引言
我相信很多人在发文章的时候,都写了关于APT攻击相关的文章!在这里我也发一篇该文章!哈!但是我比较喜欢实战,不太喜欢理论上的东西。相信大家也跟我一样喜欢实战,恰巧在读研的时候研究方向是APT攻击的检测和防御。在本文中会以模拟2011年10月末的Nitro攻击(APT攻击之一)做一次实战模拟。
0x01 APT攻击
APT攻击(英文:Advanced Persistent Threat),中文叫做“高级持续性攻击”。是一种点对点的,有明确目标,有明确意图发起的一次带有恶意行为的网络攻击行为!攻击者经常利用社会工程学,远程控制木马伪装,鱼叉式钓鱼攻击等手段,对目标企业发起攻击。运用的技术都是信息安全界的高端手段对目标企业发起的攻击。
0x02 APT攻击特性
APT攻击既然被成为高级持续性攻击,说明它是很高级的,也是持续性的。
其特性主要为:潜伏性,持续性长,难以被发现,长时间远控,不易被查杀。
特性分析:由于攻击者利用0day漏洞,对企业发起攻击,所以又被成为“零式攻击”,0day很难被发现,而且远控木马被做了免杀处理,所以杀毒软件很难对其进行查杀,这样攻击者就可以长时间对企业进行远控操作,窃取企业信息。
0x03 零式攻击“0day”
0day,是一个目前没有发现的一个新的漏洞,由于该漏洞,厂商还没有发现也没有写出补丁修复,所以被称为“零式漏洞”,利用此漏洞进行攻击行为的又被称为“零式攻击”。由于是一个新漏洞,厂商如果长时间没有发现就无法出新的补丁去修复漏洞。利用此漏洞并对远控木马做了“免杀”(免杀这个技术会在实战中讲解)。杀毒软件也不易查杀,这就是所谓的“APT攻击原理”。
0x04 APT攻击案例
我知道很多网站有介绍APT攻击的案例,在这里我再总结一次。总结之后,我们直接进入模拟实战。
0x04.1 Google Aurora极光攻击
该攻击为2010年最著名的APT攻击,没有之一。是由一个有组织的网络犯罪团伙精心策划的一个有针对性的网络攻击,攻击团队向Google发送了一条带有恶意连接的消息,当该员工点击了这条恶意连接,员工的电脑就被远程控制长达数月之久。其被窃取的资料数不胜数,造成的损失也是不可估量的。
攻击原理如下:
上图解释:
-
-
1)攻击者首先要对Google的员工进行信息收集,收集的信息包括员工人名,职位,年龄,以及公司的运营业务和需求
-
-
2)攻击者建立C&C Server(Command and Control Server),并向目标员工发送一条带有恶意连接的消息
-
-
3)当Google员工点击该恶意连接时,表示该电脑就会自动从攻击者的C&C Server发送一个指令,并下载远控木马到终端上
-
-
4)攻击者就可以正常的连接Google上的终端,也就俗称“肉鸡”。再利用内网渗透,暴力破解等方式获取服务器的管理员权限。
-
-
5)再在该服务器上安装一个backdoor(后门程序)保持长时间进行访问。
-
0x04.2 震网攻击
该攻击为2010年伊朗布什尔核电站遭到一个名为Stuxnet蠕虫病毒的感染,被称为超级工厂病毒攻击
震网攻击:该攻击是一个很奇妙的攻击方式。奇妙点在于,该核电站的计算机与外界是呈现一种隔离状态。既然是隔离状态,又如何被黑客团队盯上并且被攻击的呢?这是一个很奇妙的地方。首先我们先来看个图。
攻击方式:
-
-
1)首先,上面讲了,核电站与外界是隔离的,攻击者也无法通过公共网络对该核电站进行攻击的。
-
-
2)于是,攻击者利用了核电站的一个人的家庭电脑作为跳板,首先对家庭电脑进行攻击,然后获取该目标电脑的权限
-
-
3)然后将该电脑的移动设备进行攻击。并嵌入了自己的蠕虫病毒。
-
-
4)当该核电站拿着已经被嵌入蠕虫病毒的USB插入到核电站的电脑上时,Stuxnet蠕虫病毒便开始了传播。
-
-
5)这是一个很奇妙的APT攻击案例。
-
Stuxnet蠕虫病毒是如何发现的呢?
