网络攻击是如何运作的—一份完整的列表 ( 2 )

作者：PAUL CUCU

译者：java达人

来源：https://heimdalsecurity.com/blog/cyber-attack/（点击阅读原文前往）

译文最后将介绍本人安全强迫症

技术攻击

这类攻击通常针对网络基础设施，如数据库、DNS、过时的软件及其他类似的技术。

恶意广告

恶意广告指通过网络广告传播恶意软件，攻击者既可以用恶意代码感染已经存在的合法广告，也可以放置自己受病毒感染的广告。

恶意广告对恶意黑客来说是非常有利的，因为他不需要担心如何传播恶意软件。广告网络做了所有的艰苦工作，使成千上万的用户暴露在恶意软件中。

最重要的是，它很难被检测，并且可以绕过防火墙，避开其他用户安全措施。

DNS攻击

通常情况下，网页地址是用数字而不是文字来存储的。这些数字被称为IP地址。

为了让这些IP地址更容易记住，这些IP地址被翻译成字母和名字。

从IP地址到域名的转换都是在域名服务器上进行的，缩写为DNS。信息也存储在那里。

在DNS劫持过程中，一个在线攻击者将会覆盖您的计算机的ip设置，从而使DNS转换被修改。

例如，“cnn.com”输入会转换为这个IP:157.166.226.26。DNS劫机者将改变转换，使“cnn.com”向你发送其他网站的IP地址。

URL注入

在一个URL注入过程中，恶意黑客通过在其中创建新页面来感染一个网站。

这些页面依次包含恶意链接、垃圾信息，甚至恶意代码，这些代码迫使页面访问者成为DDoS攻击的一部分，或者将它们重定向到另一个网站。

恶意黑客可以做一个URL注入，这要归咎于IT基础设施的缺陷，比如WordPress插件或者任何其他类型的HTML代码。

洪流攻击

洪流描述了在DDoS攻击中使用的技术，攻击者向目标发送大量信息，阻止其处理任何其他信息。

根据他们使用的攻击矢量，洪流攻击可以分为以下几点:

用户数据报协议(UDP)洪流。UDP负责在计算机之间发送所谓的数据包。

HTTP洪流的工作是大量使用网站的GET功能，它为浏览器和创建内容的POST函数返回信息。洪流迫使服务器网站只关注这些功能，并减弱其他方面的处理能力。

被动攻击

被动攻击的目的是获取你的信息，同时限制对你的系统造成其他类型的伤害，这样你就不会怀疑脑有什么问题。

这是一个被动攻击的例子

(https://heimdalsecurity.com/blog/security-alert-teamspy-turn-teamviewer-into-spying-tool/)

DoS / DDoS攻击

(分布式)拒绝服务的简称，这种类型的网络攻击试图破坏用户或服务的互联网使用，通过大量的登录尝试或泛滥的流量访问等来破坏它的连接。

与DoS攻击不同，DDoS依赖于大量可以同时攻击目标的设备，因此得名“分布式”，因为攻击者的资源分布在许多计算机或其他设备上。

大多数涉及DDoS攻击的案例都涉及到一个僵尸网络，该僵尸网络拥有足够数量的被控制的设备，能够发起联合攻击。

这是一个僵尸网络攻击的例子，它依赖于数以百万计的被控制的物联网设备。

(https://www.wired.com/2016/12/botnet-broke-internet-isnt-going-away/)

网页丑化

就像这个名字所暗示的那样，一个恶意的黑客或组织将会进入一个网站并改变它的外观以发送信息或者警告网站的主人。

比较高调的网络攻击者像Anonymous黑客组织，他们设法侵入了伊斯兰国家的网站，用伟哥广告取代了它。

网络破坏

网络破坏主要关注的是公司、企业和国家，而不是个人用户。

在大多数情况下，攻击者或黑客组织将目标锁定在受害者因特网基础设施的一个重要部分。首要目标如国家电力网或有关军事设施的数据。

可能最著名和最具破坏性的网络战争破坏是针对伊朗核计划的Stuxnet蠕虫病毒。

这一蠕虫是专门针对用于伊朗核电厂铀浓缩的西门子离心机而设计的。通过修改旋转模式，Stuxnet能够摧毁大量的离心机，并将伊朗的核计划推迟数年。

Wi-Fi 嗅探

窥探他人的流量是恶意黑客经常使用的一种技术，目的是获取目标的数据。嗅探的主要目标是无线网络路由器或wi-fi。特别脆弱的wi-fi是使用简单的WEP或WPA加密的，而不是标准的WPA2。

