蓝队基础2 -- 外部威胁与攻击面

声明：
本文的学习内容来源于B站up主“泷羽sec”视频“蓝队基础之网络七层杀伤链”的公开分享，所有内容仅限于网络安全技术的交流学习，不涉及任何侵犯版权或其他侵权意图。如有任何侵权问题，请联系本人，我将立即删除相关内容。
本文旨在帮助网络安全爱好者提升自身安全技能，并严格遵守国家法律法规。任何人利用本文中的信息从事违法活动，均与本文作者和“泷羽sec”无关。请读者自觉遵纪守法，合理合法使用相关知识。

1 外部攻击面：收集与控制

在当今网络安全领域，管理外部攻击面是保护信息系统的关键一步。有效的攻击面管理包括深入的开源情报收集、网络范围映射、关键节点识别和关闭非必要节点，以此缩小可能被攻击的路径。以下是构建和维护一个可控攻击面的步骤：

1. 收集开源情报并构建网络节点图
   通过开源情报（OSINT）收集信息，为网络范围内的所有节点绘制详细地图，有助于识别可能的风险区域。关闭无用节点以缩小攻击面，保障系统的稳固性。

2. 扫描网络活动，识别关键节点
   使用工具如Nmap扫描网络，识别活跃主机。例如，使用nmap -Sn <subnet>/24可发现特定网段中的活跃节点。这一步可以确定哪些节点需要重点关注。

3. 识别并加固SSH等关键服务
   重点检查开启了SSH服务的未加固设备。通过Nmap的服务探测（nmap -PS -sV <ip-address>）获取开放服务和版本信息，以确定需要加固和修复的设备。

4. 漏洞探测与修复
   使用漏洞扫描工具（如Nessus等）查找网络中存在的漏洞。及时更新补丁和配置，减少攻击者的入侵机会。

5. 监测并追踪漏洞利用
   使用Searchsploit等工具搜索相关漏洞利用脚本，例如searchsploit <service name> <version>，以便快速了解目标服务的已知漏洞。这有助于在安全维护时跟踪潜在的威胁。

通过以上五个关键步骤，安全团队可以持续监控并降低网络攻击面，为企业信息系统建立稳固的安全防线。

2 网络杀伤链：解构网络攻击的七个阶段

网络杀伤链是一种用于理解网络攻击流程的模型，涵盖了攻击者从信息收集到实现目标的七个主要阶段。这一流程帮助安全团队预测并阻断攻击的各个步骤，提前降低风险。以下是每个阶段的详解：

1. 侦察（Reconnaissance）
   攻击者收集目标网络的基础信息，包括网络架构、设备配置、已知漏洞及用户活动等。这一阶段为后续攻击准备情报基础。

2. 武器化（Weaponization）
   攻击者根据侦察结果定制恶意工具，确保其能够针对目标系统的特定漏洞。通过这种方式，普通的恶意软件被“武器化”成能够执行攻击的工具。

3. 投送（Delivery）
   完成武器化的恶意工具通过电子邮件附件、恶意链接或受感染的移动存储设备等渠道被传送到目标系统中，打开了进入目标网络的第一步。

4. 利用（Exploitation）
   一旦攻击工具成功抵达目标，便会利用系统漏洞，执行恶意代码。这一步通常意味着攻击者获得了初步访问权限。

5. 安装（Installation）
   攻击者会在目标系统中安装恶意组件，如后门程序或远程控制工具，以维持对系统的长期控制。

6. 指挥与控制（Command & Control）
   恶意软件与攻击者的远程服务器建立联系，使攻击者能够下达指令、获取数据，并对系统进行持续控制。

7. 行动（Action）
   这是网络攻击的最终阶段。攻击者利用已建立的控制通道实施恶意活动，诸如窃取敏感信息、篡改数据或发起拒绝服务攻击等。

通过深入理解网络杀伤链的每个阶段，企业可以预见并拦截攻击流程中每个环节的风险，提升整体网络防御能力。