2.3　收获阶段

从近年来的信息安全攻击案例分析来看，攻击者入侵的目的越来越呈现出一种趋利性，毫无目的的炫耀性攻击行为已然很少了，取而代之的是更多以商业利益、政治为目的的针对性攻击，针对金融行业的攻击目的大多都为前者。因此在攻击者入侵成功后，通常会为达到预先设定的目的[7]，开始动手“收获”。

2.3.1　潜伏等待时机

高明的攻击者在攻击阶段结束后，如果并未达到自己的预期，他们有足够的耐心等待，直至获取自己想要的情报。潜伏性是APT攻击的一个高级特性，在很多震惊安全界的攻击案例中，攻击者往往潜伏至少数月乃至数年。

著名的超级工厂病毒攻击为人所知主要源于2010年伊朗布什尔核电站遭到Stuxnet蠕虫攻击的事件曝光。遭遇超级工厂病毒攻击的核电站计算机系统实际上是与外界物理隔离的，理论上不会遭遇外界攻击。坚固的堡垒只有从内部才能被攻破，超级工厂病毒也正充分地利用了这一点。超级工厂病毒的攻击者并没有广泛地传播病毒，而是针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染攻击，以此为第一道攻击跳板，进一步感染相关人员的移动设备，病毒以移动设备为桥梁进入“堡垒”内部，随即潜伏下来。病毒很有耐心地逐步扩散，一点一点地进行破坏。这是一次十分成功的APT攻击，而其最为恐怖的地方就在于极为巧妙地控制了攻击范围，攻击十分精准。

潜伏等待时机的前提是攻击者已经有计划地主动在目标某处设置了陷阱或者通过技术和非技术手段获得对应漏洞以待一举攻破系统。

常规情况下，在潜伏期间攻击者一般存在下列行为：

1. 传播

攻击者向工作人员发送恶意邮件、信息，邮件和信息包含一些木马病毒，并通过木马病毒控制目标工作人员个人电脑（PC）、工作机、手机等设备，通过钓鱼方式获取目标账号密码、IP信息、个人敏感信息、PC或者移动设备信息、第三方敏感信息。

2. 后门

攻击者通过在已拥有权限的应用或者主机中安装后门，例如键盘记录、摄像头监控，方便维持控制已拥有权限。

3. 内网嗅探

攻击者可通过内网嗅探方式尝试获取内网环境中明文或弱密文传输的系统用户名及其密码。

4. 网络信息收集

攻击者在内网进行网络信息的进一步收集，一般针对以下信息：

• 主机信息：主要包括操作系统信息、主机名称、本地用户名等
• 网络信息：主要包括IP地址、网关信息等
• 应用程序信息：主要包括Microsoft Office和Microsoft Internet Explorer版本信息
• 其他：包括磁盘信息、当前进程信息等

5. 购买或挖掘相关漏洞

攻击者通过挖掘目标服务器、应用、中间件漏洞，或是查找管理漏洞通过Tor网络等相关场所购买对应漏洞。

2.3.2　窃取价值数据

企业的核心价值数据一般蕴含于海量数据之中，想要通过远程渗透方式准确定位并找出目标价值数据，难度相当大。当然，攻击者也不会考虑将数据全部“送”出来，因为这样既会耗费大量的时间，同时也会占用目标系统大量的网络资源，触动目标监控阈值告警，引起目标人员警觉，容易暴露。

为了达到目的，以尽可能低的代价窃取到最精准的价值数据，攻击者通常会选择目标内部的一台并不起眼的服务器资源作为“数据中转站”，将渗透获取到的分散数据错峰发送给中转站，由中转站进行过滤筛选，将可能有价值的数据进行加密并分段打包，通过目标系统内的后门程序，与攻击者部署的用来收集价值数据的服务器之间建立隐秘通道，进行数据传出，通常这条隐秘通道会使用HTTPS这种常见的、加密的协议，这样既不会引起目标人员注意又能使得安全分析设备无法识别传输内容。

当这些数据被传出后，攻击者会进一步对其筛选与提取，最终成功窃取到目标价值数据，以达到其攻击目的，获得利益报酬。

从上节的潜伏动机可以看到其潜伏目的为权限及信息数据，其窃取的有价值信息一般情况下包括以下几个部分：

• 数据库类信息：例如mdb、mdf、myd、DB、DBF、wdb等
• 文档类信息：例如doc、docx、ppt、pptx、xls、pdf、txt、rtf、wps、et、dps等
• 设计图类信息：例如dwg、vsd、jpg、png等
• 压缩包类信息：例如rar、zip、tar.gz、7z等
• 邮件类信息：例如eml
• 其他信息：例如录音、拍照、录像、通话记录、通信录、手机基本信息、地理位置信息

