4.5　渗出

这是主攻击开始的阶段。一旦攻击到达此阶段，就认为攻击取得成功。威胁行为者通常拥有畅通无阻的自由，可以在受害者的网络中移动并访问其所有系统和敏感数据。威胁行为者将从组织中提取敏感数据，可能包括商业秘密、用户名、密码、个人身份数据、绝密文档以及其他类型的数据。

目前，专门针对系统中存储的数据进行攻击的趋势仍在持续。一旦黑客侵入任何公司网络，就会横向移动到数据存储位置。然后，将这些数据渗出到其他存储位置，他们从那里可以读取、修改或出售这些数据。2018年4月，SunTrust银行被攻破，威胁行为者成功窃取了150万人的数据。同年10月，Facebook的平台上发生了另一起攻击事件，当时威胁行为者窃取了5000万个账户的数据。一旦数据被黑客访问，就可能会以下述任一方式渗出：

·电子邮件外发：黑客用来执行渗出的便捷方式之一，只需通过电子邮件将其通过互联网发送即可。他们可以快速登录受害者机器上的一次性电子邮件账户，并将数据发送到另一个一次性账户。

·下载：当受害者的计算机远程连接到黑客的计算机时，他们可以直接将数据下载到本地设备。

·外部驱动器：当黑客可以物理访问被攻破的系统时，他们可以直接将数据泄露到他们的外部驱动器。

·云渗出：如果黑客获得对用户或组织的云存储空间的访问权限，云中的数据可能会通过下载被泄露。另一方面，云存储空间也可以用于渗出目的。有些组织有严格的网络规则，使得黑客无法将数据发送到他们的电子邮件地址。但是，大多数组织不会阻止对云存储空间的访问。黑客可以使用它们上传数据，然后将其下载到本地设备。

·恶意软件：这是指黑客在受害者的电脑中植入恶意软件，专门用来发送受害者电脑中的数据。这些数据可能包括击键日志、浏览器中存储的密码和浏览器历史记录。

在这个阶段，威胁行为者通常会窃取大量数据。这些数据可能卖给有意愿购买的买家，也可能泄露给公众，数据被窃的大公司将面临丑闻。

图4-5显示了一个被感染的电子邮件附件（在受害者的机器上，在左侧）如何使用PowerShell打开一个反向shell到命令和控制中心。然后，在右侧，你可以看到攻击者视图。

图4-5　一封看起来无害的电子邮件可能会将系统的访问密钥提供给黑客

2015年，一个黑客组织入侵并窃取了一个名为Ashley Madison的网站的9.7GB数据，该网站提供配偶出轨查询服务。黑客要求拥有该网站的Avid Life Media公司关闭该网站，否则将公布一些用户数据。这家公司驳斥了这些说法，黑客很快就将数据放到了暗网。这些数据包括数百万用户的真实姓名、地址、电话号码、电子邮件地址和登录凭据。黑客鼓励受泄密影响的人起诉该公司并要求赔偿。

2016年，雅虎站出来表示，2013年有超过30亿用户账户的数据被黑客窃取。该公司表示这一起事件与2014年黑客窃取50万账户用户数据的事件不同。雅虎表示，在2013年的事件中，黑客窃取了姓名、电子邮件地址、出生日期、安全问题和答案，以及散列密码。

据称，黑客使用伪造的cookie能够在没有密码的情况下进入公司的系统。2016年，LinkedIn遭到黑客攻击，超过1.6亿账户的用户数据被盗。LinkedIn甚至没有对它的数据库加盐，这使得黑客的入侵变得容易得多。

黑客很快就将这些数据出售给任何感兴趣的买家。据称，这些数据包含账户的电子邮件和加密密码。这三起事件说明，一旦威胁行为者能够走到这个阶段，攻击后果就会变得非常严重。受害组织的声誉受损，必须为没有保护好用户数据而支付巨额罚款。2018年6月，英国航空公司（British Airways）也发生了类似的情况，当时该公司发现一个网络事件导致客户详细信息泄露，包括登录、支付卡、姓名、地址及和旅行预订信息。这是由于引流到一个诈骗网站而被泄露的。2019年6月，根据GDPR报告称，英国航空公司因此事被罚款超过2.25亿美元，占其年收入的1.5%。

2017年3月，黑客向Apple公司索要赎金，并威胁要抹去iCloud账户上3亿部iPhone的数据。虽然这很快就被斥为骗局，但这样的行动是有可能发生的。在这种情况下，当黑客试图敲诈Apple这样的大公司时，它才会成为媒体捕捉的焦点。很有可能有另一家公司为了防止其用户的数据被删除匆忙付钱给黑客。

图4-6显示了黑客如何使用命令和控制中心来控制恶意软件，然后窃取他们认为有价值的任何东西。

图4-6　黑客通过命令和控制对被黑客攻击的系统进行管理的阶段

Apple、Ashley Madison、LinkedIn和雅虎面临的所有这些事件都表明了这一阶段的重要性。成功到达这一阶段的黑客实际上已经控制了局面，受害者可能还不知道数据已经被盗。黑客可能会决定在网络中保持一段时间的静默，当这种情况发生时，攻击进入一个称为维持的新阶段。