如何分析APT攻擊
如何分析APT攻擊�,針對這個問題��,這篇文章詳細介紹了相對應的分析和解答�,希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法�。
0x1:關于APT的相關介紹:
APT是什么���?
APT(AdvancedPersistent Threat)高級持續性威脅���。是指組織(特別是政府)或者小團體利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式��。APT是黑客以竊取核心資料為目的�����,針對客戶所發動的網絡攻擊和侵襲行為�����。
APT手法�����?
APT的攻擊手法�,在于隱匿自己�����,針對特定對象�,長期�����、有計劃性和組織性地竊取數據�����,此類攻擊行為是傳統安全檢測系統無法有效檢測發現�,前沿防御方法是利用非商業化虛擬機分析技術����,對各種郵件附件��、文件進行深度的動態行為分析����,發現利用系統漏洞等高級技術專門構造的惡意文件�����,從而發現和確認APT攻擊行為�。由于APT的特性���,導致難發現�����、潛在威脅大�����,一旦被攻擊將導致企業����、政府�、醫療組織等等的大量數據被竊取��,公司重要財務�、機密被盜竊����。
0x2:初探APT大門(走進內網)
DMZ區域
A公司里�����,準備用一臺服務器用來開放web服務以供給別人看和宣傳一下自己公司的產品��,小王(項目負責人)想到近來許多大公司數據都被竊取���,于是他想了個辦法把web服務器置于另一個網絡�����,訪問不了公司內網的一個空間����,把smtp服務器����、web服務器架設在dmz區里面防止因網站被入侵而導致公司數據被盜竊��。
兩個防火墻之間的空間被稱為DMZ��,與Internet相比�,DMZ可以提供更高的安全性�,但是其安全性比內部網絡低�����,它是為了解決安裝防火墻后外部網絡的訪問用戶不能訪問內部網絡服務器的問題���,而設立的一個非安全系統與安全系統之間的緩沖區����。
該緩沖區位于企業內部網絡和外部網絡之間的小網絡區域內�����,在這個小網絡區域內可以放置一些必須公開的服務器設施�����,如企業Web服務器����、FTP服務器和論壇等��。另一方面���,通過這樣一個DMZ區域����,更加有效地保護了內部網絡�����。因為這種網絡部署�,比起一般的防火墻方案���,對來自外網的攻擊者來說又多了一道關卡���。
DMZ區域既可以與外網通訊��,也可以與內網通訊�,但受安全策略的限制�����。
所以在現如今����,用web服務器當跳板來入侵內網已經是不現實的了����,那么有沒有什么可以簡單易操作�����,的入侵方法呢�����?
0x3:常見利用
你可能想到了辦公套件這類神器�,正所謂:最大的漏洞不是存在于任何系統上面�,而是人
OFFICE 漏洞一覽:
=======================================================================================
|
|
|
|---|
| CVE-2009-2496 | 堆損耗遠程代碼執行漏洞��,又稱作 “Office Web 組件堆損耗漏洞 | 豐收行動 |
| CVE-2010-3333 | RTF分析器堆棧溢出漏洞����,又稱”RTF棧緩沖區溢出漏洞” |
|
| CVE-2012-0158 | Microsoft Windows Common Controls ActiveX控件遠程代碼執行漏洞�,棧內存拷貝溢出漏洞���,又稱“MSCOMCTL.OCX RCE漏洞” | 摩訶草
蔓靈花
白象
Rotten Tomato |
| CVE-2013-3906 | Microsoft Graphics組件處理特制的TIFF圖形時存在遠程代碼執行漏洞 | 摩訶草
白象 |
| CVE-2014-1761 | Microsoft Word RTF文件解析錯誤代碼執行漏洞 | 摩訶草
Pitty Tiger
白象
Rotten Tomato |
| CVE-2014-4114 | OLE包管理INF 任意代碼執行漏洞 | 摩訶草
白象 |
| CVE-2015-1641 | RTF解析中的類型混淆漏洞 | MONSOON
摩訶草
白象
奇幻熊
Rotten Tomato
豐收行動 |
| CVE-2015-2545 | EPS圖形文件任意執行代碼 | Rotten Tomato |
| CVE-2015-2546 | UAF(釋放后重用)漏洞 |
|
| CVE-2016-7193 | RTF文件解析漏洞�����,可遠程執行任意代碼 |
|
| CVE-2017-0199 | 首個Microsoft Office RTF漏洞 | 暗黑客棧 |
| CVE-2017-0261 | EPS中的UAF漏洞 | 摩訶草
白象
Turla |
| CVE-2017-0262 | EPS中的類型混淆漏洞 | 摩訶草
白象 |
| CVE-2017-11826 | OOXML解析器類型混淆漏洞 | 東亞某組織 |
| CVE-2017-11882 | “噩夢公式”公式編輯器中的棧溢出漏洞���,可遠程代碼執行 | 白象
響尾蛇
寄生獸
摩訶草
人面馬
黑鳳梨 |
| CVE-2017-8464 | 解析快捷方式時存在遠程執行任意代碼的高危漏洞 |
|
| CVE-2017-8570 | OLE對象中的邏輯漏洞 (CVE-2017-0199的補丁繞過)���,“沙蟲”二代漏洞 | 白象
寄生獸
摩訶草 |
| CVE-2017-8759 | .NET Framework中的邏輯漏洞 |
|
| CVE-2018-0802 | “噩夢公式二代”利用office內嵌的公式編輯器EQNEDT32.EXE發起攻擊 | 黑鳳梨 |
| CVE-2018-0798 | Microsoft Office遠程內存破壞漏洞 |
|
| CVE-2018-8174 | 利用瀏覽器0day漏洞的新型Office文檔攻擊 |
|
======================================================================================================
Adobe漏洞一覽:
======================================================================================================
| CVE-2007-5659 | Adobe Acrobat/Reader PDF文件 多個緩沖區溢出漏洞 | Adobe Acrobat 8
Adobe Reader 8
Adobe Reader 7 | 豐收行動 |
|---|
| CVE-2008-2992 | Adobe Reader util.printf() JavaScript函數棧溢出漏洞 | Adobe Acrobat < 8.1.3
Adobe Reader < 8.1.3 | 豐收行動 |
| CVE-2009-0927 | Adobe Acrobat和Reader Collab getIcon() JavaScript方式棧溢出漏洞 | Adobe Acrobat 9
Adobe Acrobat 8
Adobe Acrobat 7.0
Adobe Reader 9
Adobe Reader 8
Adobe Reader 7 | 豐收行動 |
| CVE-2009-4324 | Adobe Reader和Acrobat newplayer() JavaScript方式內存破壞漏洞 | Adobe Acrobat <= 9.2
Adobe Reader <= 9.2 | 豐收行動 |
| CVE-2010-0188 | Adobe Reader和Acrobat TIFF圖像處理緩沖區溢出漏洞 | Adobe Acrobat < 9.3.1
Adobe Acrobat < 8.2.1
Adobe Reader < 9.3.1
Adobe Reader < 8.2.1 | 豐收行動 |
| CVE-2010-3653 | Adobe Shockwave Player Director文件rcsL塊解析內存破壞漏洞 | Adobe Shockwave Player 11.5.8.612 | 豐收行動 |
| CVE-2012-0773 | Adobe Flash Player / AIR NetStream類任意代碼執行或拒絕服務漏洞 | Adobe Flash Player 11.x
Adobe AIR 3.x | The mask |
| CVE-2013-0640 | Adobe Acrobat和Reader遠程代碼執行漏洞 | Adobe Acrobat 9.x
Adobe Acrobat 11.x
Adobe Acrobat 10.x
Adobe Reader 9.x
Adobe Reader 11.x
Adobe Reader 10.x | 豐收行動 |
|
|
|
|
| CVE-2014-0497 | Adobe Flash Player遠程代碼執行漏洞 | Adobe Flash Player 12.x
Adobe Flash Player 11.x | 暗黑客棧 |
| CVE-2015-5119 | Adobe Flash Player ActionScript 3 ByteArray釋放后重用遠程漏洞 | Adobe Flash Player <= 18.0.0.194
Adobe Flash Player <= 18.0.0.194
Adobe Flash Player Extended Support Release 13.x
Adobe Flash Player Extended Support Release 13.0.0.296
Adobe Flash Player for Linux 11.x
Adobe Flash Player for Linux 11.2.202.468 | 藍白蟻
Hacking Team |
| CVE-2015-8651 | Adobe Flash Player整數溢出漏洞 | Adobe Flash Player < 18.0.0.324
Adobe Flash Player < 11.2.202.559
Adobe Flash Player 20.x-20.0.0.267
Adobe Flash Player 19.x
Adobe AIR < 20.0.0.233 | 暗黑客棧 |
| CVE-2016-0984 | Adobe Flash遠程代碼執行漏洞 | Adobe Flash Player before 18.0.0.329 and 19.x and 20.x before 20.0.0.306 | BlackOasis |
| CVE-2016-4117 | Adobe Flash Player 任意代碼執行漏洞 | Adobe Flash Player <= 21.0.0.226 | 奇幻熊 |
| CVE-2016-7855 | Adobe Flash Player 釋放后重利用遠程代碼執行漏洞 | Adobe Flash Player <= 23.0.0.185
Adobe Flash Player <= 11.2.202.637 |
|
| CVE-2017-11292 | 類型混淆漏洞導致的遠程代碼執行 | Adobe Flash Player Desktop Runtime
Adobe Flash Player for Google Chrome
Adobe Flash Player for Microsoft Edge and Internet Explorer 11
Adobe Flash Player Desktop Runtime | 黑色綠洲
Lazarus |
| CVE-2018-4878 | Adobe Flash Player釋放后重利用遠程代碼執行漏洞 | Adobe Flash Player <= 28.0.0.137 | Lazarus |
============================================================================
以上是一些APT用爛了的漏洞資料���,接下來看看最常見的攻擊方式:(來源于百度百科)
1��、 魚叉式釣魚攻擊
由于魚叉式網絡釣魚鎖定之對象并非一般個人��,而是特定公司����、組織之成員�,故受竊之資訊已非一般網絡釣魚所竊取之個人資料��,而是其他高度敏感性資料�,如知識產權及商業機密��。
一次簡單的點擊相當于為攻擊者開啟了一扇電子門��,這樣他就可以接觸到你的內部了����,因為你已經同意他進入���!
