【思路/技術】初探APT 攻擊

2021-02-15 EMLab攻防實驗室

首發於 i春秋

作者:joe       所屬團隊:Arctic Shell

團隊博客地址:https://www.cnblogs.com/anbus/

本文編寫參考:

https://www.freebuf.com/vuls/175280.html
https://www.freebuf.com/articles/security-management/111166.html
https://www.freebuf.com/column/185149.html

0x1:關於APT的相關介紹:

APT是什麼?

APT(AdvancedPersistent Threat)高級持續性威脅。

是指組織(特別是政府)或者小團體利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式。APT是黑客以竊取核心資料為目的,針對客戶所發動的網絡攻擊和侵襲行為。

APT手法?

APT的攻擊手法,在於隱匿自己,針對特定對象,長期、有計劃性和組織性地竊取數據,此類攻擊行為是傳統安全檢測系統無法有效檢測發現,前沿防禦方法是利用非商業化虛擬機分析技術,對各種郵件附件、文件進行深度的動態行為分析,發現利用系統漏洞等高級技術專門構造的惡意文件,從而發現和確認APT攻擊行為。由於APT的特性,導致難發現、潛在威脅大,一旦被攻擊將導致企業、政府、醫療組織等等的大量數據被竊取,公司重要財務、機密被盜竊。

0x2:初探APT大門(走進內網)

DMZ區域

A公司裡,準備用一臺伺服器用來開放web服務以供給別人看和宣傳一下自己公司的產品,小王(項目負責人)想到近來許多大公司數據都被竊取,於是他想了個辦法把web伺服器置於另一個網絡,訪問不了公司內網的一個空間,把smtp伺服器、web伺服器架設在dmz區裡面防止因網站被入侵而導致公司數據被盜竊。

兩個防火牆之間的空間被稱為DMZ,與Internet相比,DMZ可以提供更高的安全性,但是其安全性比內部網絡低,它是為了解決安裝防火牆後外部網絡的訪問用戶不能訪問內部網絡伺服器的問題,而設立的一個非安全系統與安全系統之間的緩衝區。

該緩衝區位於企業內部網絡和外部網絡之間的小網絡區域內,在這個小網絡區域內可以放置一些必須公開的伺服器設施,如企業Web伺服器、FTP伺服器和論壇等。另一方面,通過這樣一個DMZ區域,更加有效地保護了內部網絡。因為這種網絡部署,比起一般的防火牆方案,對來自外網的攻擊者來說又多了一道關卡。

DMZ區域既可以與外網通訊,也可以與內網通訊,但受安全策略的限制。

所以在現如今,用web伺服器當跳板來入侵內網已經是不現實的了,那麼有沒有什麼可以簡單易操作,的入侵方法呢?

0x3:常見利用

你可能想到了辦公套件這類神器,正所謂:最大的漏洞不是存在於任何系統上面,而是人

OFFICE 漏洞一覽:



CVE-2009-2496

堆損耗遠程代碼執行漏洞,又稱作 「Office Web 組件堆損耗漏洞

豐收行動

CVE-2010-3333

RTF分析器堆棧溢出漏洞,又稱」RTF棧緩衝區溢出漏洞」


CVE-2012-0158

Microsoft Windows Common Controls ActiveX控制項遠程代碼執行漏洞,棧內存拷貝溢出漏洞,又稱「MSCOMCTL.OCX RCE漏洞」

