如何分析APT攻擊,針對(duì)這個(gè)問(wèn)題�����,這篇文章詳細(xì)介紹了相對(duì)應(yīng)的分析和解答�����,希望可以幫助更多想解決這個(gè)問(wèn)題的小伙伴找到更簡(jiǎn)單易行的方法����。
創(chuàng)新互聯(lián)專(zhuān)注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)����,包含不限于成都網(wǎng)站制作、成都網(wǎng)站建設(shè)�����、舟山網(wǎng)絡(luò)推廣����、微信小程序、舟山網(wǎng)絡(luò)營(yíng)銷(xiāo)��、舟山企業(yè)策劃�、舟山品牌公關(guān)、搜索引擎seo���、人物專(zhuān)訪�����、企業(yè)宣傳片����、企業(yè)代運(yùn)營(yíng)等,從售前售中售后��,我們都將竭誠(chéng)為您服務(wù)����,您的肯定,是我們最大的嘉獎(jiǎng)���;創(chuàng)新互聯(lián)為所有大學(xué)生創(chuàng)業(yè)者提供舟山建站搭建服務(wù)���,24小時(shí)服務(wù)熱線:13518219792,官方網(wǎng)址:www.cdcxhl.com
0x1:關(guān)于APT的相關(guān)介紹:
APT是什么��?
APT(AdvancedPersistent Threat)高級(jí)持續(xù)性威脅�����。是指組織(特別是政府)或者小團(tuán)體利用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式���。APT是黑客以竊取核心資料為目的���,針對(duì)客戶所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為。
APT手法��?
APT的攻擊手法�����,在于隱匿自己�����,針對(duì)特定對(duì)象�����,長(zhǎng)期���、有計(jì)劃性和組織性地竊取數(shù)據(jù)��,此類(lèi)攻擊行為是傳統(tǒng)安全檢測(cè)系統(tǒng)無(wú)法有效檢測(cè)發(fā)現(xiàn)��,前沿防御方法是利用非商業(yè)化虛擬機(jī)分析技術(shù)��,對(duì)各種郵件附件���、文件進(jìn)行深度的動(dòng)態(tài)行為分析����,發(fā)現(xiàn)利用系統(tǒng)漏洞等高級(jí)技術(shù)專(zhuān)門(mén)構(gòu)造的惡意文件����,從而發(fā)現(xiàn)和確認(rèn)APT攻擊行為。由于APT的特性�����,導(dǎo)致難發(fā)現(xiàn)�、潛在威脅大,一旦被攻擊將導(dǎo)致企業(yè)�����、政府�����、醫(yī)療組織等等的大量數(shù)據(jù)被竊取,公司重要財(cái)務(wù)�、機(jī)密被盜竊。
0x2:初探APT大門(mén)(走進(jìn)內(nèi)網(wǎng))
DMZ區(qū)域
A公司里��,準(zhǔn)備用一臺(tái)服務(wù)器用來(lái)開(kāi)放web服務(wù)以供給別人看和宣傳一下自己公司的產(chǎn)品�����,小王(項(xiàng)目負(fù)責(zé)人)想到近來(lái)許多大公司數(shù)據(jù)都被竊取�����,于是他想了個(gè)辦法把web服務(wù)器置于另一個(gè)網(wǎng)絡(luò)�,訪問(wèn)不了公司內(nèi)網(wǎng)的一個(gè)空間����,把smtp服務(wù)器、web服務(wù)器架設(shè)在dmz區(qū)里面防止因網(wǎng)站被入侵而導(dǎo)致公司數(shù)據(jù)被盜竊����。
兩個(gè)防火墻之間的空間被稱(chēng)為DMZ,與Internet相比�����,DMZ可以提供更高的安全性,但是其安全性比內(nèi)部網(wǎng)絡(luò)低��,它是為了解決安裝防火墻后外部網(wǎng)絡(luò)的訪問(wèn)用戶不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)服務(wù)器的問(wèn)題����,而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。
該緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)��,在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開(kāi)的服務(wù)器設(shè)施����,如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等����。另一方面,通過(guò)這樣一個(gè)DMZ區(qū)域��,更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)�。因?yàn)檫@種網(wǎng)絡(luò)部署,比起一般的防火墻方案����,對(duì)來(lái)自外網(wǎng)的攻擊者來(lái)說(shuō)又多了一道關(guān)卡。
DMZ區(qū)域既可以與外網(wǎng)通訊����,也可以與內(nèi)網(wǎng)通訊�,但受安全策略的限制����。
所以在現(xiàn)如今,用web服務(wù)器當(dāng)跳板來(lái)入侵內(nèi)網(wǎng)已經(jīng)是不現(xiàn)實(shí)的了��,那么有沒(méi)有什么可以簡(jiǎn)單易操作��,的入侵方法呢���?
