《通信網(wǎng)絡(luò)安全與防護(hù)》 課件 4-2 欺騙型攻擊

通信網(wǎng)絡(luò)安全與防護(hù)第四章網(wǎng)絡(luò)攻擊技術(shù)《通信網(wǎng)絡(luò)安全與防護(hù)》知識(shí)回顧網(wǎng)絡(luò)攻擊的基本流程？社會(huì)工程學(xué)攻擊利用型攻擊321口令破解緩沖區(qū)溢出知識(shí)回顧利用ICMP協(xié)議進(jìn)行掃描時(shí),以下哪一項(xiàng)目標(biāo)主機(jī)信息是可以掃描的?A.漏洞；B.弱口令；C.操作系統(tǒng)版本；D.IP地址；以下哪些是社會(huì)工程學(xué)攻擊?A.網(wǎng)絡(luò)釣魚(yú)；B.偽造電子郵件；C.打電話請(qǐng)求密碼；D.破解口令；4.1黑客與網(wǎng)絡(luò)攻擊概述4.2欺騙型攻擊4.3利用型攻擊4.4拒絕服務(wù)攻擊4.5APT教學(xué)目標(biāo)(1)掌握木馬的工作原理與工作過(guò)程;(2)熟悉SQL注入攻擊的原理與防范方法;(3)掌握DoS攻擊的常用技術(shù)，掌握DDoS的組織過(guò)程；(4)了解高級(jí)可持續(xù)威脅的基本概念、攻擊過(guò)程。口令破解緩沖區(qū)溢出攻擊木馬SQL注入主要內(nèi)容4.3利用型攻擊木馬，全稱(chēng)為特洛伊木馬（Trojanhorse），源自希臘神話中的木馬屠城記。1.定義RFC1244:ATrojanHorseprogramcanbeaprogramthatdoessomethinguseful,ormerelysomethinginteresting.Italwaysdoessomethingunexpected,likestealpasswordsorcopyfileswithoutyourknowledge。特洛伊木馬是一種程序，它能提供一些有用的，或是僅僅令人感興趣的功能。但是它還有用戶(hù)所不知道的其他功能，例如在你不了解的情況下拷貝文件或竊取你的密碼。TrojanHorse隱藏在其它程序中的破壞安全（security-breaking）的程序，如隱藏在壓縮文件或游戲程序中。－《大英百科全書(shū)》三、特洛伊木馬4.3.3特洛伊木馬是兩個(gè)網(wǎng)絡(luò)進(jìn)程，一個(gè)運(yùn)行在受害者主機(jī)上，稱(chēng)為服務(wù)端；另一個(gè)運(yùn)行在攻擊者主機(jī)上，稱(chēng)為控制端。攻擊者通過(guò)控制端與受害者服務(wù)端進(jìn)行網(wǎng)絡(luò)通信，達(dá)到遠(yuǎn)程控制或其它目的。本質(zhì)隱蔽性非授權(quán)性功能特殊性特征2.木馬的本質(zhì)與特征攻擊者（1）配置木馬受害者（2）傳播木馬（4）建立連接（5）信息竊取或遠(yuǎn)程控制絕密（3）運(yùn)行木馬4.3.3特洛伊木馬3.木馬工作流程木馬程序需要做到以下四點(diǎn)：★有一段程序執(zhí)行特殊功能；★具有某種策略使受害者接受這個(gè)程序；★該程序能夠長(zhǎng)期運(yùn)行，且程序的行為方式不會(huì)引起用戶(hù)的懷疑；★入侵者必須有某種手段回收由木馬發(fā)作而為他帶來(lái)的實(shí)際利益。－功能機(jī)制－傳播機(jī)制－啟動(dòng)機(jī)制－連接機(jī)制4.3.3特洛伊木馬4.木馬工作原理木馬功能機(jī)制遠(yuǎn)程控制口令竊取文件發(fā)送特定功能工作已經(jīng)預(yù)置在程序中，不需要控制功能在交互式操作中實(shí)現(xiàn)通過(guò)Email、ftp、MSN、ICQ等發(fā)送:如試卷大盜:如“僵尸”Bots正向連接：冰河反向連接：灰鴿子4.木馬工作原理4.3.3特洛伊木馬4.木馬工作原理木馬傳播機(jī)制

