信息安全工程师学习笔记《第二章》

2.MITRE ATT&CK模型

MITRE根据真实观察到的 络攻击数据提炼形成攻击矩阵模型MITRE ATT&CK，该模型把攻击活动抽象为初始访问（Initial Access）、执行（Execution）、持久化（Persistence）、特权提升（Privilege Escalation）、躲避防御（Defense Evasion）、凭据访问（Credential Access）、发现（Discovery）、横向移动（Lateral Movement）、收集（Collection）、指挥和控制（Command and Control）、外泄（Exfiltration）、影响（Impact），然后给出攻击活动的具体实现方式，详见 MITRE 官方。基于MITRE ATT&CK常见的应用场景主要有 络红蓝对抗模拟、 络安全渗透测试、 络防御差距评估、 络威胁情 收集等。

3. 络杀伤链（Kill Chain）模型

洛克希德·马丁公司提出的 络杀伤链模型（简称Kill Chain模型），该模型将 络攻击活动分成目标侦察（）、武器构造（）、载荷投送（）、漏洞利用（）、安装植入（）、指挥和控制（）、目标行动（）等七个阶段。
（1）目标侦擦。 研究、辨认和选择目标，通常利用爬虫获取 站信息，例如会议记录、电子邮件地址、 交关系或有关特定技术的信息。
（2）武器构造。 将远程访问的特洛伊木马程序与可利用的有效载荷结合在–起。例如，利用 Adobe PDF或Microsoft Office文档用作恶意代码载体。
（3）载荷投送。 把武器化有效载荷投送到目标环境，常见的投送方式包括利用电子邮件附件、 站和USB可移动介质。
（4）漏洞利用。 将攻击载荷投送到受害者主机后，漏洞利用通常针对应用程序或操作系统漏洞，会触发恶意代码功能。
（5）安装植入。 在受害目标系统上安装远程访问的特洛伊木马或后门程序，以持久性地控制目标系统。
（6）指挥和控制。 构建对目标系统的远程控制通道，实施远程指挥和操作。通常目标系统与互联 控制端服务器建立C2通道。
（7）目标行动。 采取行动执行攻击目标的任务，如从受害目标系统中收集、加密、提取信息并将其送到目标 络外;或者破坏数据完整性以危害目标系统;或者以目标系统为“跳板”进行横向扩展渗透内部 络。

2.1.3 络攻击发展

随着 络信息技术的普及与应用发展，越来越多的人能够使用和接触 络， 民可从因特 上学习攻击方法并下载黑客工具。 络信息环境受到不同类别的攻击者的威胁，如黑客、犯罪、工业间谍、普通用户、超级用户、管理员、恐怖组织等。攻击者从以前的单机系统为主转变到以 络及信息运行环境为主的攻击。攻击者通过制定攻击策略，使用各种各样的工具组合，甚至由软件程序自动完成目标攻击。攻击方法多种多样，如 络侦听获取 上用户的账 和密码、利用操作系统漏洞攻击、使用某些 络服务泄露敏感信息攻击、强力破解口令、认证协议攻击、创建 络隐蔽信道、安装特洛伊木马程序、拒绝服务攻击、分布式攻击等。
归纳起来， 络攻击具有以下变化趋势。

1. 络攻击工具智能化、自动化

络攻击者利用已有的攻击技术编制能够自动攻击的工具软件， 络攻击软件集成多种攻击功能，具有信息搜集、漏洞利用、复制传播、目标选择等能力。“红色代码”“冲击波”“永恒之蓝”等 络蠕虫可在 络信息系统中自动扩散，导致 络瘫痪、服务及数据不可用等严重安全问题。

2. 络攻击者群体普适化

由于自动化 络攻击软件的出现， 络攻击者可利用软件工具完成复杂攻击。 络攻击者由技术人员向非技术人员变化。非技术人员通过使用工具实施对 络目标系统的攻击，极易导致 络攻击技术的滥用。

3. 络攻击目标多样化和隐蔽性

络攻击目标日趋多样性， 络攻击对象以操作系统为主转向 络的各个层面，包括 络通信协议、安全协议、域名服务器、路由设备、 络应用服务，甚至 络安全设备等，均成为攻击目标。除此之外， 络攻击目标的隐蔽性增强， 络内容、 络业务系统、 络物理环境以及 络关联对象也成为攻击对象之一， 络攻击对象扩展到物理 空间和 会空间。

