恶意软件猎人的术语表
A
Active Directory
Active Directory (AD) 是 Microsoft 的一项服务,用于管理网络内的用户、计算机和其他资源。它使用分层结构来组织对象,并在 Windows 环境中执行安全策略。AD 是横向移动和权限提升攻击的常见目标。
AES
AES 代表高级加密标准,是一种对称加密算法,由美国国家标准与技术研究院(NIST)于 2001 年制定。它被广泛认为是安全和高效的,取代了较旧的数据加密标准(DES)。AES 用于各种安全协议和系统中,以加密数据在静态和传输中的情况。
ARP 欺骗或 ARP 毒化(ARP spoofing or ARP poisoning)
ARP 欺骗,也称为 ARP 毒化,是一种攻击,攻击者通过本地区域网络发送伪造的 ARP(地址解析协议)消息。这会欺骗网络设备,使其将攻击者的 MAC 地址与合法网络资源(如路由器)的 IP 地址关联起来。其目标通常是拦截、修改或停止数据流量。
ASCII
ASCII 代表美国信息交换标准代码。它是一种用于在计算机中表示文本和控制字符的字符编码标准。虽然不是直接与网络安全相关的术语,但在数据分析和安全评估期间,ASCII 通常与任务相关,例如负载编码。
管理员权限
管理员权限授予用户对系统进行配置和管理的高级权限。在网络安全领域,这些权限是攻击者的高价值目标,因为它们可以提供对系统和网络的完全控制。
广告软件(Adware )
广告软件是一种类型的软件,当用户在线时,它会自动显示或下载广告材料,通常以弹出广告或横幅广告的形式呈现。尽管广告软件本身不是恶意的,但它可能会降低系统性能和用户体验,某些变种可能包含间谍软件功能。
攻击向量(Attack vector)
攻击向量是攻击者获取未经授权访问系统或网络的路径或手段。常见的攻击向量示例包括钓鱼邮件、恶意网站和软件漏洞。
APT(高级持续威胁)
高级恶意软件行为者,通常是获得访问并长时间隐藏的计算机网络。 APT 经常由国家支持,并以政府和军事组织为目标,以及执行军事间谍活动。
认证(Authentication)
认证是验证用户、系统或服务身份的过程。它通常是更广泛的访问控制机制的一部分,确保只有经授权的实体可以访问资源。认证可以通过检查唯一信息(PIN、密码)、唯一对象(护照)或唯一特征(指纹、声音、面部几何学)来执行。
B
Bashdoor
Bashdoor(Bash 门)是一种后门利用漏洞的攻击,利用了 Unix 和 Linux 系统中常见的 Bash shell 的漏洞。这种攻击允许攻击者在目标系统上执行任意命令,通常绕过典型的安全措施。Bashdoor 攻击特别令人担忧,因为它们可以提供对被攻击系统的完全控制。
BAT 文件
BAT 文件是在 DOS 和 Windows 环境中用于执行一系列命令的批处理文件。尽管 BAT 文件本身并不是恶意的,但攻击者经常使用它们来自动化任务,如部署恶意软件或执行系统修改。由于它们能够按顺序执行多个命令,因此它们通常涉及到脚本攻击。
BGP(边界网关协议)
BGP 是一种用于促进互联网上不同自治系统之间数据交换的路由协议。它在数据在网络间传输的过程中发挥关键作用。BGP 容易受到各种攻击的影响,例如 BGP 劫持,攻击者通过恶意服务器重新路由流量,以进行数据拦截或网络干扰。
黑洞路由(Blackholing)
黑洞路由(Blackholing)是一种网络防御技术,其中传入的流量被重定向到一个空或不存在的目标,从而有效地丢弃数据包。这通常用于通过将恶意流量从目标资源中引导出来来缓解分布式拒绝服务(DDoS)攻击。但是,如果配置不慎,它也可能阻止合法流量。
盲目劫持(Blind hijacking)
盲目劫持是一种攻击,攻击者拦截并修改两方之间的数据包,而两方都不知道数据已被更改。
蓝牙劫持(Bluejacking)
蓝牙劫持是一种利用蓝牙漏洞发送未经请求的消息或数据到蓝牙设备的攻击。它通常被认为是低风险的,更多是一种恶作剧而不是严重的攻击。
蓝牙窃取(Bluesnarfing)
蓝牙窃取(Bluesnarfing)与蓝牙攻击相比更加恶意。在蓝牙窃取中,攻击者未经授权地访问蓝牙设备,以窃取敏感信息,如联系人、短信,甚至控制设备。
后门(Backdoor)
后门是一种隐藏的方法,用于绕过计算机系统、产品或嵌入式设备中的正常身份验证或加密。攻击者经常安装后门以实现对受攻击系统的远程访问。
黑帽子黑客(Black hat hacking)
黑帽子黑客是指黑客以有害意图执行操作,如窃取信息或勒索。
暴力破解攻击(Brute force attack)
一种尝试通过输入尽可能多的随机组合来猜测正确密码的攻击。
块密码(Block cipher)
一种算法,将信息分成固定长度的数据块,然后对每个块进行加密或解密。一种对称加密类型。
僵尸网络(Botnet)
一组计算机被恶意软件侵入,使攻击者对每台机器具有控制权。攻击者使用这些计算机执行恶意操作,如分布式拒绝服务(DDoS)攻击或邮件垃圾邮件分发。通常包含在僵尸网络中的机器的所有者通常不知道他们的硬件被滥用。
自带设备(BYOD)
一项政策,确定是否允许员工在工作中使用自己的个人设备,以及个人设备是否可以连接到公司网络。
C
CAN(Controller Area Network)
CAN,或称为控制器局域网,是一种常用于汽车和工业控制系统的通信协议。它允许微控制器和设备进行通信,无需主机计算机。
COM 文件
COM 文件是一种最初用于 DOS 系统的简单可执行文件格式。这些文件已经被更复杂的格式如 EXE 取代,但它们仍然可以在某些 Windows 环境中运行。由于它们的简单性,COM 文件有时被用于恶意软件和攻击活动中,以执行 shellcode 或部署载荷。
C&C(命令和控制服务器)