摩訶草
蔓靈花
白象
Rotten Tomato

CVE-2013-3906

Microsoft Graphics組件處理特製的TIFF圖形時存在遠程代碼執行漏洞

摩訶草
白象

CVE-2014-1761

Microsoft Word RTF文件解析錯誤代碼執行漏洞

摩訶草
Pitty Tiger
白象
Rotten Tomato

CVE-2014-4114

OLE包管理INF 任意代碼執行漏洞

摩訶草
白象

CVE-2015-1641

RTF解析中的類型混淆漏洞

MONSOON
摩訶草
白象
奇幻熊
Rotten Tomato
豐收行動

CVE-2015-2545

EPS圖形文件任意執行代碼

Rotten Tomato

CVE-2015-2546

UAF(釋放後重用)漏洞


CVE-2016-7193

RTF文件解析漏洞,可遠程執行任意代碼


CVE-2017-0199

首個Microsoft Office RTF漏洞

暗黑客棧

CVE-2017-0261

EPS中的UAF漏洞

摩訶草
白象
Turla

CVE-2017-0262

EPS中的類型混淆漏洞

摩訶草
白象

CVE-2017-11826

OOXML解析器類型混淆漏洞

東亞某組織

CVE-2017-11882

「噩夢公式」公式編輯器中的棧溢出漏洞,可遠程代碼執行

白象
響尾蛇
寄生獸
摩訶草
人面馬
黑鳳梨

CVE-2017-8464

解析快捷方式時存在遠程執行任意代碼的高危漏洞


CVE-2017-8570

OLE對象中的邏輯漏洞 (CVE-2017-0199的補丁繞過),「沙蟲」二代漏洞

白象
寄生獸
摩訶草

CVE-2017-8759

.NET Framework中的邏輯漏洞


CVE-2018-0802

「噩夢公式二代」利用office內嵌的公式編輯器EQNEDT32.EXE發起攻擊

黑鳳梨

CVE-2018-0798

Microsoft Office遠程內存破壞漏洞


CVE-2018-8174

利用瀏覽器0day漏洞的新型Office文檔攻擊


==============================

Adobe漏洞一覽:

CVE-2007-5659

Adobe Acrobat/Reader PDF文件 多個緩衝區溢出漏洞

Adobe Acrobat 8
Adobe Reader 8
Adobe Reader 7

豐收行動

CVE-2008-2992

Adobe Reader util.printf() JavaScript函數棧溢出漏洞

Adobe Acrobat < 8.1.3
Adobe Reader < 8.1.3

豐收行動

CVE-2009-0927

Adobe Acrobat和Reader Collab getIcon() JavaScript方式棧溢出漏洞

Adobe Acrobat 9
Adobe Acrobat 8
Adobe Acrobat 7.0
Adobe Reader 9
Adobe Reader 8
Adobe Reader 7

豐收行動

CVE-2009-4324

Adobe Reader和Acrobat newplayer() JavaScript方式內存破壞漏洞

Adobe Acrobat <= 9.2
Adobe Reader <= 9.2

豐收行動

CVE-2010-0188

Adobe Reader和Acrobat TIFF圖像處理緩衝區溢出漏洞

Adobe Acrobat < 9.3.1
Adobe Acrobat < 8.2.1
Adobe Reader < 9.3.1
Adobe Reader < 8.2.1

豐收行動

CVE-2010-3653

Adobe Shockwave Player Director文件rcsL塊解析內存破壞漏洞

Adobe Shockwave Player 11.5.8.612

豐收行動

CVE-2012-0773

Adobe Flash Player / AIR  NetStream類任意代碼執行或拒絕服務漏洞

Adobe Flash Player 11.x
Adobe AIR 3.x

The mask

CVE-2013-0640

Adobe Acrobat和Reader遠程代碼執行漏洞

Adobe Acrobat 9.x
Adobe Acrobat 11.x
Adobe Acrobat 10.x
Adobe Reader 9.x
Adobe Reader 11.x
Adobe Reader 10.x

豐收行動





CVE-2014-0497

Adobe Flash Player遠程代碼執行漏洞

Adobe Flash Player 12.x
Adobe Flash Player 11.x

暗黑客棧

CVE-2015-5119

Adobe Flash Player ActionScript 3 ByteArray釋放後重用遠程漏洞

Adobe Flash Player <= 18.0.0.194
Adobe Flash Player <= 18.0.0.194
Adobe Flash Player Extended Support Release 13.x
Adobe Flash Player Extended Support Release 13.0.0.296
Adobe Flash Player for Linux 11.x
Adobe Flash Player for Linux 11.2.202.468