Stuxnet蠕虫病毒是一种windows平台上的计算机蠕虫。据恶意软件研究者Tillmann和Felix Leder介绍称,该病毒延缓了伊朗核项目长达2年,最终因一段代码的原因而被暴露了。由于一个编程错误导致它可以蔓延一些低版本的windows系统的电脑中,从而系统崩溃,引起了伊朗Natanz核试验室的发现。
0x04.3 夜龙攻击
夜龙攻击:McAfee在2011年2月发现一个针对全球能源公司的攻击行为。发表的报告称,5家西方跨国能源公司遭到来自中国“黑客的有组织,有纪律切有针对性的攻击。超过千兆的字节的敏感文件被窃取,McAfee的报告称这次行动代号为”夜龙行动(Night Dragon)“最早开始于2007年
夜龙攻击的攻击流程
攻击流程:
-
-
1)找到网站的注入点,利用SQL注入的方式,从外网入侵Web服务器
-
-
2)在此以Web服务器为跳板,对内网以及其他服务器及终端电脑进行扫描
-
-
3)通过密码暴力破解等方式入侵内网AD服务器及开发人员电脑
-
-
4)向被入侵电脑植入恶意代码,并安装远端控制工具
-
-
5)金庸被入侵电脑的IE代理设置,建立直连通道,传回大量机密文件
-
-
6)更多内网电脑遭到入侵,多半为高阶主管点击了看似正常的邮件附件导致中毒
-
0x04.4 RSA SecurID窃取攻击
SecurID窃取攻击:发生于2011年3月,EMC公司下属的RSA公司遭到入侵,部分的技术内容及客户资料被窃取。
攻击流程:
-
-
1)攻击者给RSA的母公司EMC的4名员工发送了2组恶意邮件,邮件附件为”2011 Recruitment Plan.xls“的文件。xls能绑病毒?@.@。(模拟攻击的时候,会提到相关技术)
-
-
2) 其中以为员工将其从垃圾邮件中取出来阅读,被当时的Adobe Flash的0day漏洞(CVE-2011-0609)命中
-
-
3) 该员工电脑被植入木马,开始从僵尸网络(BotNet)的C&C服务器下载指令执行
-
-
4) 首批受害的使用者并非高地位的人,紧接着IT与非IT服务器管理员相继被黑。
-
-
5) RSA发现开发用服务器遭入侵,攻击者立即撤回并将所有资料加密以FTP的方式传送回远程主机,完成入侵
-
0x04.5 暗鼠攻击
暗鼠攻击:发生于2011年8月份,McAfee和Symantec发现并报告该攻击,该攻击时常N年之久,并攻击了70多家公司和组织,被称为“暗鼠行动”。
攻击方式:
-
-
1)通过社会工程学的方法收集被攻击目标的信息
-
-
2)想目标公司的特定人发送极具诱惑性的,带有附件的恶意邮件(例如参加行业会议,以及项目预算等等)
-
-
3)当受害人打开附件时,触发CVE-2009-3129漏洞利用程序植入木马,该漏洞并非0day,只针对某些版本的excel
-
-
4)木马从远程服务器下载恶意代码,切这些恶意代码被精心伪装,例如图片或html文件
-
-
5)借助恶意代码,拿到shell,受害人与电脑与远程电脑建立连接,并且控制
-
0x04.6 Lurid攻击
Lurid攻击:发生于2011年9月22日,TrendMicro的研究人员公布了一起针对印度,越南及中国发起的APT攻击
©️ 不贴图了,怕后面字数超过了发不出去哈!