C&C,或称为命令和控制服务器(Command and Control server),通常缩写为 C&C 或 C2,是由攻击者或犯罪团伙控制的计算机,用于向被恶意软件感染的系统发送命令。
CSP(内容安全策略)
内容安全策略(Content Security Policy,CSP)是一种安全标准,用于防止跨站脚本(XSS)、点击劫持和其他代码注入攻击。它允许 Web 管理员指定哪些内容来源允许在网页上,阻止浏览器从未经授权的来源加载任何内容。
加密货币挖矿攻击(Cryptojacking)
一种通过非法手段占用设备的一部分计算能力来挖掘加密货币的网络攻击,而用户并未同意进行挖矿。
冒充(Catfishing)
创建一个不存在的虚假社交媒体账户,并随后使用此账户欺骗特定个体的行为。
密文(Ciphertext)
加密过程产生的数据状态。密文看起来是随机的,但使用解密密钥可以解密并恢复为原始形式的数据。
点击劫持(Clickjacking)
一种攻击技术,使用户点击恶意 URL,而不会意识到他们已与之交互。这可以通过将实际的交互内容隐藏在显示看似无害内容的封面网页下来执行。但是,当用户点击时,他们与他们甚至看不到的底层内容交互。
计算机网络防御(CND,Computer Network Defense)
一组内部措施,用于保护网络免受外部攻击。构成计算机网络防御措施的内容在给定公司的安全政策中有详细规定。
骇客(Cracker)
“骇客”的技术上更正确的同义词,但在网络安全社区之外使用较少,因此较不为人知。
关键基础设施(Critical infrastructure)
对于企业或国家来说最关键的系统或网络。这些系统的妥协将导致灾难性后果。
CVE(通用漏洞和暴露,Common Vulnerabilities and Exposures)
CVE 是由 MITRE 非盈利组织创建的公共注册表,记录了所有已知的攻击、利用和漏洞。它可能是地球上最全面的网络安全数据库。
密码学(Cryptography)
关于隐私、数据完整性和身份验证方法的科学。密码学研究使用秘密算法或密钥对数据进行可逆转换,使其成为加密的、看似随机的文本。
Cookie 文件
Cookie 文件是由 Web 浏览器存储在用户计算机上的小型文本文件。Cookie 用于存储信息,如登录状态、用户首选项或跟踪数据。
网络安全团队(Cyber team)
一组个人被聘用来开发、维护和改进组织或国家的网络安全措施。网络安全团队执行渗透测试,扫描网络以寻找漏洞,并教育员工有关网络安全。
D
数据完整性(Data integrity)
数据完整性证明信息未经修改或更改。使用加密哈希来通过考虑原始数据检索值。在随后执行哈希操作时,检索的值应保持不变,以表明数据保持完整。
数据挖掘(Data mining)
分析大量信息以查找最有价值的元数据的过程。
数据窃取(Data theft)
未经所有者同意而获取信息的行为,可以通过物理窃取托管数据的硬件或泄露信息来实施。
DDoS(分布式拒绝服务)攻击
旨在通过向服务器发送大量请求来使服务无法正常运行的网络攻击。例如,当服务器接收超出其处理能力的数千个请求时。
解密(Decryption)
使用秘密密钥将密文还原为其原始形式的过程。例如,解密是勒索软件攻击的受害者如何恢复信息的过程,通过使用公开可用的解密服务或通过支付赎金来获取密钥。
深网(Deep web)
深网是指互联网上未被传统搜索引擎索引的部分。这包括私人数据库、受密码保护的网站和个人电子邮件帐户。与某些看法相反,深网并不等同于非法活动。
DES
DES 代表数据加密标准(Data Encryption Standard),是一种用于加密电子数据的较旧的对称密钥算法。曾经是联邦标准,但由于容易受到穷举攻击而被 AES 取代。
DHCP监听(DHCP snooping)
DHCP监听是交换机上的一项安全功能,用于过滤 DHCP 流量,以防止恶意 DHCP 服务器攻击。该功能建立了合法 IP 地址租约的表,阻止未经授权的 DHCP 消息。
DMA 攻击(DMA attack)
DMA 代表直接内存访问(Direct Memory Access),DMA 攻击利用此功能直接读取或写入系统内存。这绕过了 CPU 和操作系统,通常绕过正常的身份验证机制。DMA 攻击需要物理访问系统,并通常通过 Thunderbolt 或 FireWire 等端口执行。
数字取证(Digital forensics)
收集关于计算机网络内潜在非法行为的信息,以在法庭上呈现所发现的数据的过程。
DLP(数据丢失防护)
一组措施和指导方针,组织使用这些措施和指导方针来防止由于网络攻击、公司内部的恶意行为或硬件故障导致信息丢失。
DMZ(非军事区)(Demilitarized Zone)
一个私有网络的隔离扩展,受到防火墙的保护,对外部连接开放,使选择的数据公开可用。
DNS
DNS 代表域名系统(Domain Name System)。它是一种将人类可读的域名翻译成 IP 地址的协议,允许浏览器加载互联网资源。DNS 是互联网基础设施的关键组成部分,但也容易受到 DNS 污染和 DNS 劫持等攻击的影响。
DNS 劫持(DNS hijacking)
DNS 劫持是一种攻击,攻击者将查询重定向到不同的 DNS 服务器,通常用于恶意目的,如钓鱼或流量拦截。这可以通过破坏用户的 DNS 设置或攻击 DNS 服务器本身来实现。
DNS 污染(DNS poisoning)
DNS 污染是一种攻击,插入了损坏的 DNS 缓存条目,以重定向查询到恶意站点。与攻击用户设置或服务器的 DNS 劫持不同,DNS 污染重点是破坏 DNS 解析器缓存。
DOC
DOC 是用于 Microsoft Word 文档的文件扩展名。虽然通常用于基于文本的文件,但 DOC 文件可能包含宏和脚本,可能是恶意的。
DOCX