木馬的主動(dòng)攻擊傳播

網(wǎng)頁(yè)傳播

欺騙式傳播－下載、QQ、郵件附件等

病毒式傳播

文件捆綁式傳播等常見(jiàn)不常見(jiàn)[AutoRun]open=RavMon.exeshell\open=打開(kāi)(&O)shell\open\Command=RavMon.exeshell\explore=資源管理器(&X)shell\explore\Command="RavMon.exe-e"4.3.3特洛伊木馬受害者WEB服務(wù)器攻擊者h(yuǎn)ttp請(qǐng)求瀏覽頁(yè)面木馬程序木馬的網(wǎng)頁(yè)傳播JavaScriptActiveXASPPHPXML網(wǎng)頁(yè)木馬控制遠(yuǎn)程系統(tǒng)4.木馬工作原理4.3.3特洛伊木馬木馬傳播機(jī)制攻擊者受害者WEB服務(wù)器下載運(yùn)行用戶(hù)警惕性不高時(shí)相當(dāng)有效上傳木馬程序提供下載發(fā)送QQ附件或郵件附件偽裝成txt、bmp、html等文件的圖標(biāo)4.木馬工作原理4.3.3特洛伊木馬木馬傳播機(jī)制將木馬捆綁到一個(gè)安裝程序上，當(dāng)安裝程序運(yùn)行的時(shí)候，木馬在用戶(hù)毫無(wú)覺(jué)察的情況下，在后臺(tái)啟動(dòng)。ExeScope木馬的捆綁式傳播

將木馬捆綁到一個(gè)word文檔上，當(dāng)打開(kāi)word文檔時(shí)執(zhí)行宏運(yùn)行木馬。D:>copy/btest.doc+tro.exenew.doc4.木馬工作原理4.3.3特洛伊木馬木馬傳播機(jī)制攻擊者受害者木馬的主動(dòng)攻擊傳播控制遠(yuǎn)程系統(tǒng)計(jì)劃任務(wù)注冊(cè)表獲得上傳文件權(quán)限上傳木馬程序木馬傳播機(jī)制4.木馬工作原理4.3.3特洛伊木馬開(kāi)始菜單的啟動(dòng)項(xiàng)。在Winstart.bat中啟動(dòng)。在Autoexec.bat和Config.sys中加載運(yùn)行。win.ini/system.ini：部分木馬采用，不太隱蔽。注冊(cè)表：隱蔽性強(qiáng)，多數(shù)木馬采用。注冊(cè)服務(wù)：隱蔽性強(qiáng)，多數(shù)木馬采用。修改文件關(guān)聯(lián)：只見(jiàn)于國(guó)產(chǎn)木馬。木馬啟動(dòng)機(jī)制4.木馬工作原理4.3.3特洛伊木馬？？？？木馬種植者（牧馬人）如何回收木馬為他帶來(lái)的利益呢4.木馬工作原理4.3.3特洛伊木馬Web服務(wù)器Ftp服務(wù)器HostofFriend18YourHost8IE瀏覽器迅雷QQ網(wǎng)絡(luò)通信原理端口（Port）:

運(yùn)輸層服務(wù)訪問(wèn)點(diǎn)SAP，標(biāo)識(shí)應(yīng)用進(jìn)程Socket（套接字、插口）基本術(shù)語(yǔ)源IP地址:源端口＜＝＞目的IP地址:目的端口

監(jiān)聽(tīng)端口：標(biāo)識(shí)守護(hù)進(jìn)程

連接端口：標(biāo)識(shí)用戶(hù)應(yīng)用進(jìn)程如何建立起連接呢？打電話10086，總會(huì)接通，為什么？提供服務(wù)的一方要有人始終處于被動(dòng)監(jiān)聽(tīng)狀態(tài)。網(wǎng)絡(luò)通信原理Web服務(wù)器Ftp服務(wù)器HostofFriend18YourHost880號(hào)端口www守護(hù)進(jìn)程21號(hào)端口ftp守護(hù)進(jìn)程網(wǎng)絡(luò)通信原理(1)正向連接－－傳統(tǒng)木馬