2�����、 水坑攻擊
水坑攻擊是一種計算機入侵手法�,其針對的目標多為特定的團體�����,攻擊者首先通過猜測或觀察確定這組目標經常訪問的網站�����,并入侵其中一個或多個�,植入惡意軟件���,最后���,達到感染該組目標中部分成員的目的���。
由于此種攻擊借助了目標團體所信任的網站�����,攻擊成功率很高����,即便是那些對魚叉攻擊或其他形式的釣魚攻擊具有防護能力的團體���。
3����、 社會工程學
社會工程學是一種通過人際交流的方式獲得信息的非技術滲透手段�����。不幸的是�,這種手段非常有效�����,而且應用效率極高�����。
然而事實上���,社會工程學已是企業安全最大的威脅之一
我們來看看毒云藤(APT-C-01)組織的魚叉式釣魚攻擊文檔的頁面
(攜帶漏洞文檔界面��,圖片來源于freebuf)
(攜帶二進制程序的文檔圖片來源于freebuf)
從上面文檔內容簡要來看�����,apt組織在事前已經對xx部門做了許多信息收集的跡象�����,偽造的文檔如果不是內部成員很難看出端倪���。
回放一下攻擊流程:
在確定目標公司后���,APT組織會開始收集目標的一切信息��,如:公司用戶的電子郵箱��,手機號碼��,通訊軟件號碼���、姓名���、你的工作崗位�。接著APT組織會對目標開始構造釣魚文檔并準備投放���,當內部工作人員打開惡意文檔了之后�����,電腦會觸發相關的漏洞為apt成員打開了一道通往內部網絡的大門,這時候他們會開始尋找存放著信息的服務器并開始攻擊服務器拿到自己想要的東西后�,在植入木馬進行權限維持����。
0x4:場景回放
釣魚是APT組織最常用的攻擊方式��,但以上數據僅表面我們只是知道了APT組織的一些攻擊����,并沒有掌握全部資料��,APT攻擊隱秘�,有組織�����,能力強��?����!坝白咏浖o人”泄露的NSA武器庫“EternalBlue”就是來源自APT組織“方程組”�����,可見APT組織的破壞力有多大��。
在詢問了幾個大表哥后得知���,現如今通過釣魚郵件進行攻擊方式在互聯網上占了將近一半����,在當前能找到的apt攻擊防御資料中����,至少有一半的攻擊都是通過釣魚郵件進行的�,而于傳統黑客行動不同的是�,apt組織會用一切手段去攻擊目標����,對于他們來說�,并不在乎人力�、物力和財力���,他們只在乎成功率�。
我們來模擬一個簡單的APT攻擊:
環境搭建:
Windows7虛擬機 *1
Ubuntu
Windows2008 *1
我將采用幾個知名漏洞來為大家演示:“震網3代”��、“永恒之藍”以及“釣魚郵件”
這些簡單便捷的0day可以為APT組織省下不少力氣去花時間去破解目標系統�����。
實驗本來是想用office漏洞+flash或者是pdf���,考慮到自身硬件配置和實驗時間��,就粗略的講下思路來和大家分享一下���,這次選用的兩個漏洞均可在msf框架里面找到對應的模塊去測試�。
模塊編號分別為:
Cve-2017-8464
Ms17_010
生成cve-2017-8464的exp���,震網三代的利用是快捷方式��,把惡意快捷方式藏在u盤里面��,當電腦設置自動播放�,或者訪問u盤時可觸發漏洞
生成的惡意文件后�����,我們在目標機上面執行惡意payload���,使用
exploit/multi/handler模塊
進行監聽
把這臺“鑰匙”添加到路由表里面
這樣子我們的流量就會經過這臺機子轉發��,接著我們使用永恒之藍攻擊服務器
攻擊成功后我們獲取了一個meterpreter會話
再來看看釣魚郵件
首先我利用了cve-2017-8759
生成了惡意rtf文檔(windows寫字板可以打開或者office而且通殺office)
然后生成了一個惡意exe
把惡意rtf文檔發了過去����,在在目標機接收該郵件
(在這個過程中我發現郵箱附件安全檢測并沒有檢測出惡意文檔)
開啟監聽等待目標機反回的會話
成功獲得了一個meterpreter會話�����!
關于如何分析APT攻擊問題的解答就分享到這里了�����,希望以上內容可以對大家有一定的幫助�,如果你還有很多疑惑沒有解開����,可以關注億速云行業資訊頻道了解更多相關知識��。