DOCX 是用于 Microsoft Word 文档的更现代的文件扩展名,从 Word 2007 开始引入。与 DOC 不同,它使用基于 XML 的格式,并且由于其结构不容易受到宏病毒的影响。但是,它仍然可以通过嵌入的链接或社会工程攻击中的恶意宏来武器化。
域前置(Domain fronting)
域前置是一种技术,用于绕过网络审查或监视,使外发请求看起来是发送到良性域名,而实际目标是不同的、可能受限制的站点。这是通过 HTTP 和 DNS 诡计的层级实现的。
域名抢注(Domain name kiting,domain kiting)
域名抢注是注册域名然后在宽限期内多次取消注册并重新注册它的做法,以避免支付注册费用。
域名阴影(Domain shadowing)
域名阴影是一种攻击技术,攻击者通过访问域名注册账户创建子域名而未经所有者知情。然后,这些恶意子域名用于恶意活动,如托管钓鱼站点或 C&C 服务器。
DoS 攻击
DoS,或拒绝服务攻击,旨在通过超载目标系统或网络或利用漏洞触发崩溃来使其无法使用。与 DDoS 攻击不同,涉及多个系统,DoS 攻击通常源于单一来源。
降级攻击(Downgrade attack)
降级攻击会迫使系统回退到较不安全的协议版本或更弱的加密算法。这使得攻击者更容易利用过时协议中已知的漏洞。降级攻击可以在各种情况下发生,例如在 SSL/TLS 握手期间。
无需下载攻击(Drive-by download)
一种类型的网络攻击,受害者的计算机在访问恶意网站后会自动受到威胁。这种攻击是通过利用Web浏览器自动执行JavaScript代码的自然趋势而可能的,这会创建潜在的漏洞。
E
电子邮件欺骗(Email spoofing)
电子邮件欺骗是发送带有伪造发件人地址的电子邮件以欺骗接收者的做法。这种技术通常在钓鱼攻击中使用,以获得目标的信任。
EDR(终端检测与响应)(Endpoint Detection & Response)
终端检测与响应(EDR)是一组关注监视和响应个体设备(终端)上的安全威胁的网络安全产品。其中包括杀毒软件等工具。
EMET(增强缓解体验工具包)(Enhanced Mitigation Experience Toolkit)
EMET是一款免费的微软工具,通过应用使攻击者更难利用软件漏洞的技术来增强Windows安全性。它现已停用,其功能已集成到Windows 10中。
邪恶女仆攻击(Evil Maid Attack)
邪恶女仆攻击是指攻击者获取对受害者未被看管的计算机的访问权限的情况。这个名字来自于一种情境,即敌人能够访问受害者在旅馆房间里留下的笔记本电脑。攻击的目标是通过篡改硬件或安装恶意软件来窃取敏感数据或加密密钥来破坏安全性。
EAP(可扩展认证协议)(Extensible Authentication Protocol)
EAP或可扩展认证协议是用于网络通信的安全认证的框架。它允许使用各种认证方法,如密码、数字证书或基于令牌的认证,来建立客户端和服务器之间的安全连接。EAP通常用于Wi-Fi网络和VPN,以确保只有授权用户可以访问网络资源。
常绿(Evergreen)
持续更新的计算机程序,以增加黑客攻击的复杂性并改善可用性。
编码(Encoding)
一种将可读数据格式加密为使用私钥获取密文的过程。
F
伪装行动(False Flag)
伪装行动是指一个实体或个人执行一个行动,比如网络攻击,并使其看起来像是其他人做的。这样做是为了转移责任或混淆调查人员。
快速变换(Fast Flux)
快速变换是一种在网络攻击中用于隐藏恶意服务器或网站真实位置的技术。它涉及通过一组被感染的或“流动”的机器快速更改与域名相关联的IP地址。
全盘加密(FDE)(Full Disk Encryption)
全盘加密是一种安全技术,用于加密整个存储设备,如硬盘驱动器或固态硬盘,以保护存储在其中的数据。启用FDE后,磁盘上的所有数据都会自动加密,没有适当的解密密钥或密码,数据将无法阅读。
防火墙(Firewall)
公司用来阻止不必要网络流量的过滤器。防火墙根据一组预定义的参数对传入请求进行白名单处理。换句话说,它们默认情况下会阻止所有传入的流量,将所有请求视为潜在有害。
Fraggle 攻击
Fraggle 攻击是一种基于网络的分布式拒绝服务(DDoS)攻击,类似于Smurf 攻击。它涉及攻击者向IP广播地址发送大量的Internet控制消息协议(ICMP)回显请求包
(ping),通常使用不属于他们的IP地址。然后,这些数据包被广播到网络上的多台主机,导致这些主机以ICMP回显回复的形式响应受害者的IP地址,从而占用了受害者的网络带宽并导致服务拒绝。
H
哈希(Hash)
哈希是密码学中用于将可读数据转化为具有固定长度的加密文本字符串的编码。将相同的哈希应用于数据两次表明信息没有被修改,只要输出不发生变化。
骇客主义(Hacktivism)
骇客主义是出于原则或出于某种原因而进行的黑客攻击,而不是为了牟取利润。骇客主义者通常辩称他们所做的是为了正义的事业,然而,在许多情况下,这仍然是非法的。
堆喷射(Heap Spraying)
堆喷射是一种恶意技术,用于利用软件应用程序中的漏洞。它涉及向程序的内存(堆)中注入大量恶意代码或数据,通常以shellcode或载荷的形式。通过这样做,攻击者旨在增加其恶意代码在易受攻击程序的内存被破坏或篡改时执行的概率。
诱饵(Honeypot)
诱饵是一种防御性诱骗,模仿真实系统的操作,以欺骗黑客攻击它,而不是组织的生产资源。诱饵用于使攻击者尽可能浪费时间,并收集有关新恶意技术的信息。
HTTP(超文本传输协议)(Hypertext Transfer Protocol)
超文本传输协议(HTTP)是全球互联网上数据通信的基础。它是一个用于在客户端(通常是网络浏览器)和服务器(托管网站的地方)之间传输和接收数据的应用层协议。
HTTPS(超文本传输安全协议)(Hypertext Transfer Protocol Secure)