4. 络攻击计算资源获取方便

攻击者利用因特 巨大的计算资源，开发特殊的程序将分布在不同地域的计算机协同起来，向特定的目标发起攻击。例如，基于僵尸 络发起DDoS攻击。另外， 络攻击者利用云计算、高性能计算以提高攻击计算能力。例如，基于GPU计算加速口令破解速度。

5. 络攻击活动持续性强化

高级持续威胁(简称APT)日趋常态化，国外APT组织对国内的金融、政府、教育、科研等目标系统持续发动攻击。 上已发现和公布的高级 络安全威胁行为主体主要有 “方程式”“白象”“海莲花”“绿斑” “蔓灵花” 等。某些 络攻击活动持续长达十年以上,直到被发现。

6. 络攻击速度加快

络中的漏洞往往是攻击者先发现、先利用， 络安全防御处于被动局面。如果 络安全防御者未补上新公布的漏洞， 络攻击者就有机可乘。 络攻击者掌握主动权，而防御者被动应付。

7. 络攻击影响扩大

络信息安全攻击的影响日益增大，其影响可延伸到物理空间、 会空间，严重时可导致城市停电停水停气、交通瘫痪、工厂停产、 会混乱等。

8. 络攻击主体组织化

早期的 络攻击通常由技术爱好者发起，其目的在于炫耀技术。而目前的 络攻击主体日益复杂化，各种利益团体参与 络攻击活动。例如，通过“震 ”病毒的 络攻击能力显示国家力量的存在。 络空间成为各个国家的重要保护领域，一 些 络信息科技发达的国家已经建立起 军，并研制系列化 络武器。
总而言之， 络信息系统面临日益严重的安全威胁， 络安全问题全面影响 会的各个领域，威胁着 会安全和国家安全。

2.2 络攻击一般流程

本节把 络攻击过程归纳为以下几个步骤：
（1）隐藏攻击源。 隐藏黑客主机位置使得系统管理无法追踪。
（2）收集攻击目标信息。 确定攻击目标并收集目标系统的有关信息。
（3）挖掘漏洞信息。 从收集到的目标信息中提取可使用的漏洞信息。
（4）获取目标访问权限。 获取目标系统的普通或特权账户的权限。
（5）隐蔽攻击行为。 隐蔽在目标系统中的操作，防止入侵行为被发现。
（6）实施攻击。 进行破坏活动或者以目标系统为跳板向其他系统发起新的攻击。
（7）开辟后门。 在目标系统中开辟后门，方便以后入侵。
（8） 清除攻击痕迹。 避免安全管理员发现、追踪以及法律部门取证。

2.2.1隐藏攻击源

• 利用被侵入的主机作为跳板；
• 免费代理 关；
• 伪造IP地址；
• 假冒用户账 。

2.2.2收集攻击目标信息

在发动一些攻击之前，攻击者一定要先确定攻击目标并收集目标系统的信息。
攻击者常常收集的目标系统的信息如下：

• 目标系统一般信息，主要有目标系统的IP地址、DNS服务器、邮件服务器、 站服务器、操作系统软件类型及版本 、数据库软件类型及版本 、应用软件类型及版本 、系统开发商等；
• 目标系统配置信息，主要有系统是否禁止root远程登陆、缺省用户名/默认口令等；
• 目标系统的安全漏洞信息，主要是目标系统的有漏洞的软件及服务；
• 目标系统的安全措施信息，主要是目标系统的安全厂商、安全产品等；
• 目标系统的用户信息，主要是目标系统用户的邮件账 、 交 帐 、手机 、固定电话 码、照片、爱好等个人信息。

2.2.3挖掘漏洞信息

系统中漏洞的存在是系统受到各种安全威胁的根本原因。
外部攻击者的攻击主要利用了系统 络服务中的漏洞，内部人员则利用了系统内部服务及其配置上的漏洞。
拒绝服务攻击主要是利用资源的有限性及分配策略的漏洞，长期占用有限资源不释放，使其他用户得不到应得的服务；或者是利用服务处理中的漏洞，使该服务程序崩溃。
攻击者攻击的重要步骤就是尽量按掘出系统的漏洞，并针对具体的漏洞研究相应的攻击方法。
常用的漏洞挖掘技术方法有如下内容：