藍白蟻
Hacking Team

CVE-2015-8651

Adobe Flash Player整數溢出漏洞

Adobe Flash Player < 18.0.0.324
Adobe Flash Player < 11.2.202.559
Adobe Flash Player 20.x-20.0.0.267
Adobe Flash Player 19.x
Adobe AIR < 20.0.0.233

暗黑客棧

CVE-2016-0984

Adobe Flash遠程代碼執行漏洞

Adobe Flash Player before 18.0.0.329 and 19.x and 20.x before 20.0.0.306

BlackOasis

CVE-2016-4117

Adobe Flash Player 任意代碼執行漏洞

Adobe Flash Player <= 21.0.0.226

奇幻熊

CVE-2016-7855

Adobe Flash Player 釋放後重利用遠程代碼執行漏洞

Adobe Flash Player <= 23.0.0.185
Adobe Flash Player <= 11.2.202.637


CVE-2017-11292

類型混淆漏洞導致的遠程代碼執行

Adobe Flash Player Desktop Runtime
Adobe Flash Player for Google Chrome
Adobe Flash Player for Microsoft Edge and Internet Explorer 11
Adobe Flash Player Desktop Runtime

黑色綠洲
Lazarus

CVE-2018-4878

Adobe Flash Player釋放後重利用遠程代碼執行漏洞

Adobe Flash Player <= 28.0.0.137

Lazarus

=======================

以上是一些APT用爛了的漏洞資料,接下來看看最常見的攻擊方式:(來源於百度百科)

1、 魚叉式釣魚攻擊

由於魚叉式網絡釣魚鎖定之對象並非一般個人,而是特定公司、組織之成員,故受竊之資訊已非一般網絡釣魚所竊取之個人資料,而是其他高度敏感性資料,如智慧財產權及商業機密。

一次簡單的點擊相當於為攻擊者開啟了一扇電子門,這樣他就可以接觸到你的內部了,因為你已經同意他進入!

2、 水坑攻擊

水坑攻擊是一種計算機入侵手法,其針對的目標多為特定的團體,攻擊者首先通過猜測或觀察確定這組目標經常訪問的網站,併入侵其中一個或多個,植入惡意軟體,最後,達到感染該組目標中部分成員的目的。

由於此種攻擊藉助了目標團體所信任的網站,攻擊成功率很高,即便是那些對魚叉攻擊或其他形式的釣魚攻擊具有防護能力的團體。

3、 社會工程學

社會工程學是一種通過人際交流的方式獲得信息的非技術滲透手段。不幸的是,這種手段非常有效,而且應用效率極高。

然而事實上,社會工程學已是企業安全最大的威脅之一

我們來看看毒雲藤(APT-C-01)組織的魚叉式釣魚攻擊文檔的頁面

(攜帶漏洞文檔界面,圖片來源於freebuf)

(攜帶二進位程序的文檔圖片來源於freebuf)


從上面文檔內容簡要來看,apt組織在事前已經對xx部門做了許多信息收集的跡象,偽造的文檔如果不是內部成員很難看出端倪。

回放一下攻擊流程:

在確定目標公司後,APT組織會開始收集目標的一切信息,如:公司用戶的電子郵箱,手機號碼,通訊軟體號碼、姓名、你的工作崗位。接著APT組織會對目標開始構造釣魚文檔並準備投放,當內部工作人員打開惡意文檔了之後,電腦會觸發相關的漏洞為apt成員打開了一道通往內部網絡的大門,這時候他們會開始尋找存放著信息的伺服器並開始攻擊伺服器拿到自己想要的東西後,在植入木馬進行權限維持。