超文本传输安全协议(HTTPS)是标准HTTP协议的安全版本。HTTPS加密了客户端和服务器之间传输的数据,确保它不容易被恶意行为者拦截或篡改。通常使用SSL/TLS(安全套接层/传输层安全)协议来实现此加密。
I
身份克隆(Identity cloning)
这是一种犯罪活动,攻击者采用另一真实人物的身份,并将其用于自己的利益,通常是为了执行他们无法用真实身份做的操作,如访问信用额度。
IMAP(互联网消息访问协议)(Internet Message Access Protocol)
IMAP是一种电子邮件协议,使用户能够访问和管理存储在远程服务器上的电子邮件消息。它支持跨多个设备的电子邮件同步,提供了电子邮件管理的灵活性。
入侵检测系统(IDS)(Intrusion Detection System)
IDS是一种被动的网络防御系统,用于监视未经授权的连接,并在发现此类连接时执行防御操作。
入侵防范系统(IPS)(Intrusion Prevention System)
IPS是一种主动安全系统,旨在发现网络攻击尝试并自动采取措施降低攻击成功的几率。
IP地址(Internet Protocol Address)
IP地址,简称互联网协议地址,是分配给连接到使用互联网协议进行通信的计算机网络的每个设备的唯一数字标签。
IPv4(互联网协议第4版)(Internet Protocol version 4)
IPv4或互联网协议第4版是一种用于识别计算机网络上的设备的广泛使用的寻址方案。它使用32位数值地址,通常以四组十进制数字由句点分隔显示(例如,192.168.1.1)。
IPv6(互联网协议第6版)(Internet Protocol version 6)
IPv6或互联网协议第6版是IPv4的升级和扩展版本。它使用128位数值地址格式,提供了数量极大的唯一地址。IPv6地址通常表示为由冒号分隔的一系列十六进制数字(例如,2001:0db8:85a3:0000:0000:8a2e:0370:7334)。
事件响应平台(IRP)(Incident Response Platform)
事件响应平台(IRP)是一种综合性软件解决方案,旨在帮助组织有效管理和响应网络安全事件。它提供了一个集中平台,用于检测、分析和缓解安全威胁和漏洞。
iSCSI(Internet Small Computer System Interface)
iSCSI是一种协议,用于在IP网络上启用计算机和存储设备之间的块级数据传输。它允许远程存储设备,通常被称为存储区域网络(SAN),看起来就像它们是本地连接到计算机或服务器的设备。
K
键盘记录器(Keylogger)
通常,键盘记录器是一种恶意程序,更少见的是硬件,用于记录受害者与其键盘的交互,允许查看受害者已键入的敏感信息。
Kerberos
Kerberos是一种网络认证协议,旨在为用户和服务在非安全网络(如互联网)上提供安全的认证。它使用加密和受信任的第三方认证服务器来验证用户和服务的身份。
KRACK 攻击
(Key Reinstallation Attack)
Key Reinstallation Attack,通常称为KRACK,是一种影响使用WPA2(Wi-Fi Protected Access 2)协议来保护无线通信的Wi-Fi网络的网络安全漏洞。KRACK利用WPA2协议的弱点,以拦截和操纵在Wi-Fi网络上传输的数据。
L
L2TP(第二层隧道协议)(Layer 2 Tunneling Protocol)
L2TP是一种网络协议,允许创建虚拟私人网络(VPN)。它在数据链路层运行,并经常与另一个加密协议(如IPsec)结合使用,以增强安全性。
局域网(LAN)(Local Area Network)
局域网是连接在有限空间内的计算机网络,例如在单一建筑物的限制内。
轻型目录访问协议(LDAP)(Lightweight Directory Access Protocol)
LDAP是一种用于访问和管理目录信息的网络协议。它通常用于各种应用程序和系统的身份验证、授权和目录服务中。
陆地攻击(LotL Attack,Living off the Land Attack)
LotL攻击是一种网络攻击策略,威胁行为者使用合法的系统工具和实用程序来执行恶意活动,使其行动更难以检测。在LotL攻击中使用的工具可能包括PowerShell、Windows管理仪器(WMI)或脚本语言如Python和JavaScript。
LTE(长期演进)(Long Term Evolution)
LTE或长期演进是无线宽带通信的标准。它是4G(第四代)技术家族的一部分,旨在提供比其前身3G(第三代)更快更高效的移动数据通信。
链接劫持(Link jacking)
链接劫持是一种类似于垃圾邮件的做法,有意误导网站上链接的目标。例如,当广告似乎指向产品页面,但实际上将用户带到充斥着广告横幅的随机页面时。
M
MAC地址(媒体访问控制地址)(Media Access Control Address)
MAC地址,也称为硬件地址或物理地址,是分配给设备上的网络接口控制器(NIC)的唯一标识符。它由一系列十六进制数字组成,用于识别本地网络段上的设备。
MAC洪泛(MAC flooding)
MAC洪泛是一种网络攻击,利用以太网网络中交换机的限制。在此攻击中,攻击者发送大量伪造的以太网帧,每个帧都有不同的伪造MAC地址。其目的是淹没交换机的MAC地址表,导致其进入故障开放模式,在此模式下,它开始将传入流量广播到所有端口,而不是将其转发到正确的目标。
恶意广告(Malvertising,Malicious Advertising)
恶意广告是一种网络威胁策略,其中恶意代码或恶意软件隐藏在在线广告中。网络犯罪分子使用恶意广告,当用户访问显示这些广告的合法网站时,向毫不知情的用户传送恶意软件。
MBR(主引导记录)(Master Boot Record)
