • 3.5 基于网络的攻击
  • • 3.5.1 欺骗攻击(Spooging)
    • 3.5.2 端口扫描攻击
    • 3.5.3 劫持攻击(Hijacking)
    • 3.5.4 放大攻击(Amplification attack)
    • 3.5.5 传递散列的攻击(Pass the hash attack)
  • 3.6 确定无线威胁
  • 3.7 物理威胁
  • • 3.7.1 环境威胁和漏洞

3.1 威胁执行者(Threat actor)

• 指需要对影响或可能影响组织安全的事件负部分或全部责任的实体。

1. 脚本小子(Script kiddle): 新手或经验不足的黑客。需要依赖自动工具进行攻击。
2. 电子活动家/黑客行为主义：为实现政治或社会变革而获取计算机系统的未授权访问并其中引起破坏，获得媒体关注。
3. 有组织获罪： 计划进行犯罪活动的个人小组，常见目的是获取金钱利益。
4. 民族国家：政府情报机构实现政治和军事目的
5. 内部人员(Insider): 组织内部，包括现在和过去员工，承包商，工作伙伴等
6. 竞争对手：获取商业竞争对手敏感信息。

3.2 社交工程

欺骗方式	描述
权威	以一个权威形象出现，如一位经理或IT管理员
恐吓	以用户的工作或经济状况为威胁，迫使用户服从攻击者要求
从众	利用人类对团体的归属感以及对群体智慧的服从度，指鹿为马
稀缺性	吸引用户的想法，为用户特定行为提供一些具有感知价值的东西作为奖励
熟悉感	以用户的某个熟人的身份出现，骗取信任
紧急事件	使用户产生恐慌而无法进行理性思考
冒名(Impersonation)	攻击者冒用他人身份。

3.2.1 网络钓鱼(Phishing)

1. 鱼叉式网络钓鱼(Spear phishing): 攻击者选定特定个人或机构作为目标
2. 捕鲸(Whaling): 攻击者选定巨额财富的个人或组织为目标的一种鱼叉式网络钓鱼
3. 网域嫁接(Pharming): 将一个网站的请求进行重定向到一个看起来类似，但是虚假的网站。
4. 语音钓鱼(Vishing): 通过使用电话系统和基于IP的语音等从用户那里获取机密信息。
5. 短信钓鱼(Smishing): 使用SMS消息来尝试从目标个人那里获取个人信息。

3.2.2 物理利用

利用方式	描述
肩窥(Shoulder surfing)	越过某人的肩膀窥探到对方输入的密码信息或PIN码
垃圾搜寻(Dumpster diving)	通过检查垃圾箱中的内容取回重要信息
跟随进入(Tailgating)	在员工不知情或不允许的情况下跟随其进入安全区
(Piggy backing)	在员工允许的情况下进入安全区，如冒用清洁人员的名义进入等

3.2.3 水坑式攻击(Watering hole attack)

攻击者选择特定团体或组织为目标，找出他们经常访问的网站，在这些网站中注入恶意代码，如果团体或组织中有一句成员被感染，会导致整个团体受到威胁。

3.3 确定恶意软件

• 恶意代码(Malicious code)：不受欢迎或未经授权的软件，也叫恶意软件，他们被放置在目标系统中破坏或将系统资源重定向以实现攻击者的利益。
• 病毒(virus)：往往会干扰特定机器的功能。指可以将自己附加在其他文件中，通过自我复制过程从一台计算机中传播到另一台中的恶意代码段。常会引起进一步的攻击，将数据发回给攻击者，甚至可能会破坏或销毁数据。
• 多态恶意软件(Polymorphic malware)：使用相同的病毒加密，只有解密模块会在病毒每次感染文件时进行改变。
• 铠装病毒(Armored viruse)：典型的特征是会掩盖自己不被杀毒软件和安全专家们发现，能隐藏在系统中的真正位置。
• 蠕虫(worm)：通常会干扰网络功能。蠕虫不需要携带任何有效负荷，主要目的是传播，传播到足够多的系统中就会损坏网络带宽。而携带有效载荷的蠕虫会将计算机变成一个远程僵尸，使攻击者能够它来改动其他攻击。
• 广告软件(Adware)：指会自动显示或下载未经请求广告的软件。
• 间谍软件(Spyware)：是一种被秘密安装的恶意软件，目的是为了跟踪并报告目标系统的使用情况，并收集攻击者希望获取的其他数据。
• 特洛伊木马(Trojan horse)：是一种隐藏恶意软件，会对系统造成破坏或为攻击者提供监控/或控制系统平台。与病毒不同，木马不会自我复制，也不会附着在其他文件中。
• 键盘记录器(Keylogger)：识别并记录用户进行的每次击键行动的硬件设备或软件应用程序。可以在击键信号被发送到系统单元之前对它进行加密来消减影响。
• 远程访问木马(Remote access Trojan/RAT)：为攻击者提供目标计算机的未授权访问或控制。
• 逻辑炸弹(Logic bomb)：在目标计算机中保持休眠状态直到被某个特定事件激活的一种代码段。
• 僵尸网络(botnet)：指一种叫机器人程序(bot)的控制程序感染的一组计算机，它能使攻击者集中利用这些计算机来改动攻击。
• 勒索软件(Ransomware)：加密受害者计算机中的数据
• 高级持续性攻击(Advanced persistent threat/APT)：使用多个攻击向量来获取敏感资源的未授权访问然后在长时间段内保留访问权限。