1.系统或应用服务软件漏洞

攻击者可以根据目标系统提供的不同服务，使用不同的方法以获取系统的访问权限。
如系统提供了finger 服务，攻击者就能因此得到系统用户信息，进而通过猜测用户口令获取系统的访问权;如果系统还提供其他的一些远程 络服务，如邮件服务、WWW服务、匿名FTP服务、TFTP服务，攻击者就可以使用这些远程服务中的漏洞获取系统的访问权。

2.主机信任关系漏洞

攻击者寻找那些被信任的主机，通常这些主机可能是管理员使用的机器，或是一台被认为很安全的服务器。
比如，攻击者可以利CGI的漏洞，读取/ect/hosts.allow文件等。通过这个文件，就可以大致了解主机间的信任关系。下步，就是探测这些被信任的主机中哪些存在漏洞。

3.目标 络的使用者漏洞

尽量去发现有漏洞的 络使用者，这样就能达到事半功倍的效果，从内部攻破。
常见的攻击方法主要有 络邮件钓鱼、用户弱口令破解、U盘摆渡攻击、 页恶意代码等

4.通信协议代码

通过分析目标 络所采用的协议信息寻找漏洞，如IP协议中的地址伪造漏洞、Telent/Http/Ftp/POP3/SMT等协议的明文传输信息漏洞。

5. 络业务系统漏洞

通过掌握目标 络的业务信息发现漏洞，如业务服务申请登记非实名漏洞。

2.2.4获取目标访问权限

一般账户对目标系统只有有限的访问权限，要达到某些目的，攻击者必须拿到更多的权限。因此在获得一般账户之后， 攻击者经常会试图去获得更高的权限，如系统管理账户的权限。
获取系统管理权限通常有以下途径:

• 获得系统管理员的口令，如专门针对root用户的口令攻击；
• 利用系统管理上的漏洞，如错误的文件许可权，错误的系统配置，某些SUID程序中存在的缓冲区溢出问题等;
• 让系统管理员运行一些特洛伊木马， 如经篡改之后的LOGIN程序等；
• 窃听管理员口令。

2.2.5隐蔽攻击行为

在进入系统之后，聪明的攻击者要做的第一件事就是隐藏自己的行踪。
攻击者隐藏自己的行踪通常要用到下面这些技术:

• 连接隐藏，如冒充其他用户、修改LOGNAME环境变量、修改utmp日志文件、使用IP SPOOF技术等。
• 进程隐藏，如使用重定向技术减少ps给出的信息量、用特洛伊木马代替ps程序等。
• 文件隐蔽，如利用字符串相似麻痹系统管理员，或修改文件属性使得普通显示方法无法看到;利用操作系统可加载模块特性，隐瞒攻击时所产生的信息。

2.2.6实施攻击

不同的攻击者有不同的攻击目的。
一般来说，实施攻击的目标可归纳为以下几种：

• 攻击其他被信任的主机和 络；
• 修改或删除重要数据；
• 窃听敏感数据；
• 停止 络服务;
• 下载敏感数据；
• 删除数据账 ；
• 修改数据记录；

2.2.7开辟后门

一次成功的入侵通常需要花费大量时间和精力，因此，精于算计的攻击者在离开之前会在系统中开辟一些后门。
攻击者设计后门时通常会考虑以下方法：

• 放宽文件许可权；
• 重新开放不安全的服务，如REXD、TFTP等；
• 修改系统的配置，如系统启动文件、 络服务配置文件等；
• 替换系统本身的共享库文件；
• 修改系统的源代码，安装各种特洛伊木马；
• 安装嗅探器；
• 建立隐蔽信道。

2.2.8清除攻击痕迹

为避免安全管理员发现、追踪以及法律部门取证，攻击时常会消除攻击痕迹。
常用方法有：

• 篡改日志文件中的审计信息
• 改变系统时间造成日志文件数据紊乱以迷惑系统管理员；
• 删除或停止审计服务进程；
• 干扰入侵检测系统的正常运行；
• 修改完整性检测标签。

2.3 络攻击常见技术方法

本节主要介绍常见的 络攻击技术方法。

2.3.1端口扫描

端口扫描的目的是找出目标系统上提供的服务列表。
端口扫描程序挨个尝试与TCP/UDP端口连接，然后根据端口与服务的对应关系，结合服务器端的反应推断目标系统上是否运行了某项服务，通过这些服务可能获得关于目标系统的进一步的知识或通往目标系统的途径。
下面介绍端口扫描类型：