0x4:場景回放

釣魚是APT組織最常用的攻擊方式,但以上數據僅表面我們只是知道了APT組織的一些攻擊,並沒有掌握全部資料,APT攻擊隱秘,有組織,能力強。「影子經紀人」洩露的NSA武器庫「EternalBlue」就是來源自APT組織「方程組」,可見APT組織的破壞力有多大。

在詢問了幾個大表哥後得知,現如今通過釣魚郵件進行攻擊方式在網際網路上佔了將近一半,在當前能找到的apt攻擊防禦資料中,至少有一半的攻擊都是通過釣魚郵件進行的,而於傳統黑客行動不同的是,apt組織會用一切手段去攻擊目標,對於他們來說,並不在乎人力、物力和財力,他們只在乎成功率。

我們來模擬一個簡單的APT攻擊:

環境搭建:

     Windows7虛擬機 *1

     Ubuntu  

     Windows2008 *1

我將採用幾個知名漏洞來為大家演示:「震網3代」、「永恆之藍」以及「釣魚郵件」

這些簡單便捷的0day可以為APT組織省下不少力氣去花時間去破解目標系統。

實驗本來是想用office漏洞+flash或者是pdf,考慮到自身硬體配置和實驗時間,就粗略的講下思路來和大家分享一下,這次選用的兩個漏洞均可在msf框架裡面找到對應的模塊去測試。

模塊編號分別為:

Cve-2017-8464

Ms17_010

生成cve-2017-8464的exp,震網三代的利用是快捷方式,把惡意快捷方式藏在u盤裡面,當電腦設置自動播放,或者訪問u盤時可觸發漏洞

生成的惡意文件後,我們在目標機上面執行惡意payload,使用

exploit/multi/handler模塊

進行監聽

 
 

把這臺「鑰匙」添加到路由表裡面

這樣子我們的流量就會經過這臺機子轉發,接著我們使用永恆之藍攻擊伺服器

攻擊成功後我們獲取了一個meterpreter會話

再來看看釣魚郵件

首先我利用了cve-2017-8759

生成了惡意rtf文檔(windows寫字板可以打開或者office而且通殺office)

然後生成了一個惡意exe

把惡意rtf文檔發了過去,在在目標機接收該郵件

(在這個過程中我發現郵箱附件安全檢測並沒有檢測出惡意文檔)

開啟監聽等待目標機反回的會話

成功獲得了一個meterpreter會話!

至此一次簡單粗暴的攻擊演示到此結束!

0x5:結語

APT組織的攻擊難以捉摸,以現在掌握到的情報可能還只是冰山一角,本次演示所使用的永恆之藍這個漏洞在很久之前就已經有了,只是在這兩年被洩露出來,由此可見APT組織的恐怖之處!