攻击方式:
0x04.7 Nitro攻击
Nitro攻击,该攻击是利用鱼叉式钓鱼攻击,将带有恶意伪装木马的病毒嵌入到Microsoft Office Word 2010中,并以诱惑邮件的方式发给用户,当该用户点击word 2010的时候,就会中这个伪装病毒,该病毒名为:poison Ivy(毒藤)。这也是本章要模拟的攻击。该攻击持续长达7年之久。
0x05 盘点最近几年的APT攻击事件
第一:
韩国平昌冬奥会APT攻击事件
攻击组织:Hades
相关攻击武器:Olympic Destroyer
攻击方式:鱼叉式钓鱼式攻击
攻击流程:
-
-
同样利用与钓鱼式邮件,向目标(冬奥会举办方)投递了一封带有恶意病毒的邮件
-
-
利用Powershell图片隐写技术,并使用Invoke-PSImage工具实现
-
-
利用失陷网站用于攻击载荷和数据回传
-
-
伪装成NCTC(韩国国家反恐中心)的含有恶意病毒的恶意邮件,并注册了伪装成韩国农业和林业部的域名混其过关。
-
该事件有McAfee在伊始公开披露APT攻击事件,该事件导致网络终端,事后卡巴斯基将该背后的攻击组织名为Hades。
第二:
VPNFilter:针对乌克兰IOT设备的恶意代码攻击事件
攻击组织:APT28
相关攻击武器:VPNFilter
攻击方式:利用IOT设备漏洞远程获得初始控制权
所利用的漏洞:IoT漏洞
攻击流程:
-
-
使用多阶段的载荷植入,不同阶段载荷功能模块实现不同
-
-
使用针对多种幸好IOT设备的公开利用技术和默认访问凭据
-
-
实现包括,数据包嗅探,窃取网站登陆凭据,以及监控Modbus SCADA工控协议
-
-
针对多种CPU架构编译和执行
-
-
使用Tor(洋葱浏览器)或SSL加密协议进行C2通信
-
VPNFilter事件是2018年最为严重的针对IoT设备的攻击事件之一,并实施改时间的攻击者意思具有国家背景的攻击团队,美国司法后续也声称该是事件与APT29组织有关,乌克兰特勤局也后续公开披露其发现VPNFilter队其国内的氯气蒸馏站发起过攻击。实现了多模块化的攻击。
第三:
蓝宝菇APT组织针对中国的一系列定向攻击事件
攻击组织:BlueMushroom(蓝宝菇)
相关攻击武器:Powershell后门程序
攻击方式:鱼叉式钓鱼攻击和水坑攻击
攻击流程:
-
-
鱼叉邮件投递内嵌Powershell脚本的LNK文件,并利用邮件服务器的云附件方式进行投递
-
-
当受害者被诱导点击恶意LNK文件后,会执行LNK文件所指向的Powershell命令,进而提取出LNK文件中的其他诱导文件,持久化后和powershell后门脚本。
-
-
从网络上接受新的Powershell后门代码执行,从而躲避了一些杀软的查杀。
-
第四:
海莲花APT组织针对我国和东南亚地区的定向攻击事件
攻击组织:OceanLotus(海莲花)
相关攻击武器:Denis家族木马。Cobalt Strike(后渗透工具与MSF齐名),CACTUSTORCH框架木马
相关漏洞:office漏洞,MikroTik路由器漏洞,永恒之蓝
攻击方式:鱼叉式攻击和水坑攻击
攻击流程:
-
-
鱼叉式邮件投递内嵌恶意宏的word文件,HTA文件,快捷方式文件,SFX自解压文件,捆绑后的文档图
-
-
入侵后,通过内网渗透攻击CS(Cobalt Strike)扫描并渗透内网并横向移动,入侵服务器,植入Denis家族木马
-
-
并获得域控或者重要的服务器权限,通过重要机器来设置水坑,利用第三方工具渗透
-
-
并对杀软进行逃避检测技术(免杀)
-
第五:
蔓灵花APT组织针对中国、巴基斯坦的一系列定向攻击事件
攻击组织:BITTER(蔓灵花)
相关攻击武器:该组织的后门程序
相关漏洞:CVE-2017-12824,微软公式编辑器漏洞
攻击方式:鱼叉邮件攻击
攻击流程:
第六:
APT38针对全球范围金融机构的攻击事件
攻击组织:APT38
相关攻击武器:自制恶意程序
相关漏洞:多种漏洞
攻击方式:鱼叉和水坑攻击
攻击流程:
-
-
利用社交网站,搜索多种方式对目标进行网络侦查,信息收集
-
-
使用鱼叉攻击或水坑攻击对目标人员实施攻击并获得初始控制权
-
-
在目标网络横向移动,最终以获得SWIFT系统终端为目的
-
-
伪造或修改交易数据窃取资金
-
-
通过格式化硬盘或者篡改日志的方式清除痕迹
-
第七:
疑似DarkHotel APT组织利用多个IE 0day“双杀”漏洞的定向攻击事件
攻击组织:DarkHotel
相关攻击武器:劫持操作系统DLL文件的插件式木马后门