0x3:常見(jiàn)利用
你可能想到了辦公套件這類(lèi)神器,正所謂:最大的漏洞不是存在于任何系統(tǒng)上面����,而是人
OFFICE 漏洞一覽:
=======================================================================================
|
|
| | CVE-2009-2496 | 堆損耗遠(yuǎn)程代碼執(zhí)行漏洞,又稱(chēng)作 “Office Web 組件堆損耗漏洞 | 豐收行動(dòng) |
| CVE-2010-3333 | RTF分析器堆棧溢出漏洞���,又稱(chēng)”RTF棧緩沖區(qū)溢出漏洞” |
|
| CVE-2012-0158 | Microsoft Windows Common Controls ActiveX控件遠(yuǎn)程代碼執(zhí)行漏洞�,棧內(nèi)存拷貝溢出漏洞�,又稱(chēng)“MSCOMCTL.OCX RCE漏洞” | 摩訶草
蔓靈花
白象
Rotten Tomato |
| CVE-2013-3906 | Microsoft Graphics組件處理特制的TIFF圖形時(shí)存在遠(yuǎn)程代碼執(zhí)行漏洞 | 摩訶草
白象 |
| CVE-2014-1761 | Microsoft Word RTF文件解析錯(cuò)誤代碼執(zhí)行漏洞 | 摩訶草
Pitty Tiger
白象
Rotten Tomato |
| CVE-2014-4114 | OLE包管理INF 任意代碼執(zhí)行漏洞 | 摩訶草
白象 |
| CVE-2015-1641 | RTF解析中的類(lèi)型混淆漏洞 | MONSOON
摩訶草
白象
奇幻熊
Rotten Tomato
豐收行動(dòng) |
| CVE-2015-2545 | EPS圖形文件任意執(zhí)行代碼 | Rotten Tomato |
| CVE-2015-2546 | UAF(釋放后重用)漏洞 |
|
| CVE-2016-7193 | RTF文件解析漏洞,可遠(yuǎn)程執(zhí)行任意代碼 |
|
| CVE-2017-0199 | 首個(gè)Microsoft Office RTF漏洞 | 暗黑客棧 |
| CVE-2017-0261 | EPS中的UAF漏洞 | 摩訶草
白象
Turla |
| CVE-2017-0262 | EPS中的類(lèi)型混淆漏洞 | 摩訶草
白象 |
| CVE-2017-11826 | OOXML解析器類(lèi)型混淆漏洞 | 東亞某組織 |
| CVE-2017-11882 | “噩夢(mèng)公式”公式編輯器中的棧溢出漏洞��,可遠(yuǎn)程代碼執(zhí)行 | 白象
響尾蛇
寄生獸
摩訶草
人面馬
黑鳳梨 |
| CVE-2017-8464 | 解析快捷方式時(shí)存在遠(yuǎn)程執(zhí)行任意代碼的高危漏洞 |
|
| CVE-2017-8570 | OLE對(duì)象中的邏輯漏洞 (CVE-2017-0199的補(bǔ)丁繞過(guò)),“沙蟲(chóng)”二代漏洞 | 白象
寄生獸
摩訶草 |
| CVE-2017-8759 | .NET Framework中的邏輯漏洞 |
|
| CVE-2018-0802 | “噩夢(mèng)公式二代”利用office內(nèi)嵌的公式編輯器EQNEDT32.EXE發(fā)起攻擊 | 黑鳳梨 |
| CVE-2018-0798 | Microsoft Office遠(yuǎn)程內(nèi)存破壞漏洞 |
|
| CVE-2018-8174 | 利用瀏覽器0day漏洞的新型Office文檔攻擊 |
|
======================================================================================================
Adobe漏洞一覽:
======================================================================================================
| CVE-2007-5659 | Adobe Acrobat/Reader PDF文件 多個(gè)緩沖區(qū)溢出漏洞 | Adobe Acrobat 8
Adobe Reader 8
