4.5.1　维持

当威胁行为者已经在网络中自由漫游并复制他们认为有价值的所有数据时，维持自然而然就发生了。当他们想要不被发现时，就进入了这个阶段。当数据已经被窃取并且可以公开或出售时，可以在前一阶段选择结束攻击。

然而，想要彻底毁灭目标的动机极强的威胁行为者会选择继续攻击。威胁行为者安装恶意软件，如Rootkit等，以确保他们可以随时访问受害者的计算机和系统。

进入这一阶段的主要目的是为进行另一次比渗出更有害的攻击争取时间。威胁行为者的动机是转移数据和软件，攻击组织的硬件。此时，受害者的安全工具在检测或阻止攻击进行方面全然无效。威胁行为者通常有多个通往受害者的访问点，因此即使关闭了一个访问点，其访问也不会受到影响。一个众所周知的案例是1999年的Win95.CIH。该恶意软件破坏了存储在硬盘驱动器和主板BIOS芯片上的数据。一些受感染的PC无法启动，因为它们的引导程序已被损坏。

为了减轻攻击的不利影响，不得不更换BIOS芯片并重写数据。

图4-7说明了威胁行为者计划攻击受害者的方案，找到正确的方式投递恶意软件，在不引起注意的情况下利用恶意软件，并朝着目标推进，而这通常会损害受害者或将泄露数据货币化。

图4-7　网络攻击场景中的端到端衔接