(2)反向連接－－反彈式木馬

(3)無(wú)連接－－特殊功能木馬，SpyWare木馬連接機(jī)制4.木馬工作原理4.3.3特洛伊木馬(1)正向連接攻擊者掃描整個(gè)或特定網(wǎng)絡(luò)；找到打開(kāi)特定端口的主機(jī)；通過(guò)木馬控制端與木馬服務(wù)端建立連接，遠(yuǎn)程控制；木馬連接機(jī)制？？？木馬服務(wù)端程序打開(kāi)一個(gè)特定監(jiān)聽(tīng)端口，作為守護(hù)進(jìn)程等待連接。4.木馬工作原理4.3.3特洛伊木馬木馬連接機(jī)制攻擊者受害者連接請(qǐng)求拒絕連接http連接請(qǐng)求攻擊者受害者防火墻對(duì)自己主動(dòng)向外的連接防范不嚴(yán)正向連接面對(duì)防火墻無(wú)能為力4.木馬工作原理4.3.3特洛伊木馬？？(2)反向連接木馬控制端程序打開(kāi)一個(gè)特定監(jiān)聽(tīng)端口，作為守護(hù)進(jìn)程等待受害者連接。

將控制端地址、端口信息寫(xiě)入服務(wù)端；

通過(guò)在第三方網(wǎng)站上存儲(chǔ)一個(gè)配置文件實(shí)現(xiàn)；木馬連接機(jī)制4.木馬工作原理4.3.3特洛伊木馬(3)無(wú)連接？？？攻擊者從相應(yīng)位置將信息取回。木馬服務(wù)端程序?qū)⑺阉鞯降拿舾形募?、口令等發(fā)送到指定郵箱或上載到指定服務(wù)器。木馬連接機(jī)制4.木馬工作原理4.3.3特洛伊木馬SQL-StructuredQueryLanguage,結(jié)構(gòu)化查詢(xún)語(yǔ)言SQL注入即是指攻擊者通過(guò)在應(yīng)用程序中預(yù)先定義好的查詢(xún)語(yǔ)句結(jié)尾加上額外的SQL語(yǔ)句元素，欺騙數(shù)據(jù)庫(kù)服務(wù)器執(zhí)行非授權(quán)的任意查詢(xún)。4.3利用型攻擊四、SQL注入攻擊dimrsadmin1=request("admin")password1=request("password")setrs=server.CreateObject("ADODB.RecordSet")rs.open"select*fromadminwhereadmin='"&admin1&"'andpassword='"&password1&"'",conn,1ifrs.eofandrs.bofthenresponse.write"<SCRIPTlanguage=JavaScript>alert('用戶(hù)名或密碼不正確！');"response.write"javascript:history.go(-1)</SCRIPT>"response.endelsesession("admin")=rs("admin")session("password")=rs("password")session("aleave")=rs("aleave")response.redirect"admin.asp"endifrs.closesetrs=nothing一個(gè)經(jīng)典的SQL注入漏洞4.3.4SQL注入攻擊分析在用戶(hù)名和密碼那里都填入‘OR‘’=’，SQL語(yǔ)句被構(gòu)造成

