SOC第二防禦階段-理解威脅基本情況

在SOC第一防禦階段中，我們對攻擊鏈有了最基本的了解並知道了採取必要的步驟來打破攻擊鏈。現在我們進入SOC第二防禦階段，提升保護企業安全的水平。

早些年，當我們談到「病毒」時，通常都是指「exe」可執行程序和一些彈窗。大部分的病毒都是由腳本小子創建的，他們不會對任何PC造成太大的損害。但是現在，這些惡意軟體可不是腳本小子寫的，而是有的公司為了盈利而開發的，每個惡意軟體的背後都是有特定的目的和計劃安排的。

惡意軟體系列分為病毒/蠕蟲/PUP/間諜軟體/廣告軟體/多態病毒/FakeAV/屏幕保護程序病毒。其實這些都沒有什麼太大的危害，也沒有什麼商業目的和動機。

但是現在，惡意軟體系列變得十分龐大而且更加廣泛，具有獨特的編碼方式，這些惡意軟體具有內置的下載功能，能夠進一步下載惡意代碼，竊取數據，與外部伺服器通信，數據擦除，加密文件等等。這些惡意軟體都是有計劃有組織的創建的，而且是以營利為目的。

現代的惡意軟體系列分為，木馬/Rootkit/Bot/Botnet/POS惡意軟體/ARM惡意軟體/勒索軟體/Cryptomining惡意軟體/Spybot蠕蟲/Wiper/CNC木馬/Exploit kit/瀏覽器劫持/憑證竊取器/RAT/WMI後門/萬能鑰匙/鍵盤記錄儀等。

因此，了解現代的威脅對每個SOC團隊來說都是必須且至關重要的。了解威脅概況在SOC監控中更加重要。SOC人員應該知道他們正在處理的威脅是什麼，了解各種威脅的行為，能夠區分威脅模式，知道黑客社區發布的新變種，SOC團隊還應該知道如何在不影響和中斷業務的情況下處理威脅。威脅概況是網路罪犯使用的惡意軟體/腳本/脆弱的濫用應用程序/網路和Windows工件的類型，用來對你的企業發起網路攻擊。

這些功能可以劃分為：

·1. 初始訪問--攻擊者用來在網路上獲取初始據點

·2. 執行--執行本地或遠程系統中由攻擊者控制的代碼。這種策略通常與初始訪問共同使用，一旦獲得訪問許可權就執行代碼，然後進行橫向滲透，擴大對網路上遠程系統的訪問許可權。

·3. 持久性--持久性是對系統的任意訪問，操作和配置修改，讓攻擊者能夠持久訪問系統。攻擊者通常需要在訪問中斷時維持對系統的訪問，比如系統重啟，憑證丟失，或者其他故障，這就需要一個遠程訪問工具來重啟或者替換後門來重新獲取訪問許可權。

·4. 提權--提權是攻擊者獲得對系統或者網路更高許可權行為的結果。很多工具和行為需要更高的許可權才能運行，而且在操作的整個過程中，很多地方都是需要高許可權的。攻擊者可以進入一個沒有特權訪問的系統，然後充分利用系統漏洞來獲取本地管理員或者系統/root許可權。

·5. 防禦繞過--防禦繞過包含攻擊這可能用來繞過檢測或其他防禦的一些技術。有時，這些技術與其他類別的技術相同，或者有些變化，這些技術的額外優勢就是能夠繞過特定的防禦和緩解措施。

·6. 憑據訪問--憑據訪問技術指的是能夠導致訪問或者控制企業環境中的系統，域或者服務憑證的技術。攻擊者可能會從用戶或者管理員賬戶(本地系統管理員或者具有管理員許可權的域用戶)獲取合法憑證，以便在通過網路進行使用。

·7. 發現--發現技術包含了讓攻擊者能夠了解系統和內網知識的技術。當攻擊者獲得了一個新系統的訪問許可權，他們必須進行自我定位，目前所能訪問和控制的內容，以及在入侵期間，系統操作能夠為當前目的或者整體目標帶來什麼有利之處。

·8. 橫向滲透--橫向滲透技術能夠讓攻擊者訪問和控制網路和雲上的遠程系統，也有可能包括在遠程系統上執行工具，但不一定。通過橫向移動技術，攻擊者可以不需要外部工具，如遠程控制工具，就能夠收集系統的信息。

·9. 收集--收集技術包括在數據泄露之前從目標網路中識別和收集信息，比如敏感文件。這類技術還包括系統或網路的位置，攻擊者可能會從這些位置來查找要竊取的信息。

·10. 命令和控制--命令和控制技術指的是攻擊者如何與目標網路中他們控制的系統進行通信。根據系統配置和網路拓撲，攻擊者有多種方式可以建立各種隱蔽級別的命令與控制通道。對於攻擊者而言，由於網路上的各種惡意軟體變種非常廣泛，因此只有最常見的因素來描述命令和控制的差異。

我們來看一下惡意軟體系列的變種，這些變種導致出現了更多的攻擊方式。下面這個列表並不完整，只是已經公布的惡意軟體變種的一些樣本：

總結

我們應該擔心和關注惡意軟體和他們的行為。因為現代惡意軟體具有一些特定的方式來傳播更複雜的命令結構來達到進一步的隱蔽性。你遇到的每一個惡意軟體，都不僅僅只是你們企業AV(反病毒軟體)團隊的責任，而是整個SOC的核心責任，去了解惡意軟體的行為和它們入侵你們網路的能力 。惡意軟體並不是單獨出現，在大多數情況下，它們都是互相合作來達到它們的目的。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！