MBR或主引导记录是位于存储设备(如硬盘或固态硬盘)开头的关键数据结构,用于引导计算机的操作系统。它包含计算机的BIOS或UEFI固件在引导过程中执行的初始代码。
MD5(消息摘要算法5)(Message Digest Algorithm 5)
MD5是一种密码哈希函数,从输入数据或消息生成128位(16字节)的哈希值。它广泛用于数据完整性和校验和目的。
响应平均时间(MTTR)(Mean Time to Respond)
响应平均时间,通常缩写为MTTR,是事件响应和网络安全中的关键性能指标。它衡量组织在安全事件发生后检测并响应该事件的平均时间。
内存刮取器(Memory Scraper)
内存刮取器是一种恶意软件,旨在直接从计算机的RAM中扫描并捕获敏感信息。它特别擅长提取数据,如信用卡号、用户名、密码和其他可能在用户与应用程序交互或进行在线交易时存储在临时内存中的机密信息。
浏览器中间人攻击(MitB攻击,Man-in-the-Browser Attack)
浏览器中间人(MitB)攻击是一种网络攻击类型,恶意行为者将其代码插入受害者的网络浏览器中,使其能够拦截和操纵用户与网站之间的Web通信。
磁盘中间人攻击(MitD攻击,Man-in-the-Disk Attack)
磁盘中间人(MitD)攻击是一种安全漏洞和攻击向量,针对移动应用程序处理设备的外部存储(例如SD卡)的方式。在MitD攻击中,恶意行为者利用移动应用程序中的弱权限或不足的安全措施。他们将恶意文件放置在外部存储空间中,目标应用程序存储数据的地方,或操纵现有文件。
中间人攻击(MITM攻击,Man-in-the-Middle Attack)
中间人攻击(MITM)是一种网络攻击,未经授权的第三方拦截并可能操纵两方之间的通信,而这两方毫不知情。要执行中间人攻击,攻击者通常将自己置于受害者和合法方之间,充当秘密
中介。这可以通过各种技术实现,例如ARP欺骗、DNS欺骗或使用恶意代理服务器。
O
OLE(对象链接和嵌入)(Object Linking and Embedding)
对象链接和嵌入(OLE)是由微软开发的技术,允许不同的应用程序共享和操作对象或数据。使用OLE,您可以将一个应用程序中创建的对象(如电子表格或图表)嵌入到另一个应用程序中,例如文档或演示文稿。
OpenID
OpenID是一种用于单一登录(SSO)身份验证的开放标准协议。它允许用户使用一组登录凭据访问多个网站或应用程序,而无需为每个网站或应用程序创建和记住单独的用户名和密码。
开源情报(OSINT)(Open-Source Intelligence)
开源情报(OSINT)是收集、分析和利用各种公开可用信息的实践,以获取见解和情报。OSINT来源包括网站、社交媒体、新闻文章、公共记录等。
叠加攻击(Overlaying Attack)
叠加攻击是一种网络安全威胁,攻击者在合法界面或应用程序的顶部创建欺骗性的叠加层。此攻击的目标是欺骗用户与恶意叠加层进行交互,通常是为了窃取敏感信息,如登录凭据或信用卡详细信息。叠加攻击通常与钓鱼和社会工程学策略相关。
外部威胁(Outsider threat)
外部威胁是可能来自外部来源(如竞争组织、另一个国家或怀恨在心的前员工)的潜在威胁。
OWASP(开放Web应用程序安全项目)(Open Web Application Security Project)
OWASP是一个旨在通过各种工具和实践帮助网站改进其网络防御的在线社区。该社区专注于研究攻击模式,以尽可能多地了解恶意软件,以构建有效的防御策略。
P
数据包嗅探(Packet sniffing)
数据包嗅探是一种将数据包(计算机网络传输的一部分)捕获并保存以供网络管理员或安全研究人员进一步分析的过程。
付款卡窃取器(Payment card skimmers)
付款卡窃取器是一种与POS终端一起使用的设备,黑客使用它来从受害者身上获取付款卡信息,当受害者将塑料卡插入终端时。
渗透测试(Penetration testing)
渗透测试是一项复杂的网络安全程序,涉及道德黑客。因此,网络安全专业人员使用真实恶意软件和恶意技术对系统进行受控攻击,以查找防御中的弱点。
钓鱼(Phishing)
钓鱼是一种恶意技术,通过欺骗受害者来愿意披露数据,作为人际互动的一部分,例如回复短信或电子邮件,来揭示敏感信息。
搭便车程序(Piggyback programs)
搭便车程序是与用户明确下载的主程序一起提供的软件。当主要软件的安装结束时,它通常会显示提示,要求用户下载另一个产品,希望用户会自动点击“确定”。
公钥基础设施(PKI)(Public Key Infrastructure)
PKI是一组加密安全技术,旨在创建更强大的通信和信息存储的网络防御。
POS(销售点)入侵(Point of Sale intrusions)
销售点入侵发生在攻击者黑客入侵实体店或支持在线结账的网站的POS终端时。销售点入侵的目标是从在定向组织购物的受害者那里窃取信用卡信息。
POP3(邮局协议3)(Post Office Protocol 3)
POP3或邮局协议3(Post Office Protocol 3)是用于从邮件服务器接收电子邮件到客户设备(如电子邮件客户端或应用程序)的标准电子邮件协议。当您使用POP3设置配置电子邮件客户端时,它会连接到邮件服务器,将传入的电子邮件下载到客户设备,并通常从服务器上删除这些电子邮件。
Punycode
Punycode是一种用于将国际化域名(IDNs)编码为与ASCII字符集兼容的格式的方法。IDNs允许域名包括非ASCII字符,如带重音的字母或来自各种语言的字符。Punycode将这些非ASCII字符转换为标准化的ASCII表示,使浏览器和其他互联网应用程序能够正确处理和显示带有国际字符的域名。
R
远程访问木马(RAT,Remote Access Trojan)