3.4 基于软件的威胁

• 软件攻击(software attack):指针对软件资源，包括操作系统、应用程序、访问、协议和文件的任何攻击。
• 密码攻击(password attak):攻击者尝试获取密码的未授权访问或使用。如猜测，偷窃、字典攻击、暴力破解、彩虹表攻击、混合密码攻击、生日攻击。
• 冲突(collision)：当两条消息产生相同的散列值时，就会发生冲突。冲突虽然并非攻击行为，但攻击者可能对任何使用散列进行比较的应用程序发起攻击。
  后门攻击(Backdoor attack)：攻击者创建了一个后门软件来获取计算机的访问权限。
  接管攻击(takeover attack)：表现为在攻击下丧失系统的本地控制。

3.4.1 密码攻击类型

1. 已知明文攻击(known-Plaintext attack/KPA):攻击者通过已知的“明文—密文”对来破译密码。
2. 选择明文攻击(Chosen-plaintext attack)：攻击者选择特定的明文消息。通过分析加密之后的结果密文来破解密码。如果重复进行这种攻击，叫做自适应选择明文攻击(adaptive chosen plaintext attack)。
3. 唯密文攻击(Ciphtext-only attack)：攻击者知道密码算法，但仅能根据截获的密文进行分析，以得出明文或密钥。
4. 选择密文攻击(Chosen—ciphenext attack)：攻击者可以选择一些密文，并得到相应的明文。密码分析者的任务目标是推出密钥
5. 降级攻击(Downgrade attack)：攻击者利用需要实现向后兼容性这一特征，迫使目标系统放弃使用加密消息从而支持明文消息。
6. 重放攻击(Replay attack)：攻击者拦截了会话密钥或用于认证的流量，使他们能在以后进行认证或获得访问权限。
7. 针对薄弱实施的攻击：没有致力于破解用以加密目标数据的算法，而是致力于探究部署加密系统方式。

3.4.2 应用程序攻击(Application attack)

• 针对基于网页或其他客户端-服务器应用程序的软件攻击。其中专门利用用户与服务器之间信任关系的应用程序攻击叫做客户侧攻击(client-side attacks)

1. 跨站点脚本[Corss site scripting(XSS)]：将恶意脚本注入可信任网站中进行攻击。
2. 跨站点请求伪造[Cross site request forgery attack(CSRF)]：利用保存在cookie中的认证数据获得网络浏览器中敏感数据的访问权限。
3. 命令注入攻击：

• SQL注入(SQL Injection)：指通过访问应用程序的客户端向服务器输入数据时，在输入数据中注入结构化查询语言(Structured Query Language)查询命令的攻击，这种查询通常会利用并读取数据库中的数据，修改数据库中的数据，或执行管理员操作。
• LDAP注入：通过伪造轻型目录访问协议LDAP声明进行攻击。
• XML注入：通过注入有害的可扩展标记语言查询数据来进行的攻击，使攻击者能够获得XML数据结构的访问权限并在服务器中输入恶意代码或读取保存在其中的私密数据。
• 目录遍历(Directory traversal)：查找目标web应用程序的文件和目录

4. 缓冲区溢出(Buffer overflow)：指数据超出了缓冲区的边缘地区，开始影响邻近的内存。
5. 0Day攻击
6. 针对Cookie的攻击：

• cookie操纵(cookie manipulation)：指攻击者在一个HTTP报头注入一个元标记使之能够修改存储在浏览器中的cookie，实现冒用真实的用户身份让攻击者通过认证来进行攻击，以获取网站的访问权限。
• 本地共享对象(Locally shared object/LSO)：或Flash cookies：指使用Adobe Falsh Player的网站在用户设备中存储的数据。站点能够通过LSO跟踪用户的浏览行为，导致隐私的泄露。即使用户从浏览器中清除了跟踪目标，LSO仍能留存在系统中。

7. 驱动器操纵(Driver manipulation)：攻击者会重写或替换合法设备的驱动器或应用程序编程接口(API)，使恶意活动能够被执行。该方法充分利用了插片(shimming)和重构方法。

• 插片(shimming)：指在应用程序和操作系统之间开发并应用额外程序的过程，这种程序实现了原本不可用的功能。如windows的应用程序兼容包(ACT)，它为需要支行在Windows新版本的合法应用程序提供向后兼容性，包括支持旧版本系统中的使用新版本API。
• 重构(Refactoring)：指重新构建应用程序代码，以便能够在不影响应用程序外部表现的情况下改善其设计或使之能处理特定情况的过程。

3.4.3 权限扩大(Privilege escalation)

• 纵向权限扩大是指用户或应用程序能够访问原本不可用的功能或数据。
• 横向权限扩大是指用户能够访问原本属于另一位用户访问权限之间的功能或数据。

3.5 基于网络的攻击

3.5.1 欺骗攻击(Spooging)

