2.4　扫尾阶段

当攻击者的攻击目的达成，如成功窃取到了有价值的数据，或破坏了目标的业务连续性后，他便准备退出。为了阻止受害目标追责，避免受害目标通过可能的信息追溯其来源，攻击者通常会在扫尾阶段将系统存留的访问足迹擦除，甚至会对目标系统进行一定程度的破坏。

2.4.1　痕迹清除

金融机构的业务系统通常都会记录有日志，通常包括系统网络日志、系统审计日志、安全日志、会话日志、应用日志、错误日志等。一个健全的应用系统通常会将到访者的每一个行为记录进日志系统中，系统运维人员可以汇总全部的系统日志，进行关联分析，以便了解系统的健康状况，排查可能的风险隐患。正是这样简单的日志系统，可以在受害目标未来取证时，提供网络犯罪责任认定中最有利的证据。攻击者在系统中的一举一动，都会留下足迹，它就成为攻击者入侵的唯一“目击证人”。因此，攻击者在退出系统之前，通常不会忽略自己留下的“尾巴”。

痕迹清除是攻击者在扫尾阶段的惯例，他们会删除之前为入侵阶段准备的木马、病毒，还原系统的状态，恢复权限并清除入侵时间点内与之有关的系统日志，将一切足迹抹去。

2.4.2　破坏目标

有些攻击者在结束整套攻击流程后甚至还会破坏目标系统的网络、程序等，可能的原因如下：

• 本身目的为破坏性质，攻击者受雇于政府、行业竞争某一方、报复人
• 防止溯源，目标被破坏后，大大增加了管理人员、网警的追查难度
• 攻击者在向目标炫耀自身技术

当然，并不是所有的足迹都可以被轻松抹去，由于安全技术的提升，攻击者可能还是会留下一些痕迹，诸如旁路镜像的分析系统、使用了加密加锁技术的日志收集系统等。攻击者在面对这种不得已将要暴露的情况时，通常会选择暴力破坏系统，使用获得的超级权限让系统彻底瘫痪，将关键性的证据抹除，导致证据不充分，以逃避法律追责。这类做法较为极端，对于未做好灾难备份的目标企业来说，造成的负面影响很大。另外，对于以破坏为目的进行信息安全攻击的攻击者来说，目的达成这个环节也应该属于收获阶段。