文章來源:i春秋論壇

相關焦點

  • APT攻擊檢測與防禦技術
    在APT攻擊初期不同步驟中,攻擊者會採用複雜的技術手段開展相應攻擊,綜合各類檢測技術從多層面及時檢測出具有APT特徵的異常是APT防禦的關鍵。攻擊檢測:阻斷和遏止APT攻擊的前提是能夠有效檢測到安全威脅的存在,通常已經退出目標系統的APT由於活動痕跡已被清除而難以發現,因此檢測的重點是APT攻擊的前3個時期。
  • 2018年全球十大APT攻擊事件盤點
    360威脅情報中心結合2018年全年國內外各個安全研究機構、安全廠商披露的重大APT攻擊事件,以及近幾年來披露的高級持續性威脅活動信息,並基於這些重大APT攻擊事件的危害程度、攻擊頻度、攻擊技術等,評選出2018年全球十大APT攻擊事件。
  • Invoke-APT29:模擬攻擊仿真
    他們的戰術根據獲取訪問的目標和考慮到主要依賴於PowerShell和相關技術,我已經將APT29最廣泛使用的技術集合編譯成一個PowerShell腳本,這樣其他人就可以快速、輕鬆、安全地模擬大多數與MITRE ATT&CK相關的這種攻擊者技術。該腳本主要由Red Canary Atomic Red Team框架中包含的技術組成,儘管許多技術已經被設置為和APT29相同的技術。
  • 針對以色列和巴勒斯坦的apt式攻擊
    通過我們的調查,之前並無行為上與此相同的apt記錄。不過還是可以找到一些相似的攻擊行為。link to (1](2]話說那是一個2014年的夏天,我們在一些小型的基礎設施中獲得了惡意樣本,這些行為表明,攻擊者是窮逼,或者被限制了可利用的資源。
  • 卡巴斯基實驗室:2020Q1 APT攻擊趨勢報告
    CactusPete對俄羅斯國防工業和蒙古政府的攻擊活動似乎主要是針對俄蒙商業和邊境關係這兩個維度,攻擊者使用蒙古語編寫了一個誘餌攻擊文檔,並投遞其Flapjack後門(tmplogon.exe,主要針對新的俄羅斯目標)。該惡意組織的技術能力擴展、漏洞利用的新用途、攻擊目標的轉移都表明,該惡意組織的資源和運營方式似乎發生了變化。
  • MMCore針對南亞地區的APT攻擊活動分析
    此外Forcepoint也在2017年初曝光過而惡意文件的一些攻擊活動。該惡意文件的活動,主要活躍在亞洲地區,包括中國、巴基斯坦、阿富汗、尼泊爾等。不過Forcepoint也提到該攻擊活動也包含非洲和美國。攻擊的目標主要為軍事目標、媒體、大學等。該攻擊活動可以追溯到2013年,直到2020年,依然存在。
  • APT檔案之:記錄APT28 和 APT30的公開披露
    免責聲明:本文中所描述的內容,是基於公開信息統計整理而成,所記錄的技術僅用於教育目的,並不適用於指導如何使用APT攻擊工具重現給定的攻擊場景
  • apt 和 apt-get 之間有什麼區別?
    讓我們看一些替代 apt-get 的 apt 命令,要查看這些命令,可以鍵入 apt help 或通過在終端中鍵入 apt man 來訪問apt 手冊頁。它將顯示與apt 相關的所有信息。命令對比apt-getapt功能apt-getapt安裝軟體包apt-get removeapt remove刪除軟體包apt-get removeapt remove更換所有包apt-get  purgeaptpurge移除軟體包及配置文件apt-get upgradeapt upgrade更新所有軟體包(自動處理依賴項)apt-get autoremoveapt autoremove自動刪除不需要的包
  • 全球高級持續性威脅(APT)2019年中報告
    海蓮花組織是一個快速變化的APT組織,其擅長與將定製化的公開攻擊工具和技術和自定製惡意代碼相結合,例如Cobalt Strike和fingerprintjs2是其常用的攻擊武器之一。海蓮花組織經過多年的發展,形成了非常成熟的攻擊戰術技術特徵,並擅長於利用多層shellcode和腳本化語言混淆其攻擊載荷來逃避終端威脅檢測,往往能夠達到比較好的攻擊效果。
  • CVE-2019-3462:Linux 包管理器apt/apt-get遠程代碼執行漏洞預警