远程访问木马(RAT)是恶意软件,允许攻击者未经授权访问和控制受害者的计算机或网络。一旦部署,RAT允许远程监视、数据窃取和在受感染系统上执行命令。
勒索软件(Ransomware)
一种恶意程序,用于加密受害者的信息,并威胁如果不支付赎金,将永久丢失对数据的访问。
勒索软件通常会在桌面上放置一个赎金提示,其中包含有关恢复数据的说明。提示将受害者引导到一个网站,他们可以在那里使用加密货币付款获取解密密钥。
RaaS(勒索软件即服务,Ransomware as a Service)
RaaS是分发勒索软件的一种方法,恶意软件创作者将程序分发给客户以换取金钱,而不是自己运营恶意软件。购买RaaS的客户通常获得恶意软件构建、操作仪表板访问以及技术支持的权限。
RC4(Rivest Cipher 4)
RC4,全称Rivest Cipher 4,是广泛使用的流密码加密算法。它以加密数据的简单性和速度而闻名。
远程桌面协议(RDP,Remote Desktop Protocol)
远程桌面协议(RDP)是微软专有的协议,允许通过网络连接远程访问计算机或服务器。
远程Shell
远程Shell,有时缩写为“RShell”或“rsh”,是一种网络通信工具,允许用户从本地计算机上执行对远程计算机或服务器的命令。它允许与远程系统进行命令行交互,便于文件传输、系统管理和故障排除等任务。远程Shell可能对合法目的有用,但也可能被恶意行为者利用,以未经授权的方式访问系统。
RSA(Rivest-Shamir-Adleman)
RSA,全称Rivest-Shamir-Adleman,是现代密码学中广泛使用的公钥加密算法。它以其发明者Ron Rivest、Adi Shamir和Leonard Adleman命名。RSA使用一对加密密钥:用于加密的公钥和用于解密的私钥。使用公钥加密的数据只能使用相应的私钥解密,这提供了一种在不受信任的网络上传输敏感信息的安全方式。
RTF(富文本格式)(Rich Text Format)
RTF,富文本格式(Rich Text Format),是用于包含格式信息(如字体样式、颜色和格式属性)的文本文档的文件格式。它通常用于创建需要在不同软件和操作系统之间保持一致格式的文档。RTF可以包含嵌入式恶意软件或恶意宏。
Rootkit
Rootkit是一种恶意程序类型,通过其隐秘性能力使其与其他恶意软件类型区分开来。Rootkit获得受感染计算机的操作系统的管理权限,并采取措施防止检测,从而使其能够长时间保持隐藏状态并收集尽可能多的数据。
S
SASE(安全访问服务边缘)(Secure Access Service Edge)
SASE,或安全访问服务边缘,是一种网络安全模型,将网络安全和广域网(WAN)功能集成到基于云的服务中。它确保远程用户和分支办公室安全可扩展地访问网络资源,简化了网络架构,并通过将关键功能移到云中增强了安全性。
沙盒化(Sandboxing)
沙盒化是一种创建隔离环境并在其中启动程序甚至整个操作系统以评估其行为或进行研究的过程,同时保护主系统的方法。
安全元素(Secure element)
安全元素是设备内的专用且防篡改的硬件组件,如智能手机或智能卡,旨在存储和保护敏感数据,包括加密密钥、生物识别信息和支付凭据。
SCADA(监控与数据采集)(Supervisory Control and Data Acquisition)
SCADA是一组用于记录信息以自动化大型和复杂计算机系统运行的操作和日志协议。
SD-WAN(软件定义广域网)(Software-Defined Wide Area Networking)
SD-WAN,即软件定义广域网,是一种技术,通过使用基于软件的方法来控制和管理广域网(WAN)中的数据流量,从而简化和优化了WAN的管理。
SSID(服务集标识符)(Service Set Identifier)
SSID,或服务集标识符,是分配给无线网络的唯一字母数字标识符。它用作网络的名称,允许无线设备识别并连接到特定的Wi-Fi网络。
SHA(安全散列算法)(Secure Hash Algorithm)
SHA,全称安全散列算法(Secure Hash Algorithm),是用于从可变长度输入数据生成固定长度散列值的一系列密码散列函数。常见的SHA算法包括SHA-1、SHA-256和SHA-3,每种算法具有不同级别的安全性。
侧信道攻击(Side Channel Attack)
侧信道攻击是一种网络安全攻击类型,利用物理系统在操作过程中的意外信息泄漏。与直接针对密码算法或软件漏洞的攻击不同,侧信道攻击专注于捕获由设备无意中发射的数据,如功耗、电磁辐射或时间信息。
Sinkholing
Sinkholing是一种网络安全技术,用于将恶意网络流量从其预定目标重定向到受控和安全的位置,通常由安全研究人员或网络管理员管理。
SIEM(安全信息与事件管理)(Security Information and Event Management)
SIEM是一个框架,规定了需要不断进行安全评估,帮助发现安全协议的异常或违规行为。
SOAR(安全编排、自动化和响应)(Security Orchestration, Automation, and Response)
SOAR,或安全编排、自动化和响应,是一种网络安全技术堆栈,简化了事件响应流程。SOAR平台集成并自动化安全工具,实现对安全事件、威胁和漏洞的高效响应。
SOPs(标准操作程序)(Standard Operating Procedures)
SOPs,有时称为“安全策略”,是组织中必须遵循的一组准则,以维护高水平的网络安全。
Smurf攻击
Smurf攻击是一种分布式拒绝服务(DDoS)攻击类型,通过利用Internet控制消息协议(ICMP)和IP广播地址来针对受害者的网络。在Smurf攻击中,攻击者向网络上的IP广播地址发送大量的ICMP回显请求(ping)数据包。这会导致网络上的所有设备都对受害者的IP地址做出ICMP回显响应,从而用大量流量淹没受害者的网络。