select*fromadminwhereadmin=‘’OR‘’=‘’andpassword=‘’OR‘’=‘’意思是當(dāng)admin為空或者空等于空，password為空或者空等于空的時(shí)候整個(gè)查詢(xún)語(yǔ)句就為真。4.3.4SQL注入攻擊如何修補(bǔ)漏洞？過(guò)濾掉其中的特殊字符。這里我們就過(guò)濾掉其中的“'”，即是把程序的頭兩行改為：admin1=replace(trim(request("admin")),“’”,"")password1=replace(trim(request("password")),“’”,"")4.3.4SQL注入攻擊防止SQL注入四種方法(1)在服務(wù)端正式處理之前對(duì)提交數(shù)據(jù)的合法性進(jìn)行檢查；(2)封裝客戶(hù)端提交信息；(3)替換或刪除敏感字符/字符串；(4)屏蔽出錯(cuò)信息。4.3.4SQL注入攻擊拒絕服務(wù)攻擊DoS（DenialofService），凡是造成目標(biāo)計(jì)算機(jī)拒絕提供服務(wù)的攻擊都稱(chēng)為DoS攻擊，其目的是使目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)。拒絕服務(wù)是一種簡(jiǎn)單的破壞性攻擊，最本質(zhì)的特征是延長(zhǎng)正常的應(yīng)用服務(wù)的等待時(shí)間。拒絕服務(wù)有時(shí)不需要目標(biāo)主機(jī)存在任何的漏洞就可以實(shí)施，因此是網(wǎng)絡(luò)攻擊中最難以抵御的攻擊方法。4.4DoS與DDoS一、Dos攻擊技術(shù)按照DoS攻擊工作機(jī)理，DoS攻擊分為四類(lèi)：☆帶寬耗用☆資源衰竭☆漏洞利用☆路由和DNS攻擊4.4.1DoS攻擊技術(shù)死亡之Ping（PingofDeath）死亡之Ping利用Ping命令向目標(biāo)主機(jī)發(fā)送超過(guò)64K的ICMP報(bào)文實(shí)現(xiàn)DOS攻擊?？梢灾苯釉斐砂惭b早期操作系統(tǒng)的主機(jī)藍(lán)屏死機(jī)。ping–L65538<destnationIPaddress>1.早期DoS攻擊手段4.4.1DoS攻擊技術(shù)SMB（SessionMessageBlock，會(huì)話消息塊協(xié)議）又叫做NetBIOS或LanManager協(xié)議，用于不同計(jì)算機(jī)之間文件、打印機(jī)、串口通訊的共享。SMB致命攻擊是利用SMB存在的漏洞一種DoS攻擊方法。SMB致命攻擊軟件的主界面被攻擊的計(jì)算機(jī)藍(lán)屏界面1.早期DoS攻擊手段4.4.1DoS攻擊技術(shù)在發(fā)送的IP分組包指定非法的片偏移值，會(huì)造成某些協(xié)議軟件出現(xiàn)緩沖區(qū)覆蓋，導(dǎo)致系統(tǒng)崩潰。淚滴攻擊（Teardrop）1.早期DoS攻擊手段4.4.1DoS攻擊技術(shù)偏移=0/8=0偏移=1400/8=175偏移=2800/8=350140028003799279913993799需分片的數(shù)據(jù)報(bào)數(shù)據(jù)報(bào)片1首部數(shù)據(jù)部分共3800字節(jié)首部1首部2首部3字節(jié)0數(shù)據(jù)報(bào)片2數(shù)據(jù)報(bào)片314002800字節(jié)0IP包的分片與組裝

Land攻擊Email炸彈DNS攻擊1.早期DoS攻擊手段4.4.1DoS攻擊技術(shù)

TCP建立連接時(shí)需要進(jìn)行三次握手，攻擊者向目標(biāo)主機(jī)發(fā)送大量的SYN請(qǐng)求，但惡意的不完成三次握手，從而使目標(biāo)主機(jī)緩沖區(qū)資源衰竭，達(dá)到拒絕服務(wù)攻擊的目的。2.SYNFlood4.4.1DoS攻擊技術(shù)TCP三次握手過(guò)程SynFlood惡意地不完成三次握手3.Smurf攻擊4.4.1DoS攻擊技術(shù)攻擊者攻擊目標(biāo)反射網(wǎng)絡(luò)互聯(lián)網(wǎng)上一些服務(wù)器默認(rèn)開(kāi)放著一些有可能被惡意利用的UDP服務(wù)，因此攻擊者可以通過(guò)向目標(biāo)主機(jī)發(fā)送大量UDP報(bào)文達(dá)到拒絕服務(wù)攻擊的目的。4.UDPFlood4.4.1DoS攻擊技術(shù)隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長(zhǎng)，內(nèi)存大大增加，同時(shí)也出現(xiàn)了千兆級(jí)別的網(wǎng)絡(luò)，這使得DoS攻擊的困難程度加大了。針對(duì)服務(wù)器的性能提升，分布式的拒絕服務(wù)攻擊手段（DDoS）應(yīng)運(yùn)而生。DDoS采取的仍然是DOS技術(shù)，只不過(guò)增加了攻擊主機(jī)。4.4.2DDoS攻擊技術(shù)4.4.2DDoS攻擊技術(shù)掃描程序不安全的計(jì)算機(jī)攻擊者攻擊者使用掃描工具探測(cè)掃描大量主機(jī)以尋找潛在入侵目標(biāo)。1Internet4.4.2DDoS攻擊技術(shù)攻擊者被控制的計(jì)算機(jī)(代理端)設(shè)法入侵有安全漏洞的主機(jī)并獲取控制權(quán)，安裝后門(mén)程序。2Internet4.4.2DDoS攻擊技術(shù)攻擊者

選取滿(mǎn)足建立網(wǎng)絡(luò)所需要的主機(jī)，做為主控端，放置守護(hù)程序。3被控制計(jì)算機(jī)（代理端）主控端Internet4.4.2DDoS攻擊技術(shù)攻擊者