暴力/字典攻击很容易破解wep/wpa加密的密码，外加使用专用的嗅探软件或硬件工具，恶意黑客可以看到通过路由器的流量，或者他可以将所有流量重定向到他自己的克隆wifi。

嗅探经过无线网络发送的流量，让黑客对用户的网络活动进行完整、实时的查看。这就暴露了密码、电子邮件账户和其他类似的信息。

这里有一个更深入的指南，告诉你如何保护自己不受到来自公共 Wi-Fi 的攻击。

(https://heimdalsecurity.com/blog/11-security-steps-public-wi-fi-networks/)

高级持续性威胁，也就是APTs

有时，恶意黑客组织想要做的不仅仅是一次性攻击。在政府、公司甚至是高价值个人的IT系统中，长期的渗透可以带来更多的信息和掌控。

这些类型的渗透被称为高级持续性威胁，使用rootkit、木马、零时差攻击。为了成功地渗透到政府或金融基础设施等高价值目标，恶意黑客甚至可能开发出他们自己的、专门的恶意软件。

信用卡浏览

一种使用专门的读卡器来获取某人的信用卡/借记卡信息的技术。

在大多数情况下，读卡器被放置在一个合法的银行ATM或类似的设备上，并存储每一张它扫描的卡片的磁化数据。

之后，骗子将磁化数据印在空白卡片上。到那时，只需用他自己的信用卡/借记卡数据来清空受害者的银行账户余额。

中间人攻击

通常，Internet通信发生在两方之间，即发送方和接收方。

在中间人攻击过程中，恶意黑客会把自己放置在你的设备和你正在交流的网站或应用之间。这样，他就可以访问您的入站流量和出站流量。

在实践中，这使恶意黑客可以看到你在互联网上所做的一切，比如密码、浏览历史、信用卡信息、电子邮件账户，不一而足。

域欺骗攻击可以针对单个用户使用网络钓鱼电子邮件，或者他可能会使DNS(域名系统)服务器中毒。

通过使DNS系统中毒，恶意黑客可以将DNS服务器上的一个或多个地址重定向到他所选择的其他任何网站。

域欺骗

一种旨在收集重要数据的攻击，如密码、信用卡数据、电子邮件和其他此类信息。

攻击者将首先找到一种方法，将流量从合法的web页面转移到他所控制的虚假页面。如果这个虚假的网页包含表单，那么受害者将会无意中填写他所有的私人信息。

针对个人用户和DNS服务器的攻击目标。当攻击用户时，恶意黑客会发送一个钓鱼电子邮件，修改用户的文件，以便将他从a站点转到b站点。

DNS攻击，或者说投毒，攻击的是服务器主机域名。这使得网络犯罪分子可以将数据库中任何网站的流量转移到他所选择的另一个网站上。

重放攻击

通过重用网站用来识别你的信息，恶意黑客可以骗过网站或服务，使他们可以访问你的账户。

例如，为了登录一个使用Facebook的网站，这个社交网站会向你的站点发送一系列信息，以确认真正要登录的人是你。

如果恶意黑客能够找到并重用那串信息，他理论上可以利用它欺骗网站，让它以为是你本人，从而在这个网站上获取使用你的账号。

远程访问

远程访问指的是任何类型的攻击，在这种攻击中，恶意黑客通过使用他自己独立的PC来控制您的PC。

远程访问攻击是通过在以前的攻击中感染您的PC的rootkit和类似的恶意软件来实现的。它们将创建后门，使黑客可以控制你。

欺骗攻击

在欺骗攻击中，恶意黑客试图伪装成另一个用户或网络设备，以欺骗受害者放宽他们的防御。欺骗有多种变体，这取决于所使用的身份识别方法:电子邮件、DNS或IP地址欺骗。

在电子邮件欺骗中，攻击者会在“From”部分伪造电子邮件，让它看起来像是从你的老板或爱人那儿收到的邮件。

IP地址欺骗将创建一个伪造的因特网协议地址，然后用它来隐藏自己的计算机实体，或者模拟别人的PC。下面是关于StackExchange的一段有趣的对话，讨论了IP欺骗的局限性。

(https://security.stackexchange.com/questions/55279/how-easy-is-it-really-to-do-ip-spoofing)