垃圾邮件(SPAM)
垃圾邮件是一种侵入性、不受欢迎且通常质量较低的内容或消息,通常以大批量分发给大量联系人。
定向钓鱼(Spear phishing)
定向钓鱼是一种攻击,攻击者使用社会工程学技巧和有针对性的方法,利用受害者的真实联系人。个性化内容使得有针对性的钓鱼攻击尤其危险,因为攻击者可以欺骗受害者认为他们正在与合法实体打交道。
间谍软件(Spyware)
间谍软件是一种记录用户操作并将其发送给攻击者的恶意程序。它可以以合法形式存在,当广告公司操作它以了解客户行为时,或作为黑客在非法应用中使用时,就成为恶意软件。
SQL注入(SQL Injection)
SQL注入是一种恶意技术,攻击者利用Web应用程序的输入验证漏洞来操纵发送到数据库的SQL查询。通过将恶意SQL代码注入用户输入,例如文本字段或URL,攻击者可以欺骗应用程序执行不受意图的数据库命令。
SSH(安全外壳协议)(Secure Shell)
SSH,或安全外壳协议,是一种加密网络协议,用于在不安全的网络(如互联网)上实现安全的远程访问、身份验证和数据通信。SSH加密了客户端(例如Web浏览器)和服务器(例如网站)之间传输的所有数据,防止窃听和未经授权的访问。
SSL(安全套接字层)(Secure Sockets Layer)
SSL,或安全套接字层,是一种加密协议,用于确保用户的Web浏览器和Web服务器之间的安全和加密通信。SSL旨在建立一个安全连接,用于在互联网上传输敏感数据,如登录凭据、信用卡信息和个人详细信息。它通常与HTTP协议(HTTPS)一起使用。
栈溢出(Stack Smashing)
栈溢出,也称为缓冲区溢出,是一种网络安全漏洞和利用技术,当攻击者将更多数据注入缓冲区(临时数据存储区)中,超过其容量时发生。这些多余的数据会溢出到相邻的内存区域,可能会损坏或更改关键的程序数据和控制流程。
Stalkerware
Stalkerware是一种恶意软件,安装在受害者的设备上,通常在受害者不知情或未经同意的情况下,以秘密监视和记录其活动。
符号链接(Symlink,Symbolic Link)
符号链接,简称符号链接,是文件系统中指向另一个文件或目录的引用或指针。与硬链接不同,硬链接直接指向目标文件或目录的数据,而符号链接是一个单独的文件,包含对目标的路径或引用。
T
TCP(传输控制协议)(Transmission Control Protocol)
TCP,或传输控制协议,是Internet协议套件的核心协议之一,负责在网络上的两个设备之间进行可靠的数据传输。TCP提供了一种面向连接的、具有错误检查的通信方法,确保从一个设备发送的数据被接收设备准确地并按正确顺序接收。
威胁情报(Threat intelligence)
威胁情报包括组织对过去、现在或未来网络威胁的所有信息。网络安全专业人员使用威胁情报数据来防御潜在的攻击。
特洛伊木马(Trojan Horse,Trojan)
特洛伊木马是一种恶意程序,它欺骗用户认为它是无害的,并使用社会工程学技巧控制受害者下载恶意软件并启动执行过程。
洋葱路由(TOR,The Onion Router)
TOR,全称洋葱路由(The Onion Router),是一种注重隐私的网络技术,用于促进匿名互联网通信。它通过将数据经过一系列志愿者操作的服务器或“节点”,每个节点都剥离一层加密,类似于洋葱的层次,来实现匿名性。
TLS(传输层安全)(Transport Layer Security)
TLS,或传输层安全,是一种用于在网络上(通常是互联网)安全传输数据的加密协议。它确保两个系统之间交换的数据在传输过程中保持私密和防篡改。TLS通过创建客户端(例如Web浏览器)和服务器(例如网站)之间的安全“隧道”来加密数据。
TPM(可信平台模块)(Trusted Platform Module)
TPM,或可信平台模块,是集成到计算机和设备中以增强其安全性的基于硬件的安全组件。它存储加密密钥、密码和其他敏感数据,保护它们免受基于软件的攻击和未经授权的访问。
U
UDP(用户数据报协议)
UDP(User Datagram Protocol)是计算机网络中的核心传输层协议之一。它位于Internet协议(IP)之上,用于在网络中发送数据包。与TCP(传输控制协议)不同,UDP是一种无连接协议,在发送数据之前不建立专用的可靠连接。这使得UDP更快,但不够可靠,因为它不保证数据的传递或顺序。
UEBA(用户和实体行为分析)
UEBA(User and Entity Behavior Analytics)是一种网络安全技术,专注于监视和分析网络或系统中用户和实体(如设备和应用程序)的行为。它使用机器学习和高级分析来建立用户和实体的正常行为基线。当出现与此基线的偏差时,UEBA可以检测潜在的安全威胁或异常,例如内部威胁或未经授权的访问。
UEFI(统一可扩展固件接口)
UEFI(Unified Extensible Firmware Interface)是传统BIOS(基本输入/输出系统)的现代替代品,用于在计算机引导过程中初始化和管理硬件组件。
URL欺骗
URL欺骗是一种欺骗性做法,攻击者创建一个伪造的Web地址(URL),其外观与合法地址非常相似。
UAF(使用后释放)
UAF(Use-After-Free)是一种关键的软件漏洞,发生在程序或应用程序试图访问或使用先前释放或释放的内存时。
用户代理
用户代理(User Agent),通常称为UA,是一种软件或应用程序,在与Web服务器或在线服务进行交互时代表用户的软件或应用程序。它是客户端(如Web浏览器)发送到Web服务器以请求Web页面或资源时HTTP请求的重要组成部分。用户代理字符串通常包含在HTTP标头中,包含有关客户端软件的信息,如名称、版本,有时还包括有关操作系统和设备的其他详细信息。
