SOC第二防御阶段--理解威胁基本情况

在SOC第一防御阶段中，我们对攻击链有了最基本的了解并知道了采取必要的步骤来打破攻击链。现在我们进入SOC第二防御阶段，提升保护企业安全的水平。

早些年，当我们谈到“病毒”时，通常都是指“exe”可执行程序和一些弹窗。大部分的病毒都是由脚本小子创建的，他们不会对任何PC造成太大的损害。但是现在，这些恶意软件可不是脚本小子写的，而是有的公司为了盈利而开发的，每个恶意软件的背后都是有特定的目的和计划安排的。

恶意软件系列分为病毒/蠕虫/PUP/间谍软件/广告软件/多态病毒/FakeAV/屏幕保护程序病毒。其实这些都没有什么太大的危害，也没有什么商业目的和动机。

但是现在，恶意软件系列变得十分庞大而且更加广泛，具有独特的编码方式，这些恶意软件具有内置的下载功能，能够进一步下载恶意代码，窃取数据，与外部服务器通信，数据擦除，加密文件等等。这些恶意软件都是有计划有组织的创建的，而且是以营利为目的。

现代的恶意软件系列分为，木马/Rootkit/Bot/Botnet/POS恶意软件/ARM恶意软件/勒索软件/Cryptomining恶意软件/Spybot蠕虫/Wiper/CNC木马/Exploit kit/浏览器劫持/凭证窃取器/RAT/WMI后门/万能钥匙/键盘记录仪等。

推荐阅读：从零开始学习SOC分析--网络攻击入侵培训

因此，了解现代的威胁对每个SOC团队来说都是必须且至关重要的。了解威胁概况在SOC监控中更加重要。SOC人员应该知道他们正在处理的威胁是什么，了解各种威胁的行为，能够区分威胁模式，知道黑客社区发布的新变种，SOC团队还应该知道如何在不影响和中断业务的情况下处理威胁。威胁概况是网络罪犯使用的恶意软件/脚本/脆弱的滥用应用程序/网络和Windows工件的类型，用来对你的企业发起网络攻击。

这些功能可以划分为：

· 1. 初始访问--攻击者用来在网络上获取初始据点

· 2. 执行--执行本地或远程系统中由攻击者控制的代码。这种策略通常与初始访问共同使用，一旦获得访问权限就执行代码，然后进行横向渗透，扩大对网络上远程系统的访问权限。

· 3. 持久性--持久性是对系统的任意访问，操作和配置修改，让攻击者能够持久访问系统。攻击者通常需要在访问中断时维持对系统的访问，比如系统重启，凭证丢失，或者其他故障，这就需要一个远程访问工具来重启或者替换后门来重新获取访问权限。

· 4. 提权--提权是攻击者获得对系统或者网络更高权限行为的结果。很多工具和行为需要更高的权限才能运行，而且在操作的整个过程中，很多地方都是需要高权限的。攻击者可以进入一个没有特权访问的系统，然后充分利用系统漏洞来获取本地管理员或者系统/root权限。

· 5. 防御绕过--防御绕过包含攻击这可能用来绕过检测或其他防御的一些技术。有时，这些技术与其他类别的技术相同，或者有些变化，这些技术的额外优势就是能够绕过特定的防御和缓解措施。

· 6. 凭据访问--凭据访问技术指的是能够导致访问或者控制企业环境中的系统，域或者服务凭证的技术。攻击者可能会从用户或者管理员账户(本地系统管理员或者具有管理员权限的域用户)获取合法凭证，以便在通过网络进行使用。

· 7. 发现--发现技术包含了让攻击者能够了解系统和内网知识的技术。当攻击者获得了一个新系统的访问权限，他们必须进行自我定位，目前所能访问和控制的内容，以及在入侵期间，系统操作能够为当前目的或者整体目标带来什么有利之处。

· 8. 横向渗透--横向渗透技术能够让攻击者访问和控制网络和云上的远程系统，也有可能包括在远程系统上执行工具，但不一定。通过横向移动技术，攻击者可以不需要外部工具，如远程控制工具，就能够收集系统的信息。

· 9. 收集--收集技术包括在数据泄露之前从目标网络中识别和收集信息，比如敏感文件。这类技术还包括系统或网络的位置，攻击者可能会从这些位置来查找要窃取的信息。

· 10. 命令和控制--命令和控制技术指的是攻击者如何与目标网络中他们控制的系统进行通信。根据系统配置和网络拓扑，攻击者有多种方式可以建立各种隐蔽级别的命令与控制通道。对于攻击者而言，由于网络上的各种恶意软件变种非常广泛，因此只有最常见的因素来描述命令和控制的差异。

我们来看一下恶意软件系列的变种，这些变种导致出现了更多的攻击方式。下面这个列表并不完整，只是已经公布的恶意软件变种的一些样本：

总结

我们应该担心和关注恶意软件和他们的行为。因为现代恶意软件具有一些特定的方式来传播更复杂的命令结构来达到进一步的隐蔽性。你遇到的每一个恶意软件，都不仅仅只是你们企业AV(反病毒软件)团队的责任，而是整个SOC的核心责任，去了解恶意软件的行为和它们入侵你们网络的能力 。恶意软件并不是单独出现，在大多数情况下，它们都是互相合作来达到它们的目的。