理解目的攻击：目的攻击的六个组成局部

有针对性的攻击是(或应该)是任何中央大型组织的重要关注点。精心设计的攻击分六个阶段停止，显现攻击者如何在目的内停顿。
自从有针对性的攻击初次呈现在要挟环境中已有好几年了，各种要挟和我们对他们的了解都曾经发作了演化和成熟。从那时起我们学到了什么以及发作了什么变化?
在我们开端讨论有针对性攻击的不同组成局部之前，思索使竞选活动胜利的要素也很重要。公司遭到入侵的缘由之一是由于他们的前线员工和他们的认识很弱。意义是，人的障碍作为抵御目的攻击的第一道防线是至关重要的。
目的攻击的六个组成局部代表逻辑的、构造化攻击中的不同步骤。但是，理想愈加紊乱。一旦阶段“完成”，并不意味着没有其他与该阶段相关的活动发作。一个攻击的多个阶段可能同时停止：例如，在任何目的攻击中发作都会发作C&C通讯。攻击者需求控制目的网络中正在停止的任何活动，因而C&C通讯量自然会继续在攻击者和任何受损系统之间来回传送。
最好将每个组件视为同一攻击的不同方面。网络的不同局部可能同时面临攻击的不同方面。
这可能会对组织如何响应攻击产生严重影响。不能简单地假定由于在“早期”阶段检测到攻击没有停止“后期”阶段。恰当的要挟响应方案应该思索这个并做出相应的方案。
目的攻击
情报搜集
任何有针对性攻击的第一阶段都触及搜集有关预定目的的信息。但是，大量可用于执行攻击的信息仅限于公司网络。因而，即便攻击曾经在停止中，这个阶段也不会中止。从网络内获取的数据有助于进步任何持续攻击的效率。
除了信息之外，发现各个团队之间存在的衔接以及扩展到目的组织之外的衔接，还能够协助攻击者肯定更多攻击的良好目的。
入口点
传统上有针对性的攻击运用鱼叉式网络钓鱼电子邮件来浸透目的组织的网络。固然这依然是一种有效的战略，但攻击者曾经添加了其他办法来完成这一目的。
这些替代计划包括水坑攻击(即针对目的行业或组织经常访问的网站的攻击)。但是，除了初始入口点之外，攻击者还能够在目的网络中添加其他入口点。能够针对不同的员工或网络段来确保更完好的攻击。
此外，攻击者能够在横向挪动过程中不时向各种系统添加后门，这能够作为曾经遭到攻击的组织的额外切入点。关于攻击者来说，假如检测到并删除了较旧的入口点，这些可能会十分有价值。
C&C通讯
为了有效地发起目的攻击，攻击者需求可以有效地控制目的网络中任何遭到毁坏的计算机。躲藏后门C&C通讯的一些办法，但我们最近看到的另一个趋向是内部机器如何充任中间C&C效劳器。攻击者将衔接到此内部C&C效劳器，然后将其传送给组织内的其他受感染计算机。
横向挪动
攻击者不时反复有针对性攻击的横向挪动。在此过程中，还会发作一些与其他阶段(例如情报搜集)分类的活动。此外，其他系统可能会后门作为额外的受损机器。
横向挪动运用合法的系统管理工具来协助躲藏其活动，并且有三个目的：晋级目的网络中的可用权限，在目的网络内执行侦查，以及横向挪动到网络内的其他机器。
这个方面可能是有针对性攻击最反复的一个方面;此外，它也是最全面的，由于此步骤也能够包含目的攻击的其他阶段。停止内部侦查和信息搜集，搜集的任何“情报”可用于辨认横向挪动的潜在目的，以及能够找到的任何资产。
维护
胜利的针对性攻击是指在其背后的各方需求的状况下能够继续停止的攻击。与其他任何事情一样，攻击者需求对正在停止的攻击停止维护以坚持其正常运转。这能够包括运用不同的后门和C&C效劳器，或运用补丁来确保其他攻击者无法应用攻击中运用的相同破绽。
数据泄露
数据泄露是任何有针对性攻击的最终目的。但是，受感染的计算机并不总是包含有价值的信息，而某些系统可能不包含任何值得窃取的信息。
从网络平安处理计划的角度来看，浸透过程可能会“喧闹”，由于它可能触及在正常操作过程中无法找到的大量网络流量。攻击者试图“躲藏”走漏流量的一种尝试是在以受控方式提取数据之前将大量被盗数据传输到组织内的机器。众所周知，在触及PoS歹意软件的事情中会发作这种状况。
有针对性的攻击是当今任何组织的一个严重问题，并且在可预见的将来将继续如此。关于那些玩防卫的人来说，理解要挟形势不时变化以发明必要的恰当防御是十分重要的。