Sec+ type of attack笔记

Password spraying 密码喷洒

使用常见密码/弱密码试图访问一个域上的多个账户。

Spyware 间谍软件

一些专门在用户不知情或未经用户准许的情况下,收集用户个人资料的软件,其所收集的资料范围可以很广阔,从该用户平日浏览的网站,到诸如用户名、密码等个人资料。

Live-off-the-land 离地攻击

关于“离地攻击”至今没有一个权威的定义。但是被广泛接受的“离地攻击”通常是指利用系统中已存在或比较易于安装的二进制文件来执行后渗透活动的攻击策略。说白了就是攻击过程不“落地”。

当前针对恶意软件,主要是利用恶意软件的静态二进制特征以及动态行为特征进行检测、分类与防御。攻击者为了规避这些检测方法,利用主机已有的二进制来执行相关的攻击活动,达到攻击过程不“落地”的效果,比如无文件攻击并不是指的完全没有文件,只是恶意文件不会写入磁盘。

关于无文件攻击:https://www.freebuf.com/articles/system/263960.html

Skimming

使用伪造的读卡器读取卡片信息,以用于克隆卡片。

病毒和蠕虫之间的主要区别是:

  1. 传播方式:
    • 蠕虫: 蠕虫能够自我复制并自动传播到其他计算机,无需用户干预。它们通常通过网络连接,如电子邮件或操作系统漏洞,来传播。
    • 病毒: 病毒需要附着在宿主文件(如一个程序或文档)上。它们通常需要用户通过执行某个动作(如打开一个附件或运行一个程序)来激活。
  2. 依赖性:
    • 蠕虫: 蠕虫是独立的程序,它们不需要附着在其他软件上。
    • 病毒: 病毒需要附着在其他程序上,它们不能独立存在。
  3. 目的:
    • 蠕虫: 蠕虫的主要目的是自我复制并传播。虽然它们可以携带恶意载荷,但许多蠕虫的主要功能是在尽可能多的计算机上复制自己。
    • 病毒: 病毒通常旨在执行某种破坏性活动,如删除文件或插入它们自己的代码到文件中。

感染蠕虫后的主要症状可能包括但不限于:

  1. 性能下降:由于蠕虫在后台复制自己,可能会消耗大量系统资源,导致计算机运行缓慢。
  2. 网络活动增加:由于蠕虫尝试从感染的机器传播到其他计算机,可能会导致网络流量异常增加。
  3. 程序和系统崩溃:某些蠕虫可能会破坏系统和应用程序文件,导致系统不稳定和程序崩溃。
  4. 磁盘空间减少:由于蠕虫复制自身,可能会消耗大量硬盘空间。
  5. 未经授权的电子邮件发送:如果蠕虫利用电子邮件系统传播,你可能会在未发送的情况下在发件箱中发现邮件。

pass-the-hash attack

一种利用哈希值(而非明文密码)进行身份验证绕过的攻击方式。在许多系统中,当用户输入密码时,系统会将其转换成哈希值,然后将这个哈希值与存储在系统数据库中的哈希值进行比较来验证用户的身份。在PtH攻击中,攻击者不需要知道用户的明文密码,只需要获取到密码的哈希值。

Downgrade attack(降级攻击)

一种网络安全攻击,攻击者在这种攻击中强迫通信双方使用较低的安全标准进行通信,从而便于攻击者解密、篡改或窃取数据。降级攻击的目的是利用老旧或弱的算法中的漏洞,这些老旧或弱的算法在较新、更安全的协议版本中已被弃用或增强。

工作机制

  1. 拦截和修改:在客户端和服务器之间建立连接的过程中,攻击者拦截通信,并修改发送的信息,使得通信双方相信对方只支持较低版本的协议或较弱的加密算法。
  2. 强制使用较弱协议:由于被欺骗,通信双方可能同意使用较不安全的协议或加密算法进行通信,这使得攻击者更容易进行进一步的攻击,比如解密通信内容。

Replay Attack(重放攻击)

重放攻击是攻击者截获有效的数据传输(比如登录会话)并重新发送(重放)该数据来欺骗接收者的一种攻击方式。重放攻击的目的通常是为了非法获得系统访问权限或者进行未经授权的操作。攻击者在这种攻击中不需要破解或了解传输的数据内容。

Birthday Attack(生日攻击)

生日攻击是基于概率论中的生日问题(生日悖论)。在生日问题中,只需要23个人就有超过50%的概率两个人有相同的生日。在密码学中,生日攻击利用了这种概率原理来寻找两个不同的输入,使得它们产生相同的哈希值(即哈希碰撞)。

生日攻击通常用于攻击数字签名或者证明系统的弱点。例如,攻击者可能寻找两个不同的文档,它们具有相同的哈希值。如果他们可以找到这样的文档,他们可能会利用这一点来欺骗数字签名或证明系统。

使用较长的哈希值可以降低碰撞的概率,因为需要更多的尝试才能找到两个具有相同哈希值的不同输入。

Rootkit

一种恶意软件,旨在访问或控制计算机系统,而不被系统的用户或防病毒软件检测到。Rootkit 的名称来源于 Unix 和 Linux 系统中的 root 用户,这是系统上的最高权限用户,以及英文单词 “kit”(指工具集)。Rootkit 能够提供管理员级别的访问权限,通常用于隐藏特定的程序、进程、文件或日志记录。它们在操作系统的核心级别或在与操作系统同等级别的地方操作,使得它们特别难以检测和移除。