2.3.3　价值拓展

信息安全攻击收获完成，攻击者的目的就已达成，通常攻击者会选择攻击退出，进行扫尾清理工作。但也有攻击者会继续驻留在目标企业内部，拓展攻击价值，最大化攻击成果，例如可以伺机寻求进一步的有用信息，或者是转变目标系统为其所用。

1. 掠夺敏感信息

驻留于目标系统内的后门会继续时刻保持与攻击者服务器的隐秘通信，在防御体系不健全的目标企业中，攻击者会进一步行动，提升权限获得系统更多的控制权，例如攻击者可感染监控系统获取音视频资源，入侵门禁系统获取人资情报，查找共享目录、源代码库或是备份系统等，这些数据和情报并非本次攻击目标的价值数据，但对攻击者来说可能会成为其下次攻击的利用素材，或是可被直接变现的资源。

2. 僵尸网络

攻击者亦可以使用已经感染恶意代码的系统，利用同样的口令破解漏洞等方式感染到非核心区域的系统，并且利用横向渗透，逐渐感染同网段内存在漏洞或安全隐患的系统，将其组织成僵尸网络（Botnet），统一受攻击者部署的控制节点调用，这样受感染的节点即成为可被攻击者操控的“肉鸡”，在需要时被攻击者远程唤醒，实施其他方面的网络犯罪活动，构建能为攻击者所用的“僵尸网络”。

“僵尸网络”是指攻击者利用某种手段获取大量集群权限后将肉鸡集中在某个控制程序上，以便发起下一步攻击，比如DoS攻击、恶意邮件、秘密窃取信息、滥用资源、挖矿等。常见的“僵尸网络”攻击工作过程包括传播、加入和控制三个阶段。

（1）传播阶段。一个有效的“僵尸网络”首先需要的是具有一定规模的被控计算机（通常被称作“肉鸡”），而这个规模是逐渐随着采用某种或某几种传播手段的僵尸程序的扩散而形成的，在这个传播过程中有如下几种手段：

1）主动攻击漏洞。其原理是通过攻击系统存在的漏洞获得访问权，并在Shellcode执行bot程序注入代码，将被攻击系统感染成为僵尸主机。属于此类的最基本的感染途径是攻击者手动地利用一系列黑客工具和脚本进行攻击，获得权限后下载bot程序执行。攻击者还会将僵尸程序和蠕虫技术进行结合，从而使bot程序能够进行自动传播，著名的bot样本AgoBot就是实现了bot程序的自动传播。

2）邮件病毒。bot程序还会通过发送大量的邮件病毒传播自身，通常表现为在邮件附件中携带僵尸程序以及在邮件内容中包含下载执行bot程序的链接，并通过一系列社会工程学的技巧诱使接收者执行附件或点击链接，或是通过利用邮件客户端的漏洞自动执行，从而使得接收者主机被感染成为僵尸主机。

3）即时通信软件。利用即时通信软件向好友列表中的好友发送执行僵尸程序的链接，并通过社会工程学技巧诱骗其点击，从而进行感染，如2005年初爆发的MSN病毒采用的就是这种方式。

4）恶意网站脚本。攻击者在提供Web服务的网站中在HTML界面上绑定恶意的脚本，当访问者访问这些网站时就会执行恶意脚本，将bot程序下载到主机上，并被自动执行。

5）特洛伊木马。伪装成有用的软件，在网站、FTP服务器、P2P网络中提供、诱骗用户下载并执行。

通过以上几种传播手段可以看出，在僵尸网络的形成中传播方式与蠕虫和病毒以及功能复杂的间谍软件很相近。

（2）加入阶段。在加入阶段，每一个被感染的主机都会随着隐藏在自身上的bot程序的发作而加入到僵尸网络中去，加入的方式根据控制方式和通信协议的不同而有所不同。在基于IRC协议的僵尸网络中，感染bot程序的主机会登录到指定的服务器和频道中去，在登录成功后，在频道中等待控制者发来的恶意指令。

（3）控制阶段。在控制阶段，攻击者通过中心服务器发送预先定义好的控制指令，让被感染主机执行恶意行为，如发起DDoS攻击、窃取主机敏感信息、完成自我更新等。