    /apt-get 遠程代碼執行的一些細節。攻擊一旦觸發,便可導致目標伺服器的 root 權限被拿下。360CERT 判斷該漏洞危害嚴重,影響面有限。建議使用Debain系發行版的用戶及時進行apt 軟體的更新或者對伺服器進行流量自查。0x01 漏洞詳情在獲取數據時,apt會fork出worker進程用於數據傳輸。
  • 利用 mstsc 反向攻擊思路整理
    曾經在某次滲透過程中,通過日誌分析,已經確認核心內網的 ip 地址,但是發現目標機器只隨機開放遠埠與被攻擊機進行 rdp 遠程連接,所有正向攻擊手段都無法使用。很難受,因此收集整理了一下目前的 mstsc 反向攻擊方法,供大家參考,不足之處請多指點。
  • 教你如何在 Linux 中使用 apt 命令
    它是 apt-get 和 apt-cache 工具的最常用命令和選項的組合。apt 專為交互式使用而設計。在您的 shell 腳本中優先使用 apt-get 和 apt-cache ,因為它們在不同版本之間向後兼容,並具有更多選項和功能。
  • 《武神傳說》新版本神兵初探
    今日小編帶你初探《武神傳說》神兵系統!    Q1 神兵有哪些?  每個武將能夠裝備5件神兵,分別為武器,馬匹,兵書,和2個錦囊。如圖:      Q2 神兵在哪獲得?
  • APT攻擊盤點及實戰(上)
    0x01 APT攻擊APT攻擊(英文:Advanced Persistent Threat),中文叫做「高級持續性攻擊」。是一種點對點的,有明確目標,有明確意圖發起的一次帶有惡意行為的網絡攻擊行為!攻擊者經常利用社會工程學,遠程控制木馬偽裝,魚叉式釣魚攻擊等手段,對目標企業發起攻擊。運用的技術都是信息安全界的高端手段對目標企業發起的攻擊。
  • OLAP資料庫初探
    OLAP資料庫初探|0x00 OLAP簡介OLAP的標準概念叫作「聯機分析處理系統」,與之對應的是OLTP「聯機事務處理系統」。
  • 如何在 Ubuntu Linux 16.04 LTS 中使用多個連接加速 apt-get/apt
    你需要使用到 apt-fast 這個 shell 封裝器。它會通過多個連接同時下載一個包來加速 apt-get/apt 和 aptitude 命令。所有的包都會同時下載。它使用 aria2c 作為默認的下載加速器。
  • Kimsuky APT組織持續利用AppleSeed後門攻擊韓國政府
    Malwarebytes安全團隊在近期觀測到Kimsuky的活動跡象,發現其用於攻擊韓國政府內知名人士的網絡釣魚網站、惡意文檔和腳本。活動中使用的設備、TTP與KISA報告中的內容一致。攻擊目標Kimsuky使用的釣魚文件之一名為「외교부사판2021-05-07」,翻譯為「外交部版2021-05-07」,表明它的目標是韓國外交部。
  • 全球高級持續性威脅(APT)2018年總結報告
    2018年多次曝光的在野0 day攻擊的發現,展現了APT攻擊者的技術能力儲備和提升,威脅的攻擊和防禦變得更加白熱化,APT威脅的防禦和響應的時效性變得尤為重要。威脅攻擊者也在發掘一些新的攻擊方式,也包括使用了部分「陳舊而古老」的技術特性,繞過或逃避威脅檢測機制從而實施攻擊,結合目標人員的安全意識弱點往往也能夠取得不錯的攻擊效果。
  • Donot(APT-C-35)組織對在華巴基斯坦商務人士的定向攻擊活動分析
    360威脅情報中心在本文中對本次的釣魚攻擊活動的過程與技術細節進行揭露,希望相關組織和個人能夠引起足夠重視並採取必要的應對措施。 2017年,360公司發現並披露了主要針對巴基斯坦等南亞地區國家進行網絡間諜活動的組織[1],內部跟蹤代號為APT-C-35,其後網絡安全廠商Arbor公開了該組織的活動並命名為Donot[2]。
  • 使用 apt-get 清理 | Linux 中國
    軟體包的更新相當頻繁,諸如 apt-get update 和 apt-get upgrade 之類的命令使此過程非常容易。另一方面,你多久使用一次 apt-get clean、apt-get autoclean 或 apt-get autoremove?這些命令會在 apt-get 的安裝操作後清理並刪除仍在系統上但不再需要的文件,這通常是因為需要它們的程序已經卸載。