1.完全连接扫描

完全连接扫描利用TCP/IP 协议的三次握手连接机制，使源主机和目的主机的某个端口建立一次完整的连接。
如果建立成功，则表明该端口开放。否则，表明该端口关闭。

2. 半连接扫描

半连接扫描是指在源主机和目的主机的三次握手连接过程中，只完成前两次握手，不建立一次完整的连接。

3.SYN扫描

首先向目标主机发送连接请求，当目标主机返回响应后，立即切断连接过程，并查看响应情况。
如果目标主机返回ACK信息，表示目标主机的该端口开放。如果目标主机返回RESET信息，表示该端口没有开放。

4.ID头信息扫描

这种扫描方法需要用一台第三方机器配合扫描，并且这台机器的 络通信量要非常少，即dumb主机。
首先由源主机A向dumb主机B发出连续的PING数据包，并且查看主机B返回的数据包的ID头信息。一般而言，每个顺序数据包的ID头的值会增加1。然后由源主机A假冒主机B的地址向目的主机C的任意端口(1~65535) 发送SYN数据包。这时，主机C向主机B发送的数据包有两种可能的结果:

• SYN|ACK表示该端口处于监听状态。
• RST|ACK表示该端口处于非监听状态。

那么，由后续PING数据包的响应信息的ID头信息可以看出，如果主机C的某个端口是开放的，则主机B返回A的数据包中，ID头的值不是递增1,而是大于1。如果主机C的某个端口是非开放的，则主机B返回A的数据包中，ID 头的值递增1,非常规律。

5.隐蔽扫描

隐蔽扫描是指能够成功地绕过IDS、防火墙和监视系统等安全机制，取得目标主机端口信息的一种扫描方式。

6.SYN|ACK扫描

由源主机向目标主机的某个端口直接发送SYN|ACK数据包，而不是先发送SYN数据包。由于这种方法不发送SYN数据包，目标主机会认为这是一次错误的连接，从而会 错。
如果目标主机的该端口没有开放，则会返回RST信息。如果目标主机的该端口处于开放状态(LISTENING)，则不会返回任何信息，而是直接将这个数据包抛弃掉。

7.FIN扫描

源主机A向目标主机B发送FIN数据包，然后查看反馈信息。如果端口返回RESET信息则说明该端口关闭。如果端口没有返回任何信息，则说明该端口开放。

8.ACK扫描

首先由主机A向目标主机B发送FIN数据包，然后查看反馈数据包的TTL值和WIN值。
开放端口所返回的数据包的TTL值一般小于64,而关闭端口的返回值一般大于64。开放端口所返回的数据包的WIN值一般大于0，而关闭端口的返回值一般等于0。
FIN：FIN(ISH)为TCP 头的码位字段，该位置为1的含义为发送方字节流结束，用于关闭连接。
当两端交换带有FIN标志的TCP 文段并且每一端都确认另一端发送的FIN包时，TCP连接将会关闭。FIN位字面上的意思是连接一方再也没有更多新的数据发送。然而，那些重传的数据会被传送，直到接收端确认所有的信息。

9.NULL扫描

将源主机发送的数据包中的ACK、FIN、 RST、SYN、URG、PSH 等标志位全部置空。
如果目标主机没有返回任何信息，则表明该端口是开放的。如果返回RST信息，则表明该端口是关闭的。

10.XMAS扫描

XMAS扫描的原理和NULL扫描相同，只是将要发送的数据包中的ACK、FIN、RST、SYN、URG、PSH等头标志位全部置成1。
如果目标主机没有返回任何信息，则表明该端口是开放的。如果返回RST信息，则表明该端口是关闭的。
络端口扫描是攻击者必备的技术，通过扫描可以掌握攻击目标的开放服务，根描扫描所获得的信息，为下一步的攻击做准备。

2.3.2口令破解

口令机制是资源访问控制的第一道屏障。
络攻击者通常以破解弱口令为突破口，获取系统的访问权。
据调查，20%到30%的口令可通过对字典或常用字符表进行搜索或经过简单的置换发现。
目前，有专用的口令攻击软件，这些软件能够针对不同的系统进行攻击。此外，一些远程 络服务的口令破解软件也开始出现，攻击者利用这些软件工具，进行远程猜测 络服务口令，其主要工作流程如下:

