網絡殺傷鏈攻擊周期包括哪些階段

網絡殺傷鏈攻擊周期包括以下階段：

• 目標定位階段：目標定位是殺傷鏈一個有趣的階段，因為它涉及攻擊的動機，也是對攻擊者的歸類（不一定是具體屬性的識別）。在殺傷鏈正式開始之前，攻擊者必須確定要攻擊什么（例如，誰是潛在的目標）。在許多情況下，這是黑客與某贊助商或受益方進行磋商時確定的，通常作為他們自身情報或業務需求的一部分。對于防御者來說，我們通常會認為目標是受害者企業，但實際上，黑客針對的目標是企業里有價值的信息或能力。

• 偵查跟蹤階段：瞄準目標后，攻擊者便開始進行偵察。在偵察跟蹤階段（或通過簡單的偵察），攻擊者會盡可能多地收集目標受害者的信息。根據所收集的數據類型（硬數據與軟數據）和收集方法（被動與主動），偵察可分為多個類別。

• 武器構造階段：武器構造的漏洞挖掘階段特別有趣，因為它決定了要攻擊哪些目標。它會迫使攻擊者作出決定。如果所有的安全防御產品，或者所有軟件都能按預期工作（往往理想很豐滿，現實卻很骨感），那么攻擊者幾乎總是會失敗。因此，攻擊者的目標是找到設計和實現不匹配的地方，即尋找漏洞。然后，攻擊者可靠地利用這個漏洞，并將其打包為可以送達目標的形式（例如，惡意文檔或漏洞利用工具包）。尋找這個漏洞，制造一個漏洞，并把它與一個有效載荷相結合的過程就是武器構造。

• 載荷投遞階段：一旦攻擊者收集到足夠的信息來制造攻擊，下一個殺傷鏈階段就是載荷投遞。載荷投遞的關鍵是它是否能夠簡化將有效載荷傳送給受害者。這種簡單性掩蓋了這個階段的重要性。載荷投遞是攻擊者對受害者的第一個活躍階段，雖然之前的兩個階段也可以處于活躍狀態，但這個階段是攻擊者必須活躍的，這意味著載荷投遞階段是受害者獲取IOC指標的保證。

• 漏洞利用階段：在載荷投遞階段，攻擊者沒有直接與目標進行互動，并沒有控制任何目標系統。即使在釣魚郵件攻擊的場景下，安全措施也有可能將其成功阻斷，并沒有真正實現漏洞利用。漏洞利用則是攻擊者獲得代碼執行控制權限，并開始執行自己的代碼。

• 后門安裝階段：攻擊者一旦執行完惡意代碼，他們的第一步就是鞏固自己的成果。“Lockheed Martin Kill Chain”文章中的描述如下“在受害者系統上安裝遠程訪問的特洛伊木馬程序或后門程序，使得攻擊者能夠在該環境中保持持久化。”這是攻擊者在這個階段所做的，我們將這些行為分為系統持久化和網絡持久化。（在多數情況下，攻擊者會同時執行這兩個操作，但分開考慮會有助于理解。）

• 命令與控制階段：一旦攻擊者建立了持久性，尤其是如果他們使用了RAT方法，他們需要一種發送命令的方法。通信可以有多種方法，使用各種不同類型渠道。過去，許多惡意軟件，尤其是分布式拒絕服務（DDoS）工具，通過IRC頻道或HTTP呼叫加入攻擊者控制下的服務器進行通信。

回答所涉及的環境：聯想天逸510S、Windows 10。