APT攻击常用方法与技巧
时间:2022-05-23
APT(Advanced Persistent Threat)是指高级持续性威胁。利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,并利用0day漏洞进行攻击。
APT攻击流程图
一、侦查阶段
0×00 资产收集
1. 攻击者收集目标在外网的详细信息,包括但不限于目标IP地址,域名,外网应用,APP以及各项对外服务,收集信息方法以及思路如下
攻击者对信息收集完成后,然后对暴露在外网的资产进行攻击。
0×01邮件信息搜集
1.工具收集
theHarvester
Infoga
EmailSniper
2.邮箱测试收集
TOP500姓名+邮箱后缀
邮箱有效性验证
https://verify-email.org/
准确性高,每个IP一天最多5条,提供API接口进行批量化验证。
http://tool.chacuo.net/mailverify
访问频繁会触发验证限制。
http://www.all-nettools.com/toolbox/email-dossier.php
无限制,可使用Burp批量验证测试邮箱是否存在,一些邮件可能验证不准确。
0×02目标内网信息收集
1.元数据收集,企业发布到网络上的文档信息
可以获取文件上传者的机器名,操作系统及相关软件安装路径和版本等信息。FOCA主要是个检查和扫描文件的元数据及隐藏信息的信息收集工具。这些文件可以是在网页上的,FOCA 能下载并分析它们。
2.探针信息收集
最常见的是XSS探针
将JS探针信息嵌入网站链接中,或者钓鱼页面中,收集目标系统的详细信息。
其中攻击者对内网信息比较感兴趣的点为:
1) 内网使用的浏览器信息,针对IE浏览器漏洞进行挂马攻击,水坑攻击。
2) 内网FLASH版本信息,主要进行挂马攻击,发送带有网马的链接攻击。
3) 内网使用的Java版本信息,进行网马攻击。
4) 内网使用的杀毒软件信息,对木马针对性的进行免杀。
5) 内网使用的Office版本信息,针对特定的office版本,制作相应的攻击样本。
6) 内网使用的Adobe Reader版本信息,主要用来在PDF中嵌入木马进行攻击。
7) 内网安装的常用软件信息,结合相应的软件漏洞进行相应漏洞攻击。
8) 内网IP地址信息以及内网的外网出口。
二、武器投递
0×00 发送邮件
1. 发送邮件
根据前期收集的目标信息,对目标发送邮件。
1)钓鱼邮件
2) iframe URI钓鱼
http://www.freebuf.com/articles/web/9181.html
3)目标企业邮箱是否设置SPF,如果未设置的话,伪造邮件发送带有木马的文档,在线伪造
4)使用Swaks
http://www.freebuf.com/sectool/92397.html
5)如果企业邮箱设置SPF,申请与目标相似的域名,搭建邮件服务器,发送伪造邮件。
0×01 恶意软件下载
正常软件与木马捆绑,提示用户更新升级恶意软件。
三、漏洞利用
0×00 自解压
直接发送木马文件
1.http://www.freebuf.com/articles/others-articles/19731.html
如果目标机器设置显示后缀文件,能直接看到文件为EXE文件。
2. 利用unicode控制符进行逆名欺骗
制作一个自解压文件,然后重命名,插入Unicode 控制字符RLO(这里只需要在.前面加上cod即可,这样就制作出一个显示doc后缀的EXE。
0×01 LINK后缀木马
当使用命令提示(Cmd.exe 或 Windows 命令处理器)打开没有可执行文件扩展名的文件时,该文件可能作为程序运行,而不是在为该文件类型注册(根据文件扩展名)的程序中打开。
0×01 office特性利用
1. DDE漏洞
http://www.freebuf.com/articles/terminal/150285.html
{ DDEAUTO c:\\windows\\system32\\cmd.exe “/k notepad.exe” }
2.EXCEL宏
0×02 office漏洞利用
CVE-2017-8570等office溢出类漏洞
0×03 Adobe Reader漏洞利用
0×04 IE,Flash,Java等网马利用,水坑攻击
在一个完整的ATP攻击中,攻击者花费的大部分时间都在前期的信息收集工作上,真正在后面相关命令控制以及横向移动占用的时间是比较少的,后期我们将继续介绍下攻击者在下一阶段所用到的方法与技巧。