夜龙攻击

背景：

夜龙攻击是McAfee在2011年2月份发现并命名的针对全球主要能源公司的攻击行为。

攻击模板分析：

第一步：研究目标

   主要针对的是国际知名的能源公司。

第二步：拿下第一目标主机，打开局面

黑客为了侵入内网，使用由外到内的策略。虽然内网往往不与internet有接触，但是对于每个公司的web服务器来说，它具有的一个特点就是：既与内网连接，又与外网连接。所以，黑客选中了这些公司的web服务器作为第一目标主机。对外网主机如Web服务器进行攻击，黑客采用的是SQL注入攻击，并顺利拿下了web服务器。

第三步：通过横向移动，拿下具有高级权限的敏感主机

黑客以被黑的Web服务器被作为跳板，对内网的其他服务器或PC进行扫描，使用弱口令对内网机器如AD服务器或开发人员电脑进行攻击，拿下敏感主机。被黑机器被植入恶意代码，并被安装远端控制工具（RAT）。

第四步：构建虚拟隧道

并禁用掉被黑机器IE的代理设置，建立起直连的通道。

第五步：卷货撤退

   传回大量机敏文件（WORD、PPT、PDF等等），包括所有会议记录与组织人事架构图。

评价：

1.夜龙攻击在研究对象上，只针对国际重要的能源公司。这说明，要么幕后黑手是能源产业的巨头，要么就是具有某些政治目的。

2.第二步拿下目的主机时，采用的是强攻，没啥劲技术含量。其实，这个过程中，据情报披露，也有使用邮件攻击的例子。

3.第五步失窃的数据往往是会议记录和组织人事架构，我觉得这件事与政治有关系！