Adobe Reader 7 | 豐收行動(dòng) | | CVE-2008-2992 | Adobe Reader util.printf() JavaScript函數(shù)棧溢出漏洞 | Adobe Acrobat < 8.1.3
Adobe Reader < 8.1.3 | 豐收行動(dòng) |
| CVE-2009-0927 | Adobe Acrobat和Reader Collab getIcon() JavaScript方式棧溢出漏洞 | Adobe Acrobat 9
Adobe Acrobat 8
Adobe Acrobat 7.0
Adobe Reader 9
Adobe Reader 8
Adobe Reader 7 | 豐收行動(dòng) |
| CVE-2009-4324 | Adobe Reader和Acrobat newplayer() JavaScript方式內(nèi)存破壞漏洞 | Adobe Acrobat <= 9.2
Adobe Reader <= 9.2 | 豐收行動(dòng) |
| CVE-2010-0188 | Adobe Reader和Acrobat TIFF圖像處理緩沖區(qū)溢出漏洞 | Adobe Acrobat < 9.3.1
Adobe Acrobat < 8.2.1
Adobe Reader < 9.3.1
Adobe Reader < 8.2.1 | 豐收行動(dòng) |
| CVE-2010-3653 | Adobe Shockwave Player Director文件rcsL塊解析內(nèi)存破壞漏洞 | Adobe Shockwave Player 11.5.8.612 | 豐收行動(dòng) |
| CVE-2012-0773 | Adobe Flash Player / AIR NetStream類(lèi)任意代碼執(zhí)行或拒絕服務(wù)漏洞 | Adobe Flash Player 11.x
Adobe AIR 3.x | The mask |
| CVE-2013-0640 | Adobe Acrobat和Reader遠(yuǎn)程代碼執(zhí)行漏洞 | Adobe Acrobat 9.x
Adobe Acrobat 11.x
Adobe Acrobat 10.x
Adobe Reader 9.x
Adobe Reader 11.x
Adobe Reader 10.x | 豐收行動(dòng) |
|
|
|
|
| CVE-2014-0497 | Adobe Flash Player遠(yuǎn)程代碼執(zhí)行漏洞 | Adobe Flash Player 12.x
Adobe Flash Player 11.x | 暗黑客棧 |
| CVE-2015-5119 | Adobe Flash Player ActionScript 3 ByteArray釋放后重用遠(yuǎn)程漏洞 | Adobe Flash Player <= 18.0.0.194
Adobe Flash Player <= 18.0.0.194
Adobe Flash Player Extended Support Release 13.x
Adobe Flash Player Extended Support Release 13.0.0.296
Adobe Flash Player for Linux 11.x
Adobe Flash Player for Linux 11.2.202.468 | 藍(lán)白蟻
Hacking Team |
| CVE-2015-8651 | Adobe Flash Player整數(shù)溢出漏洞 | Adobe Flash Player < 18.0.0.324
Adobe Flash Player < 11.2.202.559
Adobe Flash Player 20.x-20.0.0.267
Adobe Flash Player 19.x
Adobe AIR < 20.0.0.233 | 暗黑客棧 |
| CVE-2016-0984 | Adobe Flash遠(yuǎn)程代碼執(zhí)行漏洞 | Adobe Flash Player before 18.0.0.329 and 19.x and 20.x before 20.0.0.306 | BlackOasis |
