调查研究/探测/网络扫描/漏洞挖掘/社会工程学

准备攻击工具,如木马/后门/蠕虫等病毒, 攻击负载等

直接渗透

间接:钓鱼

社工

漏洞利用

诱惑用户点击

本地代码执行

创建局点

内部扩散

自动的重复上面几步

控制服务器通信, 接收指令

破坏

数据窃取

DDoS

垃圾邮件

挖矿

内部扩散(自动)

准确识别目标，收集目标详细信息，比如网络、邮箱、员工、社会关系、对外提供服务、漏洞信息等，为后续攻击做准备。

突破边界防护，获取跳板，通过各种手段突破边界，如应用攻击、邮件钓鱼、水坑攻击、U盘摆渡等，开始进入真正的攻击阶段。

步步为营，以被控服务器为跳板，综合利用各种漏洞和攻击手段获取内网其他服务器权限，渗入受限制区域，逐步抵达精确目标服务区。

精确打击，根据攻击目的对目标实施打击，如释放勒索病毒、挖矿木马、窃取资料、恶意破坏等。

常见信息收集内容

公司基本信息收集

邮箱收集

员工信息收集

子域名信息

对外提供服务的应用

可能被利用的漏洞

已经泄露的公司内部信息

攻击者运用ICMP报文探测目标地址，或者使用TCP/UDP报文对一定地址发起连接，通过判断是否有应答报文，以确定哪些目标系统确实存活着并且连接在目标网络上。

攻击者通过对端口进行扫描探寻被攻击对象目前开放的端口，以确定攻击方式。在端口扫描攻击中，攻击者通常使用Port Scan攻击软件，发起一系列TCP/UDP连接，根据应答报文判断主机是否使用这些端口提供服务。

Superscan

Nmap

通过模拟想应用发送请求，分析web应用响应载荷，从而发现安全问题及架构缺席。

Burp Suite

通过漏洞扫描工具，发现系统及应用、主机等存在的漏洞。

Sparta

Tracert报文攻击

带路由记录项的IP报文攻击

带源路由选项的IP报文攻击

带时间戳选项的IP报文攻击

钓鱼攻击是指利用伪造、欺骗、社工等手段获取被害人信任以实施进一步攻击的手段。多用作边界突破的手段，且在APT攻击中出现频率较高

rdp、smb 、ftp 、ssh、http 、ldap 、pop3 、redis、snmp 、telnet 、vnc

常用漏洞编号：

ms06-040

ms08-067

ms10-087

ms11-021

ms12-020

ms17-010

cve-2017-8750

cve-2017-11882

木马程序

蠕虫病毒

脚本病毒

文件型病毒

破坏性程序和宏病毒

常见攻击：

APT包含三个要素：高级、长期、威胁。

SA（Service Awareness）是一种通过对IP报文进行分析的方式判断出IP报文所属的应用的技术，并将所有协议识别的规则汇总形成SA-SDB。SA-SDB和SAEngine配套使用对网络中的流量进行协议识别，设备根据识别的结果对网络流量进行分析，可生成流量报表或对流量进行相应的控制策略，如放行、限流和阻断等；是安全、内容检测、内容计费、业务控制等业务的基础。

Step 1: (Deliver & Exploit) 黑客入侵,进入网络, 控制肉鸡;  方法: 可以利用漏洞/恶意软件(钓鱼、垃圾邮件等)等

Step 2: 黑客在C&C服务器发布指令

Step 3: (Command & Control) 受害者(失陷主机)和C&C服务器进行通信（HTTP、IRC、TCP等）, 获取下一步的指令（DDoS、点击欺诈、键盘记录、发送垃圾邮件、窃取敏感信息、挖矿、横向扩散等）

Step 4: 攻击目标