漏洞利用

即使是最好的软件也有它的缺陷，只要有可能，恶意黑客就会无情地利用它。

幸运的是，软件漏洞经常被更新打补丁。因为这个原因，“更新你的软件！！！”和“使用强密码！！！”“不要点击那个！！！”一起，成为最常见的网络安全建议之一。

缓冲区溢出

当软件或程序试图在一个临时存储空间中，即所谓的内存缓冲区中存储更多的数据时，缓冲区溢出就会发生。多余的数据会溢出到内存的其他部分，覆盖相邻的内存。

缓冲区溢出经常被用来覆盖包含可执行代码区域的数据。现有代码会被恶意代码覆盖。如果攻击成功，恶意黑客就可以完全控制该设备。

代码注入

一种经常使用的黑客技术，攻击者利用软件中的漏洞来在程序中注入代码。程序执行该代码，生成攻击者想要的结果，例如关闭设备，控制它或任何其他类型的恶意意图。

跨站脚本(XSS)

也被称为XSS攻击，跨站点脚本需要黑帽黑客将恶意代码注入到一个可信任的web页面中。一旦用户执行某个操作(比如评论)，那么web页面中的恶意代码就会开始运行，从而影响到用户本身。

恶意黑客通过利用页面代码中的漏洞或者安装的web插件来感染web页面。

零日攻击

零日攻击是一种可怕的情景，攻击者在一个软件中发现了一个未修补的漏洞(甚至连它的制造者都不知道)，然后就开始充分利用它。

为了让用户避免遭到零日攻击，他必须避免使用易受攻击的程序，或者等待开发人员发布软件更新。

例如，恶意黑客在几年前的Sony Entertainment黑客攻击中使用了零日漏洞。

浏览器劫持

浏览器劫持者并不瞄准网站及其他类型的基础设施，而是追踪单个用户。通过利用浏览器中的漏洞，恶意黑客可以用adware感染一个用户，或者将他的流量重定向到他自己选择的网页。

Time of check 到 time of use之间的漏洞

为了在网上做一些特别的事情，比如在Facebook上发布，你需要经历两阶段的过程。

第一步是“time of check”。这意味着Facebook必须首先验证你是否可以执行操作。在大多数情况下，验证意味着您必须登录到社交网络中。

第二步是“time of use”，在我们的例子中，这是实际在Facebook上发布的过程。

两者之间的漏洞可以让恶意黑客绕过“验证时间”，直接进入“使用时间”。

想象一下下面的场景:你的Facebook登录信息被入侵，恶意黑客登录你的账户并开始使用它。你马上就会发现它，并且改变你的帐户的电子邮件和密码。

即使你改变了“time of use”的设置，恶意黑客仍然处于“使用时间”阶段，通过给同事发送你原本打算发送给爱人的穿着睡衣的尴尬照片来扰乱你的社交媒体生活。

特权提升

作为安全特性，计算机有几个内置的安全层，通常被称为“环”:

1. 最上面的环是游戏、Word、Excel等驻留应用程序。
2. 中间环控制设备驱动程序，如图形和声音卡。
3. 底层的环，也是最深层次的，是内核，可以控制启动过程和PC上的其他任何东西。

特权升级攻击允许恶意黑客利用软件中的一个漏洞，使他能够访问计算机的其他部分。例如，他可能会在图形驱动程序中发现一个漏洞，这使得他可以通过访问权限链来获得更大范围的设备控制权。

供应链的攻击

公司依靠其他公司为他们提供经营业务所需的资源。

这就产生了供应链，即每家公司为最终产品提供一个组件。

网络犯罪分子最终可能会通过损害供应链中的其中一家公司，从而侵入最终产品。

例如，如果恶意黑客使用rootkit感染了某个制造商生产的所有硬盘驱动器，那么攻击就会自动感染所有安装这些硬盘驱动器的pc。

登录攻击

网络罪犯们希望能访问你的账户和密码，尤其是电子邮件帐户，因为他们可以使用这些帐户来控制其他相关的认证。

下文展示了恶意黑客如何侵入你的登录认证。

(https://heimdalsecurity.com/blog/hack-facebook-instagram-snapchat-password/)

暴力攻击

密码猜测攻击，包括在登录屏幕上尝试大量的密码，直到攻击者找到正确的密码。

暴力攻击可以在几个小时或几天内猜出一个只有8个或更少字符的弱密码。添加几个特殊的字符，并使其长度超过10个字符，将会极大地增加破解时间，需要几十年甚至几个世纪才能破解。