• 第一步，建立与目标 络服务的 络连接;
• 第二步，选取一个用户列表文件及字典文件;
• 第三步，在用户列表文件及字典文件中，选取一组用户和口令，按 络服务协议规定，将用户名及口令发送给目标 络服务端口;
• 第四步，检测远程服务返回信息，确定口令尝试是否成功;
• 第五步，再取另一组用户和口令，重复循环试验，直至口令用户列表文件及字典文件选取完毕。

2.3.3缓冲区溢出

缓冲区溢出攻击可以使攻击者有机会获得一台主机的部分或全部的控制权。
据统计，缓冲区溢出攻击占远程 络攻击的绝大多数。缓冲区溢出成为远程攻击主要方式的原因是，缓冲区溢出漏洞会给予攻击者控制程序执行流程的机会。
攻击者将特意构造的攻击代码植入有缓冲区溢出漏洞的程序之中，改变漏洞程序的执行过程，就可以得到被攻击主机的控制权。
下图为通过缓冲区溢出获取主机的控制权示意图：

2.3.14数据加密

络攻击者常常采用数据加密技术来逃避 络安全管理人员的追踪。
加密使 络攻击者的数据得到有效保护，即使 络安全管理人员得到这些加密的数据，没有密钥也无法读懂，这样就实现了攻击者的自身保护。
攻击者的原则是任何与攻击有关的内容都必须加密或者立即销毁。

2.4黑客常用工具

本节主要介绍 络攻击者常常采用的工具，主要包括有扫描器、远程监控、密码破解、 络嗅探器、安全渗透工具箱等。

2.4.1扫描器

扫描器正如黑客的眼睛，通过扫描程序，黑客可以找到攻击目标的IP地址、开放的端口 、服务器运行的版本、程序中可能存在的漏洞等。
现在 络上很多扫描器在功能上都设计得非常强大，并且综合了各种扫描需要，将各种功能集于一身。
根据不同的扫描目的，扫描类软件又分为地址扫描器、端口扫描器、漏洞扫描器三个类别。利用扫描器，黑客收集目标信息的工作可轻松完成，从而可以让黑客清楚地了解目标，将目标“摸得一清二楚”，这对于攻击来说是至关重要的。
下面列出几种经典的扫描软件:

• NMAP NMap (Network Map)即 络地图，通过NMap可以检测 络上主机的开放端口 、主机的操作系统类型以及提供的 络服务。
• Nessus Nessus早期是免费的、开放源代码的远程安全扫描器，可运行在Linux操作系统平台上，支持多线程和插件。目前，该工具已商业化。
• SuperScan SuperSsen 是一款具有TCP connect端口扫描、Ping和域名解析等功能的工具，能较容易地对指定范围内的IP地址进行Ping和端口扫描。

2.4.2远程监控

远程监控实际上是在受害机器上运行一个代理软件，而在黑客的电脑中运行管理软件，受害机器受控于黑客的管理端。
受害机器通常被称为“肉鸡”，其经常被用于发起DDoS拒绝服务攻击或作为攻击跳板。
常见的远程监控工具有冰河、 络精灵、Netcat。

2.4.3密码破解

密码破解是安全渗透常用的工具，常见的密码破解方式有口令猜测、穷举搜索、撞库等。
口令猜测主要针对用户的弱口令。
穷举搜索就是针对用户密码的选择空间，使用高性能计算机，逐个尝试可能的密码，直至搜索到用户的密码。
撞库则根据已经收集到的用户密码的相关数据集，通过用户关键词搜索匹配，与目标系统的用户信息进行碰撞，以获取用户的密码。
密码破解工具大多数是由高级黑客编写出来的，供初级黑客使用的现成软件，使用者只要按照软件的说明操作就可以达到软件的预期目的。
密码破解的常见工具如下：

• John the Ripper John the Ripper用于检查Unix/Linux系统的弱口令，支持几乎所有Unix平台上经crypt函数加密后的口令哈希类型。
• LOphtCrack LOphtCrack常用于破解Windows系统口令，含有词典攻击、组合攻击、强行攻击等多种口令猜解方法。

2.4.4 络嗅探器

络嗅探器(Network Snifer)是一种黑客攻击工具，通过 络嗅探，黑客可以截获 络的信息包，之后对加密的信息包进行破解，进而分析包内的数据，获得有关系统的信息。
如可以截获个人上 的信息包，分析上 账 、系统账 、电子邮件账 等个人隐私资料。
络嗅探类软件已经成为黑客获取秘密信息的重要手段，常见的 络嗅探器工具有Tcpdump、DSniff、 WireShark 等。

