国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　在上一篇文章中《APT報復(fù)打擊背后的奧秘:報復(fù)打擊性質(zhì)及特點闡發(fā)》，我們介紹了APT報復(fù)打擊的性質(zhì)及特點。本篇文章，我們將介紹APT報復(fù)打擊前的"敵情"窺伺。"敵情"窺伺是APT報復(fù)打擊的第一步，報復(fù)打擊者經(jīng)由過程這個步調(diào)肯定其方針和報復(fù)打擊編制。在此，我們將具體體味報復(fù)打擊者的"敵情"窺伺是如何做的。

　　小我資料：人是最虧弱的環(huán)節(jié)

　　良多時辰，導(dǎo)致企業(yè)遭到報復(fù)打擊的信息凡是是沒有獲得足夠正視和呵護(hù)的信息。這多是德律風(fēng)號碼、電子郵件目次表、文檔中的元數(shù)據(jù)，和企業(yè)高管的全名和公司成長史等。

　　此中有些信息可以經(jīng)由過程公共記實和收集搜刮找到，但有時局實并不是如斯。公開的小我或企業(yè)的信息被稱為開源諜報(OSINT)，因為任何人都可以避免費公開地獲得這些信息。標(biāo)題問題是，對大年夜大都來講，來自單一來歷的可用OSINT數(shù)量凡是很是少。

　　因為這類稀缺性，良多收集罪犯會鏈接信息，即整合良多小數(shù)據(jù)直到獲得完全信息。黑客組織Anonymous在策動報復(fù)打擊前，就是操縱“dox”來匯集關(guān)于小我或事物的信息，這些“dox”就是信息鏈。但是，不只是黑客和犯法分子，安然專家也會采取這類做法，包含法律機構(gòu)。

　　這些向公家供給的信息包含：營業(yè)陳述、新聞報導(dǎo)、企業(yè)網(wǎng)站、社交媒體賬戶(小我和專業(yè))和來自商業(yè)火伴的相干信息。

　　經(jīng)由過程這些信息，報復(fù)打擊者將體味其報復(fù)打擊方針和啟事;更首要的是，他們將知道若何報復(fù)打擊這些方針，而不需要進(jìn)行額外的布景研究。

　　談到?jīng)]有遭到呵護(hù)的數(shù)據(jù)，讓我們先看看元數(shù)據(jù)。

　　元數(shù)據(jù)：進(jìn)進(jìn)企業(yè)的隱躲的鑰匙

　　在這里，元數(shù)據(jù)是指嵌進(jìn)在文檔和圖象中的信息。我們其實不是在談?wù)撁绹?**局匯集的元數(shù)據(jù)。大年夜大都人都不知道他們上傳到網(wǎng)上的圖片不但包含圖象拍攝位置，并且還包含準(zhǔn)確的時候戳，和硬件信息。對文檔(從PDF到PPT)中的元數(shù)據(jù)，報復(fù)打擊者可以獲得軟件產(chǎn)品名稱和版本、文檔作者的名字、收集位置、IP地址等。

　　體味元數(shù)據(jù)是很首要的，因為在窺伺階段，報復(fù)打擊者匯集的第一個信息是可公開獲得的文檔。以下是操縱元數(shù)據(jù)的很好的例子。在2011年，有人代表Anonymous上傳了1.2GB torrent文件，讓良多人相信美國商會、美國立法交換委員會(ALEC)、公共政策麥基諾中間蒙受了數(shù)據(jù)泄漏。過后發(fā)現(xiàn)，這些機構(gòu)的文檔并沒有被盜竊，只是利用FOCA匯集的文檔信息。

　　在屬于美國商會的文檔集中，有194個Word文檔(.doc和.docx)、724個PDF文檔、59個PPT文檔(.ppt和.pptx)和12個Excel文檔(.xls 和 .xlsx)。 經(jīng)由過程查抄此中的元數(shù)據(jù)，發(fā)現(xiàn)了293個名稱，此中大年夜部門是收集ID。當(dāng)然只有23個電子郵件地址泄漏，但其實報復(fù)打擊者可以輕松獲得其他地址，因為良多美國商會人員的信息可以經(jīng)由過程OSINT發(fā)現(xiàn)。這些元數(shù)據(jù)還包含文件夾路徑和本地系統(tǒng)路徑和web辦事器路徑。還有共享收集打印器的位置和名稱。