• IP地址欺骗
• MAC地址欺骗
• ARP中毒/欺骗
• DNS中毒/欺骗
• 窃听攻击(eavesdropping)或监听攻击(sniffing attack)
• 中间人攻击(man-in-middle attack)
• 浏览器中间人攻击(man-in-browser attack)
• 重放攻击
• DoS/DDoS攻击

3.5.2 端口扫描攻击

• 隐蔽扫描(stealth scan)：攻击者向目标改善一个SYN数据包，如果SYN-ACK数据包被发送回来，就能假设这个端口是开放的，再发送RST重新设置连接包断开连接。
• 全连接扫描(full-connect scan)：建立完整的TCP三次握手，因此它被检测到的机率更大。可以允许标志提取(banner grabbing)

3.5.3 劫持攻击(Hijacking)

1. 点击劫持(clickjacking)：通过覆盖不可见的框架误导受害者点击。
2. DNS劫持(DNS jacking)：攻击者设置一个流氓DNS服务器，使用恶意或不存在的网站IP地址响应合法请求。
3. 域名劫持(Domain jacking)：攻击者通过修改注册信息盗取域名，然后将这个域名转让给另一个实体。也称品牌劫持(Brandjacking)
4. URL劫持/网域抢注(typo squatting)：攻击者注册与合法网站十分相似的域名，利用在浏览器中输入域名时拼写错误的可能性。

3.5.4 放大攻击(Amplification attack)

• 指攻击者在DDoS过程中，动态地增加向受害者发送的带宽数量。使用相对较小的请求，调用更大的响应改善到目标系统中。

1. ICMP放大：也称海量攻击(Smurf attack), 通过向目标主机发送大量的ICMP的探测ping数据包。
2. DNS放大：攻击者使用目标主机IP地址向DNS服务器发送一个DNS查询，服务器用一个DNS响应向这个虚拟地址进行回应。可放大179倍
3. UDP放大：使用其他UDP服务进行放大攻击
4. NTP放大：攻击者使用目标主机IP地址向NTP服务器发送一个monlist请求，响应包可放大556.9倍

3.5.5 传递散列的攻击(Pass the hash attack)

• 直接使用hash值认证

3.6 确定无线威胁

• 欺骗访问点(rogue access point)：指组织中的未授权无线访问点。
• 双面恶魔(evil twin)：欺骗用户相信无线网络中的这个访问点是合法的。
• 干扰(jamming)：也叫冲突(interference)，指无线电波扰乱802.11无线信号的一种攻击。
• 蓝牙劫持(Bluejacking)：指攻击者从拥有蓝牙功能的设备中改善不想要的蓝牙信号的式攻击。
• 蓝牙窃听(Bluesnarfing)：指攻击者在328英尺(10m)的蓝牙传输限制之内，获取使用蓝牙连接的黿设备中未授权信息的访问权限。
• NFC攻击(near field communication)：指拥有NFC功能的设备受到几英尺外的NFC发出的RF信号。
• 无线电射频识别(Radio-Frequency Identification/RFID)：RFID使用电磁场来自动识别并跟踪被附加在选定对象上存储了有关对象信息的标签或芯片。攻击者使用一个欺骗性的RFID读取器来读取非接触银行卡发出的信号。
• 战争驾驶(war driving)/战争漫步(war walking)：使用无线设备搜索无线网络实例的行为。用于确定可以加以利用的无线访问位置。
• 开战标记(war chalking)：指使用符号标记人行道或墙壁，以表明附近无线网络的存在情况和状态。
• 数据包嗅探(Packet sniffing)
• IV攻击：初始化向量(initialization vector /IV)是一种被添加到密钥上的数字，它会持续变化，防止相同的文本在加密后产生完全一样的密文。
• 无线重放攻击：将捕获的数据包进行重放以操控数据流变得更加容易，与IV攻击结合使用，可以破解弱加密。
• WEP(Wired Equivalent Privacy/WEP)：使用流密码来加密数据，需要依赖一个IV来将文本的相同字符串随机化。
• WEP(Wi-Fi Protected Access /WPA)：有一个允许攻击者在无线数据流中注入恶意数据包的潜在弱点
• WPS(Wi-Fi Protected Setup/WPS)：通过添加更多方法来验证密钥生成，实现无线加密安全性的增强，防止用户选择弱密码。其中一种方式是必须输入物理无线设备上显示的8位PIN码，才能登录网络，但是，由于WPS检查每个PIN码的一半，只需要几千次猜测就能成功地破解PIN码。
• 无线分离攻击(wireless disassociation attack)：攻击者向目标设备改善一个虚假的分离帧，使之看起来像来自WAP，使目标设备尝试与WAP重新取得连接。通过持续不断地改善分离帧，可以引起DoS。

3.7 物理威胁

硬件攻击(hardware attack)：指针对计算机物理组成和外围设备的攻击，包括硬盘，主板，键盘，网络布线，智能卡读卡器等。

3.7.1 环境威胁和漏洞

• 火灾
• 台风
• 洪灾
• 极端温度
• 极端温度