| CVE-2016-4117 | Adobe Flash Player 任意代碼執(zhí)行漏洞 | Adobe Flash Player <= 21.0.0.226 | 奇幻熊 |
| CVE-2016-7855 | Adobe Flash Player 釋放后重利用遠(yuǎn)程代碼執(zhí)行漏洞 | Adobe Flash Player <= 23.0.0.185
Adobe Flash Player <= 11.2.202.637 |
|
| CVE-2017-11292 | 類(lèi)型混淆漏洞導(dǎo)致的遠(yuǎn)程代碼執(zhí)行 | Adobe Flash Player Desktop Runtime
Adobe Flash Player for Google Chrome
Adobe Flash Player for Microsoft Edge and Internet Explorer 11
Adobe Flash Player Desktop Runtime | 黑色綠洲
Lazarus |
| CVE-2018-4878 | Adobe Flash Player釋放后重利用遠(yuǎn)程代碼執(zhí)行漏洞 | Adobe Flash Player <= 28.0.0.137 | Lazarus |
============================================================================
以上是一些APT用爛了的漏洞資料��,接下來(lái)看看最常見(jiàn)的攻擊方式:(來(lái)源于百度百科)
1����、 魚(yú)叉式釣魚(yú)攻擊
由于魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)鎖定之對(duì)象并非一般個(gè)人,而是特定公司���、組織之成員�����,故受竊之資訊已非一般網(wǎng)絡(luò)釣魚(yú)所竊取之個(gè)人資料�����,而是其他高度敏感性資料��,如知識(shí)產(chǎn)權(quán)及商業(yè)機(jī)密���。
一次簡(jiǎn)單的點(diǎn)擊相當(dāng)于為攻擊者開(kāi)啟了一扇電子門(mén),這樣他就可以接觸到你的內(nèi)部了����,因?yàn)槟阋呀?jīng)同意他進(jìn)入��!
2�����、 水坑攻擊
水坑攻擊是一種計(jì)算機(jī)入侵手法����,其針對(duì)的目標(biāo)多為特定的團(tuán)體����,攻擊者首先通過(guò)猜測(cè)或觀察確定這組目標(biāo)經(jīng)常訪問(wèn)的網(wǎng)站,并入侵其中一個(gè)或多個(gè)��,植入惡意軟件��,最后���,達(dá)到感染該組目標(biāo)中部分成員的目的。
由于此種攻擊借助了目標(biāo)團(tuán)體所信任的網(wǎng)站��,攻擊成功率很高���,即便是那些對(duì)魚(yú)叉攻擊或其他形式的釣魚(yú)攻擊具有防護(hù)能力的團(tuán)體��。
3�����、 社會(huì)工程學(xué)
社會(huì)工程學(xué)是一種通過(guò)人際交流的方式獲得信息的非技術(shù)滲透手段����。不幸的是,這種手段非常有效�����,而且應(yīng)用效率極高�����。
然而事實(shí)上��,社會(huì)工程學(xué)已是企業(yè)安全最大的威脅之一
我們來(lái)看看毒云藤(APT-C-01)組織的魚(yú)叉式釣魚(yú)攻擊文檔的頁(yè)面
(攜帶漏洞文檔界面�,圖片來(lái)源于freebuf)
(攜帶二進(jìn)制程序的文檔圖片來(lái)源于freebuf)
從上面文檔內(nèi)容簡(jiǎn)要來(lái)看,apt組織在事前已經(jīng)對(duì)xx部門(mén)做了許多信息收集的跡象����,偽造的文檔如果不是內(nèi)部成員很難看出端倪。
回放一下攻擊流程:
在確定目標(biāo)公司后��,APT組織會(huì)開(kāi)始收集目標(biāo)的一切信息,如:公司用戶的電子郵箱��,手機(jī)號(hào)碼����,通訊軟件號(hào)碼、姓名��、你的工作崗位�����。接著APT組織會(huì)對(duì)目標(biāo)開(kāi)始構(gòu)造釣魚(yú)文檔并準(zhǔn)備投放����,當(dāng)內(nèi)部工作人員打開(kāi)惡意文檔了之后,電腦會(huì)觸發(fā)相關(guān)的漏洞為apt成員打開(kāi)了一道通往內(nèi)部網(wǎng)絡(luò)的大門(mén),這時(shí)候他們會(huì)開(kāi)始尋找存放著信息的服務(wù)器并開(kāi)始攻擊服務(wù)器拿到自己想要的東西后����,在植入木馬進(jìn)行權(quán)限維持。