• Tcpdump/WireShark Tcpdump是基于命令行的 络数据包分析软件，可以作为 络嗅探工具，能把匹配规则的数据包内容显示出来。而WireShark则提供图形化的 络数据包分析功能，可视化地展示 络数据包的内容。
• DSniff DSniff 是由Dug Song开发的一套包含多个工具的软件套件，包括dsniff、filesnarf、mailsnarf、 msgsnarf、 rlsnarf 和webspy。使用DSniff可以获取口令、邮件、文件等信息。

2.4.5安全渗透工具箱

1. Metasploit

Metasploit是一个 开源渗透测试工具，提供漏洞查找、漏洞利用、漏洞验证等服务功能。Metasploit支持1500多个漏洞挖掘利用，提供OWASP TOP10漏洞测试。

2. BackTrack5

BackTrack集成了大量的安全工具软件，支持信息收集、漏洞评估、漏洞利用、特权提升、保持访问、逆向工程、压力测试。

2.5 络攻击案例分析

本节主要分析已发生的 络攻击案例，以便大家掌握 络攻击的活动规律，更好地开展 络安全防御工作。

2.5.1DDoS攻击

DDoS是分布式拒绝服务攻击的简称。2000年春季黑客利用分布式拒绝服务攻击大型 站，导致大型ISP服务机构Yahoo的 络服务瘫痪。
攻击者为了提高分布式拒绝服务攻击的成功率，需要控制成百上千的被入侵主机。
DDoS的整个攻击过程可以分为以下几个步骤：

• 第一步，通过探测扫描大量主机，寻找可以进行攻击的目标；
• 第二步，攻击有安全漏洞的主机，并设法获取控制权；
• 第三步，在已攻击成功的主机中安装客户端攻击程序；
• 第四步，利用已攻击成功的主机继续进行扫描和攻击；
• 第五步，当攻击客户端达到一定数目后，攻击者在主控端给客户端攻击程序发布向特定目标进行攻击的命令。

从攻击案例来看，大型或复杂的攻击并不能一步到位，而是经过若干个攻击操作步骤后才能实现最终的攻击意图。
DDoS常用的攻击技术手段有HTTP Flood攻击、SYN Flood攻击、DNS放大攻击等。

• HTTP Flood攻击是利用僵尸主机向特定目标 站发送大量的HTTP GET请求，以导致 络瘫痪，如下图所示：

• DNS放大攻击是攻击者假冒目标系统向多个DNS解析服务器发送大量请求，而导致DNS解析服务器同时应答目标系统，产生大量 络流量，形成拒绝服务，如下图所示：

• (1)创建一一个名为BILLY的互斥体。如果这个互斥体存在，蠕虫将放弃感染并退出。
• (2)在注册表中添加下列键值:

“windows auto update”=“msblast.exe”

并且将其添加至:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
这样就可以使蠕虫在系统被重起的时候能够自动运行。

• (3)蠕虫生成攻击IP地址列表，尝试去感染列表中的计算机，蠕虫对有DCOM RPC漏洞的机器发起TCP 135端口的连接，进行感染。
• (4)在TCP 4444端口绑定一个cmd.exe的后门。
• (5)在UDP port 69口上进行监听。如果收到了一个请求，将把Msblast.exe发送给目标机器。
• (6)发送命令给远端的机器使它回联已经受到感染的机器并下载Msblast.exe。
• (7)检查当前日期及月份，若当前日期为16日或以后，或当前月份处在9月到12月之间，则W32.Blaster.Worm蠕虫将对windowsupdate.com发动TCP同步风暴拒绝服务攻击。

2.5.3 络安全导致停电事件

根据安天公司的分析 告，黑客首先利用钓鱼邮件，欺骗电力公司员工下载了带有BlackEnergy的恶意代码文件，然后诱导用户打开这个文件，激活木马，安装SSH后门和系统自毁工具Klldisk, 致使黑客最终获得了主控电脑的控制权。最后，黑客远程操作恶意代码将电力公司的主控计算机与变电站断连并切断电源;同时，黑客发动DDoS攻击电力客服中心，致使电厂工作人员无法立即进行电力维修工作。