攻擊者發(fā)送控制命令給主控端，準(zhǔn)備啟動(dòng)對(duì)目標(biāo)系統(tǒng)的攻擊4被控制計(jì)算機(jī)（代理端）目標(biāo)系統(tǒng)主控制端Internet4.4.2DDoS攻擊技術(shù)目標(biāo)系統(tǒng)攻擊者

主控端發(fā)送攻擊信號(hào)給代理端開(kāi)始對(duì)目標(biāo)系統(tǒng)發(fā)起攻擊。5主控端Internet被控制計(jì)算機(jī)（代理端）4.4.2DDoS攻擊技術(shù)目標(biāo)系統(tǒng)攻擊者目標(biāo)系統(tǒng)被無(wú)數(shù)的偽造的請(qǐng)求所淹沒(méi)，從而無(wú)法對(duì)合法用戶(hù)進(jìn)行響應(yīng)。6主控端UserRequestDeniedInternet被控制計(jì)算機(jī)（代理端）4.4.2DDoS攻擊技術(shù)2014年DDoS攻擊事件2014年3月17日，克里米亞公投網(wǎng)站當(dāng)天凌晨遭到黑客發(fā)起的DDoS攻擊。北約數(shù)家網(wǎng)站遭烏克蘭黑客DDoS攻擊。2014年12月20日-21日，阿里云遭遇了全球互聯(lián)網(wǎng)史上最大的一次DDoS攻擊。共持續(xù)了14個(gè)小時(shí)，攻擊峰值流量達(dá)到每秒453.8G。2014年6月19日，下午4點(diǎn)，facebook所有服務(wù)大規(guī)模當(dāng)機(jī)，疑似遭到大規(guī)模DDoS攻擊，直到25分鐘后，才恢復(fù)正常。2014年2月27日，群組社交網(wǎng)站Meetup因拒絕支付300萬(wàn)美金遭到大規(guī)模DDoS攻擊，并導(dǎo)致網(wǎng)站停擺。4.4.2DDoS攻擊技術(shù)確保主機(jī)不被入侵且是安全的；周期性審核系統(tǒng)；檢查文件完整性；優(yōu)化路由和網(wǎng)絡(luò)結(jié)構(gòu)；優(yōu)化對(duì)外開(kāi)放訪問(wèn)的主機(jī)；在網(wǎng)絡(luò)上建立一個(gè)過(guò)濾器或偵測(cè)器在攻擊信息到達(dá)網(wǎng)站服務(wù)器之前阻擋攻擊信息。DDoS攻擊的預(yù)防4.4.2DDoS攻擊技術(shù)高級(jí)持續(xù)性威脅(Advanced

Persistent

Threat，APT)，APT（高級(jí)持續(xù)性滲透攻擊）是一種以商業(yè)和政治為目的的網(wǎng)絡(luò)犯罪類(lèi)別，通常使用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性的網(wǎng)絡(luò)攻擊。

具有長(zhǎng)期策劃與經(jīng)營(yíng)、高度隱蔽等特性。APT攻擊不會(huì)追求短期的收益或單純的破壞，而是以步步為營(yíng)的滲透入侵策略，低調(diào)隱蔽的攻擊每一個(gè)特定目標(biāo)，不做其他多余的活動(dòng)來(lái)打草驚蛇。一、什么是APT4.5APT攻擊技術(shù)上的高級(jí)

0DAY漏洞

0DAY特馬通道加密投入上的高級(jí)

全面信息的收集與獲取針對(duì)的目標(biāo)和工作分工多種手段的結(jié)合：社工+物理Advance了解對(duì)方使用軟件和環(huán)境有針對(duì)性的尋找只有攻擊者知道的漏洞繞過(guò)現(xiàn)有的保護(hù)體系實(shí)現(xiàn)利用新型特殊木馬繞過(guò)現(xiàn)有防護(hù)了解環(huán)境下使用專(zhuān)門(mén)的對(duì)抗關(guān)閉防護(hù)繞過(guò)防護(hù)合法逃逸模擬合法用戶(hù)行為協(xié)議與軟件端口配合用戶(hù)行為同步使用加密通道常見(jiàn)必開(kāi)的協(xié)議如DNS合法加密的協(xié)議如HTTPS針對(duì)人的薄弱環(huán)節(jié)與信任體系攻擊人的終端，利用人的權(quán)限獲取常見(jiàn)人的信息流通道的深度檢測(cè)缺乏，如郵件、WEB訪問(wèn)、IM等4.5.2APT分析