　　在軟件方面，美國商會的數(shù)據(jù)中列出了超越100個軟件名稱。當(dāng)然良多軟件產(chǎn)品是在成立文檔時記實的名稱，但鑒于良多企業(yè)仍然在利用傳統(tǒng)軟件，這也是報復(fù)打擊者的貴重數(shù)據(jù)。

　　一樣首要的是IP地址，和肯定企業(yè)在運行Windows XP、Windows Server 2000和Windows Server 2003。當(dāng)然有些數(shù)據(jù)沒有更新，但大年夜量這類信息可以作為報復(fù)打擊企業(yè)的解纜點。

　　FOCA可以幫忙企業(yè)發(fā)現(xiàn)元數(shù)據(jù)，還有良多可用資本可幫忙企業(yè)治理和刪除元數(shù)據(jù)。

　　手藝信息：進(jìn)侵根本舉措措施

　　當(dāng)然報復(fù)打擊者會利用OSINT來尋覓暗藏的線索，他們也會查看方針企業(yè)網(wǎng)站利用的利用法度和腳本。報復(fù)打擊者會探測方針企業(yè)的全部收集中的縫隙，利用法度和腳本其實不是獨一的報復(fù)打擊面，它們只是最等閑獲得的線索。

　　如前所述，報復(fù)打擊者可以或許知道方針企業(yè)利用的軟件類型，還有IP地址、web辦事器規(guī)格(例如平臺版本)、虛擬主機信息和硬件類型。

　　平臺版本號碼可以幫忙員工找出存在的縫隙，當(dāng)對硬件，這些信息可以用來定位默許登錄信息。而對腳本和網(wǎng)站開辟，報復(fù)打擊者可以被動掃描***機縫隙、跨站腳本、SQL注進(jìn)和其他縫隙。

　　手藝窺伺的另外一種路子是供給鏈。良多企業(yè)常常會公開其營業(yè)合作火伴，這給報復(fù)打擊者供給了另外一個可操縱的線索。試想一下：假定代辦署理商的賬戶被攻破，這將對你的企業(yè)有何影響?

　　有時辰最好的編制就是簡單的列出信息，下面是報復(fù)打擊者在窺伺勾當(dāng)中可能尋覓的信息：

　　OSINT數(shù)據(jù)

　　▍可下載文件

　　·這為報復(fù)打擊者供給了直接的信息和匯集元數(shù)據(jù)的機緣

　　▍員工照片和企業(yè)勾當(dāng)照片

　　·這為報復(fù)打擊者供給了直接的信息和匯集元數(shù)據(jù)的機緣

　　▍人員名單和帶領(lǐng)層信息

　　·體味誰是誰，并成立企業(yè)內(nèi)部的關(guān)系

　　▍項目和產(chǎn)品數(shù)據(jù)

　　·當(dāng)搜刮報復(fù)打擊面和布景信息時很有效

　　▍B2B關(guān)系

　　·這類數(shù)據(jù)被用來成立供給鏈關(guān)系和發(fā)賣渠道以便以后縫隙操縱

　　▍員工的具體信息

　　·這包含社交媒體的小我和公共數(shù)據(jù)

　　▍軟件數(shù)據(jù)

　　·方針企業(yè)內(nèi)利用的軟件類型

　　構(gòu)建完全的小我資料

　　完全小我資料包含：全名、地址(過往和此刻)、德律風(fēng)號碼(小我和工作)、出世日期、社會安然號碼、 ISP的數(shù)據(jù)(IP地址、供給商)、用戶名、暗碼、公共記實數(shù)據(jù)(稅收、信貸汗青、法令記實)、歡愉愛好、最喜好的餐館、片子、冊本等等。

　　報復(fù)打擊者會試圖匯集所有這些信息，每次報復(fù)打擊勾當(dāng)需要的信息量都不合。但是，信息量越大年夜，報復(fù)打擊者成功的概率就越大年夜。

　　構(gòu)建完全的手藝資料

　　手藝資料信息包含：收集地圖、從元數(shù)據(jù)獲得的手藝具體信息、IP地址、可用硬件和軟件信息、把持系統(tǒng)具體信息、平臺開辟數(shù)據(jù)和驗證辦法。