字典攻击

与暴力攻击相似，只是攻击者针对你可能在密码中包含的某些字母或单词，在他的软件中作了配置。

例如，如果你是一个披萨爱好者，他可能会指示软件首先尝试包含“披萨饼”或“威克披萨”之类单词的密码组合。

OAuth利用

OAuth是在 “Facebook登陆”或“Google登陆”按钮中使用的技术。在大多数情况下，OAuth是一种非常安全的登录协议，但是许多应用程序开发人员在实现它时做的很差。

通常情况下，当你按下“登录Facebook”按钮时，该应用会问Facebook“这家伙是合法的吗?”然后，它就会回答“是的，他是，让他过去”。

然而，许多应用程序想缩短你真正开始使用它之前所花费的时间，所以它们跳过了Facebook验证你的那部分，让你立即登陆。这使得恶意黑客可以操纵登录过程，并取得对你账户的访问权。

恶意内容

恶意黑客不喜欢用恶意软件感染你。相反，他们想让你心甘情愿地给他们钱。

垃圾邮件

电子邮件是大生意。即使在今天，大多数营销人员都认为电子邮件列表是最好的赚钱工具，比社交媒体网络或网站上的原始网络流量要多。

一些不道德的营销人员(有时被称为黑帽营销人员)绕过了建立合法电子邮件列表的过程，他们购买或租用了一个合法的电子邮件列表，然后用他们从未注册过的促销邮件给用户发送邮件。

垃圾邮件也是恶意软件感染和钓鱼活动的主要来源。对于一个垃圾邮件发送者来说，把他的邮件发送到某个国家并找到电子邮件服务是很容易的。

下面可以更深入地了解垃圾邮件的运作，并解释了垃圾邮件为什么不会很快消失。

(https://heimdalsecurity.com/blog/analysis-how-malware-creators-use-spam-to-maximize-their-impact/)

仇恨言论/网络欺凌

一些暴力内容中心散布恐惧，煽动暴力。种族主义言论、恐同、宗教原教旨主义都属于仇恨言论，因为它们煽动读者去做他原本不愿做的事情。

不良信息通过许多渠道传播:电子邮件、博客、社交媒体账户甚至是广告。

网络欺凌也是如此，攻击者试图羞辱受害者，勒索他们，或者批评他们的缺陷。网络欺凌对受害者产生实在的影响，有无数的人被逼自杀。

儿童色情和其他类型的暴力或色情内容

黑暗网络的存在的一个主要原因是传播和出售那些不合法的内容。

儿童色情作品可能排在榜单的首位，此外还有其他暴力行为的视频。

谁是发动网络攻击的人?

绝大多数的网络犯罪集团为了赚钱而发动网络攻击。但是，也有其他一些群体对赚钱不感兴趣。

国家赞助的黑客

在不断争夺地缘政治力量的战斗中，网络攻击是国家武器库中最受欢迎的工具。与派遣坦克和士兵相比，网络入侵是一个更干净、更安静的过程，同时还能带来实实在在的成果。

其中一次最引人注目的国家赞助的黑客攻击是我们之前提到过的Stuxnet蠕虫病毒。没有人能最终确定感染源的来源，但大多数分析人士称，美国和以色列联合制造了Stuxnet。

黑客行动主义者

一些黑客对金钱不感兴趣，也不为政府工作。相反，他们寻求推进社会事业或使命，并不耻于入侵他们认为阻碍他们的政府或组织。

其中原因各不相同。大多数的黑客组织声称要保护言论自由、民主和透明。

最知名的黑客组织之一是Anonymous，一个松散的组织，反对更严格的版权法、儿童色情和各种公司组织。

网络犯罪

到目前为止，最大的恶意黑客组织。网络犯罪分子试图通过使用上述任何一种恶意手段来迅速获利。

通常，网络罪犯会专门从事诸如垃圾邮件、网络钓鱼、登录攻击等方面的工作。

另一件需要考虑的事情是，恶意黑客并不真的像独狼一样操作。有一个所谓的“恶意软件经济”，网络罪犯买卖和销售黑客工具，泄露的电子邮件数据库，电话号码，甚至提供DDoS服务。

结论

互联网掀起了一股巨大的创新浪潮，让我们的生活变得更加轻松。不幸的是，犯罪分子往往以同样的速度、甚至更快的速度进行创新，用更新颖、更强大的方式来抢走你辛苦赚来的钱，或者控制你的信息。幸运的是，你可以采取多种措施来避免这些攻击

(https://heimdalsecurity.com/blog/security-guides/)。