APT攻擊常用方法與技巧
APT攻擊常用方法與技巧
APT(Advanced Persistent Threat)是指高級持續性威脅。利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式,APT攻擊的原理相對于其他攻擊形式更為高級和先進,其高級性主要體現在APT在發動攻擊之前需要對攻擊對象的業務流程和目標系統進行精確的收集。在此收集的過程中,此攻擊會主動挖掘被攻擊對象受信系統和應用程序的漏洞,并利用0day漏洞進行攻擊。
APT攻擊流程圖
一、偵查階段
0×00 資產收集
1. 攻擊者收集目標在外網的詳細信息,包括但不限于目標IP地址,域名,外網應用,APP以及各項對外服務,收集信息方法以及思路如下
攻擊者對信息收集完成后,然后對暴露在外網的資產進行攻擊。
0×01郵件信息搜集
1.工具收集
theHarvester
Infoga
EmailSniper
2.郵箱測試收集
TOP500姓名+郵箱后綴
郵箱有效性驗證
準確性高,每個IP一天最多5條,提供API接口進行批量化驗證。
訪問頻繁會觸發驗證限制。
無限制,可使用Burp批量驗證測試郵箱是否存在,一些郵件可能驗證不準確。
0×02目標內網信息收集
1.元數據收集,企業發布到網絡上的文檔信息
可以獲取文件上傳者的機器名,操作系統及相關軟件安裝路徑和版本等信息。FOCA主要是個檢查和掃描文件的元數據及隱藏信息的信息收集工具。這些文件可以是在網頁上的,FOCA 能下載并分析它們。
2.探針信息收集
最常見的是XSS探針
將JS探針信息嵌入網站鏈接中,或者釣魚頁面中,收集目標系統的詳細信息。
其中攻擊者對內網信息比較感興趣的點為:
1) 內網使用的瀏覽器信息,針對IE瀏覽器漏洞進行掛馬攻擊,水坑攻擊。
2) 內網FLASH版本信息,主要進行掛馬攻擊,發送帶有網馬的鏈接攻擊。
3) 內網使用的Java版本信息,進行網馬攻擊。
4) 內網使用的殺毒軟件信息,對木馬針對性的進行免殺。
5) 內網使用的Office版本信息,針對特定的office版本,制作相應的攻擊樣本。
6) 內網使用的Adobe Reader版本信息,主要用來在PDF中嵌入木馬進行攻擊。
7) 內網安裝的常用軟件信息,結合相應的軟件漏洞進行相應漏洞攻擊。
8) 內網IP地址信息以及內網的外網出口。
二、武器投遞
0×00 發送郵件
1. 發送郵件
根據前期收集的目標信息,對目標發送郵件。
1)釣魚郵件
2) iframe URI釣魚
3)目標企業郵箱是否設置SPF,如果未設置的話,偽造郵件發送帶有木馬的文檔,在線偽造
微信搜索公眾號:Linux技術迷,回復:linux 領取資料 。
4)使用Swaks
5)如果企業郵箱設置SPF,申請與目標相似的域名,搭建郵件服務器,發送偽造郵件。
0×01 惡意軟件下載
正常軟件與木馬捆綁,提示用戶更新升級惡意軟件。
三、漏洞利用
0×00 自解壓
直接發送木馬文件
如果目標機器設置顯示后綴文件,能直接看到文件為EXE文件。
2. 利用unicode控制符進行逆名欺騙
制作一個自解壓文件,然后重命名,插入Unicode 控制字符RLO(這里只需要在.前面加上cod即可,這樣就制作出一個顯示doc后綴的EXE。
0×01 LINK后綴木馬
當使用命令提示(Cmd.exe 或 Windows 命令處理器)打開沒有可執行文件擴展名的文件時,該文件可能作為程序運行,而不是在為該文件類型注冊(根據文件擴展名)的程序中打開。
0×01 office特性利用
1. DDE漏洞
{ DDEAUTO c:\\windows\\system32\\cmd.exe “/k notepad.exe” }
2.EXCEL宏
0×02 office漏洞利用
CVE-2017-8570等office溢出類漏洞
0×03 Adobe Reader漏洞利用
0×04 IE,Flash,Java等網馬利用,水坑攻擊
在一個完整的ATP攻擊中,攻擊者花費的大部分時間都在前期的信息收集工作上,真正在后面相關命令控制以及橫向移動占用的時間是比較少的,后期我們將繼續介紹下攻擊者在下一階段所用到的方法與技巧。
文章轉自公眾號:網絡安全與黑客技術