　　有了這些信息，報復(fù)打擊者可以操縱小我資料數(shù)據(jù)并對準(zhǔn)辦事臺。知道ID是若何成立的可以幫忙報復(fù)打擊者體味電子郵件地址是若何成立，更便利地進(jìn)行垂釣報復(fù)打擊、猜想地址或初步溝通。報復(fù)打擊者還可以搜索把持系統(tǒng)、第三方軟件和平臺數(shù)據(jù)的縫隙或默許拜候。

　　數(shù)據(jù)匯集資本：

　　在窺伺階段，這些網(wǎng)站被用來匯集小我資料信息，每個新信息城市給報復(fù)打擊者帶來更多可操縱信息。社交媒體信息會供給名字和圖片。

　　報復(fù)打擊者知道往哪里尋覓數(shù)據(jù)。按照不合方針，報復(fù)打擊者會為信息或信息辦事付款。但是，請寄望，這其實不是周全的資本清單，只是常常會提到的資本。

　　Google (www.谷歌.com)

　　小我/企業(yè)搜刮

　　這些網(wǎng)站供給了對小我用戶、企業(yè)和二者之間聯(lián)系的公共信息。

　　Zoom Info (www.zoominfo.com)

　　PIPL (www.pipl.com)

　　Intelius (www.intelius.com)

　　Muckety (www.muckety.com)

　　其他搜刮資本

　　Web Archive (www.archive.org)

　　GeoIP (www.geoiptool.com )

　　Robtex (www.robtex.com)

　　KnowEm (www.knowem.com)

　　ImageOps (http://imgops.com)

　　SHODAN (www.shodanhq.com)

　　清算匯集的數(shù)據(jù)

　　在窺伺階段清算所有匯集到的各類信息，保舉的東西是Maltego。Maltego是一個OSINT東西，黑客、法律機構(gòu)和安然專家利用它來治理信息鏈。它供給對數(shù)據(jù)的可視化概覽，可以或許幫忙清算用戶、組織、機構(gòu)、收集信息之間的聯(lián)系關(guān)系。

　　常見東西和軟件

　　對在窺伺階段報復(fù)打擊者利用的東西，凡是很等閑獲得且易于把持，包含這些：

　　SQLMap (http://sqlmap.org)

　　BackTrack Linux (http://www.backtrack-linux.org)

　　Metasploit (http://metasploit.org)

　　總結(jié)

　　避免窺伺幾近是不成能的。你可以減緩一些報復(fù)打擊，但互聯(lián)網(wǎng)本身的性質(zhì)意味著信息會以這類或那種情勢存在，并且，最終將被報復(fù)打擊者發(fā)現(xiàn)。對減緩辦法，下面是需要考慮的工作。

　　監(jiān)控日記記實和闡發(fā)利用法度中異常下載流量岑嶺。

　　決不承諾內(nèi)部端口(內(nèi)網(wǎng))、文檔或存儲中間從收集外部拜候。經(jīng)由過程受限制IP或企業(yè)VPN和ACL政策治理對這些資本的拜候。別的，杰出的IAM(身份和拜候治理)也能夠作為不錯的防御。啟用多身分身份驗證，有效治理過時的賬戶和暗碼。

　　一樣地，監(jiān)控收集中的ICMP流量。別的，不雅察對收集子網(wǎng)的掃描。這很罕有，并且相當(dāng)較著，但這確切會產(chǎn)生。對看似隨便的端口進(jìn)行查抄。

　　對OSINT，另外一個防馭手藝是限制公開顯示的信息量;包含德律風(fēng)簿、員工名單、過于具體的人員和帶領(lǐng)介紹、項目打算、營業(yè)和渠道合作火伴和客戶名單。

　　當(dāng)然這些數(shù)據(jù)其實不是出格首要，但這些數(shù)據(jù)可以供給遍及的報復(fù)打擊面。如前所述，過濾元數(shù)據(jù)也是關(guān)頭的減緩辦法。但是，對這些數(shù)據(jù)的限制需要經(jīng)由過程風(fēng)險評估來肯定，這需要所有營業(yè)范疇的介入。

　　還要寄望標(biāo)語提取，這是報復(fù)打擊者體味企業(yè)手藝減緩常常利用的易于利用的手藝。在報復(fù)打擊者進(jìn)行窺伺后，下一個步調(diào)將是兵器化和交付。本系列的第二部門將研究這個方面和解決編制。