0x4:場(chǎng)景回放
釣魚(yú)是APT組織最常用的攻擊方式�,但以上數(shù)據(jù)僅表面我們只是知道了APT組織的一些攻擊���,并沒(méi)有掌握全部資料����,APT攻擊隱秘,有組織�,能力強(qiáng)?����!坝白咏?jīng)紀(jì)人”泄露的NSA武器庫(kù)“EternalBlue”就是來(lái)源自APT組織“方程組”�,可見(jiàn)APT組織的破壞力有多大。
在詢問(wèn)了幾個(gè)大表哥后得知����,現(xiàn)如今通過(guò)釣魚(yú)郵件進(jìn)行攻擊方式在互聯(lián)網(wǎng)上占了將近一半,在當(dāng)前能找到的apt攻擊防御資料中��,至少有一半的攻擊都是通過(guò)釣魚(yú)郵件進(jìn)行的����,而于傳統(tǒng)黑客行動(dòng)不同的是,apt組織會(huì)用一切手段去攻擊目標(biāo)���,對(duì)于他們來(lái)說(shuō)��,并不在乎人力��、物力和財(cái)力�,他們只在乎成功率。
我們來(lái)模擬一個(gè)簡(jiǎn)單的APT攻擊:
環(huán)境搭建:
Windows7虛擬機(jī) *1
Ubuntu
Windows2008 *1
我將采用幾個(gè)知名漏洞來(lái)為大家演示:“震網(wǎng)3代”���、“永恒之藍(lán)”以及“釣魚(yú)郵件”
這些簡(jiǎn)單便捷的0day可以為APT組織省下不少力氣去花時(shí)間去破解目標(biāo)系統(tǒng)����。
實(shí)驗(yàn)本來(lái)是想用office漏洞+flash或者是pdf����,考慮到自身硬件配置和實(shí)驗(yàn)時(shí)間,就粗略的講下思路來(lái)和大家分享一下����,這次選用的兩個(gè)漏洞均可在msf框架里面找到對(duì)應(yīng)的模塊去測(cè)試。
模塊編號(hào)分別為:
Cve-2017-8464
Ms17_010
生成cve-2017-8464的exp�,震網(wǎng)三代的利用是快捷方式,把惡意快捷方式藏在u盤(pán)里面�����,當(dāng)電腦設(shè)置自動(dòng)播放����,或者訪問(wèn)u盤(pán)時(shí)可觸發(fā)漏洞
生成的惡意文件后,我們?cè)谀繕?biāo)機(jī)上面執(zhí)行惡意payload�����,使用
exploit/multi/handler模塊
進(jìn)行監(jiān)聽(tīng)
把這臺(tái)“鑰匙”添加到路由表里面
這樣子我們的流量就會(huì)經(jīng)過(guò)這臺(tái)機(jī)子轉(zhuǎn)發(fā)�,接著我們使用永恒之藍(lán)攻擊服務(wù)器
攻擊成功后我們獲取了一個(gè)meterpreter會(huì)話
再來(lái)看看釣魚(yú)郵件
首先我利用了cve-2017-8759
生成了惡意rtf文檔(windows寫(xiě)字板可以打開(kāi)或者office而且通殺office)
然后生成了一個(gè)惡意exe
把惡意rtf文檔發(fā)了過(guò)去,在在目標(biāo)機(jī)接收該郵件
(在這個(gè)過(guò)程中我發(fā)現(xiàn)郵箱附件安全檢測(cè)并沒(méi)有檢測(cè)出惡意文檔)
開(kāi)啟監(jiān)聽(tīng)等待目標(biāo)機(jī)反回的會(huì)話
成功獲得了一個(gè)meterpreter會(huì)話����!
關(guān)于如何分析APT攻擊問(wèn)題的解答就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助����,如果你還有很多疑惑沒(méi)有解開(kāi),可以關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道了解更多相關(guān)知識(shí)�。
文章名稱(chēng):如何分析APT攻擊
URL分享:
http://weahome.cn/article/psjpsh.html
重慶分公司
重慶分公司