APT攻擊6個(gè)階段:情報(bào)搜集首次突破防線幕后操縱通訊橫向移動(dòng)資產(chǎn)/資料發(fā)掘資料外傳APT攻擊階段劃分4.5.2APT分析黑客透過(guò)一些公開(kāi)的數(shù)據(jù)源(如Facebook)搜尋和鎖定特定人員并加以研究，然后開(kāi)發(fā)出定制化攻擊。這個(gè)階段是黑客信息收集階段，其可以通過(guò)搜索引擎，配合諸如爬網(wǎng)系統(tǒng)，在網(wǎng)上搜索需要的信息，并通過(guò)過(guò)濾方式篩選自己所需要的信息。信息的來(lái)源很多，包括社交網(wǎng)站，博客，公司網(wǎng)站，甚至通過(guò)一些渠道購(gòu)買(mǎi)相關(guān)信息（如公司通訊錄等）情報(bào)收集4.5.2APT分析黑客在確定好攻擊目標(biāo)后，將會(huì)通過(guò)各種方式來(lái)試圖突破攻擊目標(biāo)的防線。常見(jiàn)的滲透突破的方法包括：首次突破防線4.5.2APT分析社會(huì)工程學(xué)：發(fā)送電子郵件或即時(shí)通訊附件，欺騙企業(yè)內(nèi)部員工下載或執(zhí)行包含零日漏洞的惡意軟件，軟件運(yùn)行之后即建立了后門(mén)，等待黑客下一步操作；水坑攻擊：網(wǎng)站掛馬。黑客在感染或控制一定數(shù)量的計(jì)算機(jī)之后，為了保證程序能夠不被安全軟件檢測(cè)和查殺，會(huì)建立命令、控制及更新服務(wù)器（C&C服務(wù)器），對(duì)自身的惡意軟件進(jìn)行版本升級(jí)，以達(dá)到免殺效果；同時(shí)一旦時(shí)機(jī)成熟，還可以通過(guò)這些服務(wù)器，下達(dá)指令。幕后操縱通訊4.5.2APT分析采用http/https標(biāo)準(zhǔn)協(xié)議來(lái)建立溝通，突破防火墻等安全設(shè)備；定期對(duì)程序進(jìn)行檢查，確認(rèn)是否免殺，只有當(dāng)程序被安全軟件檢測(cè)到時(shí)，才會(huì)進(jìn)行版本更新，降低被IDS/IPS發(fā)現(xiàn)的概率。黑客入侵之后，會(huì)嘗試通過(guò)各種手段進(jìn)一步入侵企業(yè)內(nèi)部的其他計(jì)算機(jī)，同時(shí)盡量提高自己的權(quán)限。橫向移動(dòng)4.5.2APT分析黑客入侵主要利用系統(tǒng)漏洞方式進(jìn)行；企業(yè)在部署漏洞防御補(bǔ)丁過(guò)程存在時(shí)差，甚至部分系統(tǒng)由于穩(wěn)定性考慮，無(wú)法部署相關(guān)漏洞補(bǔ)丁在入侵進(jìn)行到一定程度后，黑客就可以接觸到一些敏感信息，可通過(guò)C&C服務(wù)器下發(fā)資料發(fā)掘指令：資產(chǎn)/資料發(fā)掘4.5.2APT分析采用端口掃描方式獲取有價(jià)值的服務(wù)器或設(shè)備；通過(guò)列表命令，獲取計(jì)算機(jī)上的文檔列表或程序列表；一旦搜集到敏感信息，這些數(shù)據(jù)就會(huì)匯集到內(nèi)部的一個(gè)暫存服務(wù)器，然后整理、壓縮，通常并經(jīng)過(guò)加密后外傳。資料外傳4.5.2APT分析資料外傳采用標(biāo)準(zhǔn)協(xié)議(http/https，SMTP等）信息泄露后黑客再根據(jù)信息進(jìn)行分析識(shí)別，來(lái)判斷是否可以進(jìn)行交易或者破壞。對(duì)企業(yè)和國(guó)家造成較大影響。情報(bào)收集：伊朗核電站是一個(gè)物理隔離的網(wǎng)絡(luò)，攻擊者首先獲得了一些核電站工作人員和其家庭成員的信息，針對(duì)這些家庭成員的主機(jī)發(fā)起攻擊，成功控制這些家庭用的主機(jī)。首次突破防線：利用4個(gè)WINDOWS的0DAY漏洞，感染所有接