USSD(非结构化补充业务数据)
USSD(Unstructured Supplementary Service Data)是移动电话用于在设备和移动网络服务器之间发送基于文本的消息的通信协议。与短信(Short Message Service,短信)不同,USSD消息是实时发送的,通常用于互动通信,而短信是存储和转发的,可能会延迟。
V
VBS(Visual Basic Script)
VBS(Visual Basic Script)是由Microsoft开发的一种脚本语言。它通常用于自动化任务、创建小型应用程序以及自定义Windows操作系统的行为。VBS脚本以纯文本编写,并可以使用Windows脚本主机(Windows Script Host,WSH)或其他脚本引擎执行。恶意行为者通常会利用VBS来分发恶意软件等有害行为。
VNC(Virtual Network Computing)
VNC(Virtual Network Computing)是一种远程桌面协议和软件应用程序,允许用户通过网络连接控制和查看远程计算机或服务器的图形桌面。
VLAN(虚拟局域网)
VLAN(Virtual Local Area Network,虚拟局域网)是一种网络分段技术,用于将物理网络划分为多个逻辑子网络。这些子网络相互隔离,尽管它们共享相同的物理网络基础设施。
病毒(Virus)
病毒(Virus)是一种恶意软件类型,通常会附加到主文件中,并在受害者与主机文件互动时执行。这种类型的恶意软件通过用户的互动传播到其他对象,甚至传播到网络中的其他计算机。
Vishing(语音钓鱼)
Vishing(语音钓鱼)是一种钓鱼攻击实例,攻击者使用VoIP(Voice over IP,互联网语音通信协议)呼叫另一个VoIP用户,以便与受害者进行口头沟通。
W
Watering Hole
“Watering Hole”(饮水洞)攻击是一种有针对性的网络攻击类型,恶意行为者会 compromise 经常被特定用户群体访问的网站或在线资源。其目标是通过向这些合法网站注入恶意软件来感染目标用户群体的计算机。
WebDAV(Web分布式创作和版本控制)
WebDAV(Web Distributed Authoring and Versioning,Web分布式创作和版本控制)是HTTP(超文本传输协议)的扩展,用于启用文件和文档在Web服务器上的协作编辑和管理。
WebRTC(Web实时通信)
WebRTC(Web Real-Time Communication,Web实时通信)是一个开源项目和一组Web技术,可实现Web浏览器和应用程序之间的实时通信。
Wi-Fi Dissociation
Wi-Fi Dissociation(Wi-Fi解关联),通常称为去认证(deauthentication),是一种用于断开客户端设备与Wi-Fi网络连接的网络安全过程。通常由网络管理员执行,以防止未经授权的访问或管理网络资源。
通配符证书(Wildcard Certificate)
通配符证书(Wildcard Certificate)是一种SSL/TLS证书,用于安全地保护单个域名下的多个子域名。例如,对于“*.example.com”的通配符证书
可以保护“blog.example.com”、“shop.example.com”等子域名。虽然方便且具有成本效益,但通配符证书可能存在安全风险。如果被攻破,攻击者将控制证书所保护的所有子域名。
WEP
WEP(Wired Equivalent Privacy)是一种用于无线网络的过时加密标准。它于1997年引入,被发现存在多个漏洞,相对容易在几分钟内破解。由于其弱点,WEP已大规模被更安全的协议如WPA和WPA2所取代。
WPA和WPA2
WPA(Wi-Fi Protected Access)和WPA2是用于保护无线网络的加密协议。WPA是为替代有缺陷的WEP标准而开发的临时解决方案,而WPA2是随后推出的增强版本。WPA2使用AES加密标准,提供比WPA更强的安全性,WPA通常使用TKIP加密。这两种协议都被认为比WEP安全得多,但应正确配置以最大化保护。
Worm(蠕虫)
Worm(蠕虫)是一种恶意程序,其重点是通过将其代码复制到文件中并通过网络传播来传播到尽可能多的系统。蠕虫曾经是向受害者传送最终恶意有效载荷的常用方式,但如今它们已经很少使用。
X
XXE攻击(XML External Entity攻击)
XXE(XML External Entity)攻击利用XML解析器中的漏洞来读取本地文件、与内部系统交互或执行远程代码。攻击发生在应用程序处理引用外部实体的XML输入时。
Y
YARA
YARA是一种用于基于文本或二进制模式识别和分类恶意软件的工具。它类似于编写防病毒签名,但更灵活和可扩展。YARA规则可以应用于事件响应的不同阶段,从初始检测到深入的恶意软件分析。
Z
零日漏洞利用(Zero-day exploit)
零日漏洞利用是指软件中尚未修复或利用它们的程序的漏洞。
Zip炸弹(Zip-bomb)
Zip炸弹是一种恶意存档文件,旨在通过耗尽系统资源来损害或使其无法正常工作。当解压缩存档时,它会解压缩成比原始文件大得多的大小,通常为几千兆字节甚至比特字节。Zip炸弹主要用于禁用防病毒软件或对文件处理系统进行拒绝服务攻击。
僵尸(Zombie)
僵尸计算机是一台被恶意软件操作者非法访问的计算机,并成为僵尸网络的一部分。僵尸计算机代表攻击者执行恶意操作,攻击者控制了受损计算机的资源。
0 – 9
3DES
3DES(Triple DES)是一种加密算法,它将DES加密方法应用于每个数据块三次。虽然比单一DES更安全,但通常被认为不如更现代的算法如AES安全。
802.1X
802.1X是用于网络访问控制的标准,通常用于企业Wi-Fi网络中。它提供了一个基于用户凭据或设备证书的身份验证和流量控制框架。
