初探APT攻擊
首發於 i春秋
作者:joe 所屬團隊:Arctic Shell
團隊部落格地址:https://www.cnblogs.com/anbus/
0x1:關於APT的相關介紹:
APT是什麼?
APT(AdvancedPersistent Threat)高階持續性威脅。
是指組織(特別是政府)或者小團體利用先進的攻擊手段對特定目標進行長期持續性網路攻擊的攻擊形式。APT是黑客以竊取核心資料為目的,針對客戶所發動的網路攻擊和侵襲行為。
APT手法?
APT的攻擊手法,在於隱匿自己,針對特定物件,長期、有計劃性和組織性地竊取資料,此類攻擊行為是傳統安全檢測系統無法有效檢測發現,前沿防禦方法是利用非商業化虛擬機器分析技術,對各種郵件附件、檔案進行深度的動態行為分析,發現利用系統漏洞等高階技術專門構造的惡意檔案,從而發現和確認APT攻擊行為。由於APT的特性,導致難發現、潛在威脅大,一旦被攻擊將導致企業、政府、醫療組織等等的大量資料被竊取,公司重要財務、機密被盜竊。
0x2:初探APT大門(走進內網)
DMZ區域
A公司裡,準備用一臺伺服器用來開放web服務以供給別人看和宣傳一下自己公司的產品,小王(專案負責人)想到近來許多大公司資料都被竊取,於是他想了個辦法把web伺服器置於另一個網路,訪問不了公司內網的一個空間,把smtp伺服器、web伺服器架設在dmz區裡面防止因網站被入侵而導致公司資料被盜竊。
兩個防火牆之間的空間被稱為DMZ,與Internet相比,DMZ可以提供更高的安全性,但是其安全性比內部網路低,它是為了解決安裝防火牆後外部網路的訪問使用者不能訪問內部網路伺服器的問題,而設立的一個非安全系統與安全系統之間的緩衝區。
該緩衝區位於企業內部網路和外部網路之間的小網路區域內,在這個小網路區域內可以放置一些必須公開的伺服器設施,如企業Web伺服器、FTP伺服器和論壇等。另一方面,通過這樣一個DMZ區域,更加有效地保護了內部網路。因為這種網路部署,比起一般的防火牆方案,對來自外網的攻擊者來說又多了一道關卡。
DMZ區域既可以與外網通訊,也可以與內網通訊,但受安全策略的限制。
所以在現如今,用web伺服器當跳板來入侵內網已經是不現實的了,那麼有沒有什麼可以簡單易操作,的入侵方法呢?
0x3:常見利用
你可能想到了辦公套件這類神器,正所謂:最大的漏洞不是存在於任何系統上面,而是人
OFFICE 漏洞一覽:
=======================================================================================
| CVE-2009-2496 |
堆損耗遠端程式碼執行漏洞,又稱作 “Office Web 元件堆損耗漏洞 |
豐收行動 |
| CVE-2010-3333 |
RTF分析器堆疊溢位漏洞,又稱”RTF棧緩衝區溢位漏洞” |
|
| CVE-2012-0158 |
Microsoft Windows Common Controls ActiveX控制元件遠端程式碼執行漏洞,棧記憶體拷貝溢位漏洞,又稱“MSCOMCTL.OCX RCE漏洞” |
摩訶草 |
| CVE-2013-3906 |
Microsoft Graphics元件處理特製的TIFF圖形時存在遠端程式碼執行漏洞 |
摩訶草 |
| CVE-2014-1761 |
Microsoft Word RTF檔案解析錯誤程式碼執行漏洞 |
摩訶草 |
| CVE-2014-4114 |
OLE包管理INF 任意程式碼執行漏洞 |
摩訶草 |
| CVE-2015-1641 |
RTF解析中的型別混淆漏洞 |
MONSOON |
| CVE-2015-2545 |
EPS圖形檔案任意執行程式碼 |
Rotten Tomato |
| CVE-2015-2546 |
UAF(釋放後重用)漏洞 |
|
| CVE-2016-7193 |
RTF檔案解析漏洞,可遠端執行任意程式碼 |
|
| CVE-2017-0199 |
首個Microsoft Office RTF漏洞 |
暗黑客棧 |
| CVE-2017-0261 |
EPS中的UAF漏洞 |
摩訶草 |
| CVE-2017-0262 |
EPS中的型別混淆漏洞 |
摩訶草 |
| CVE-2017-11826 |
OOXML解析器型別混淆漏洞 |
東亞某組織 |
| CVE-2017-11882 |
“噩夢公式”公式編輯器中的棧溢位漏洞,可遠端程式碼執行 |
白象 |
| CVE-2017-8464 |
解析快捷方式時存在遠端執行任意程式碼的高危漏洞 |
|
| CVE-2017-8570 |
OLE物件中的邏輯漏洞 (CVE-2017-0199的補丁繞過),“沙蟲”二代漏洞 |
白象 |
| CVE-2017-8759 |
.NET Framework中的邏輯漏洞 |
|
| CVE-2018-0802 |
“噩夢公式二代”利用office內嵌的公式編輯器EQNEDT32.EXE發起攻擊 |
黑鳳梨 |
| CVE-2018-0798 |
Microsoft Office遠端記憶體破壞漏洞 |
|
| CVE-2018-8174 |
利用瀏覽器0day漏洞的新型Office文件攻擊 |
|
======================================================================================================
Adobe漏洞一覽:
======================================================================================================
| CVE-2007-5659 |
Adobe Acrobat/Reader PDF檔案 多個緩衝區溢位漏洞 |
Adobe Acrobat 8 |
豐收行動 |
| CVE-2008-2992 |
Adobe Reader util.printf() JavaScript函式棧溢位漏洞 |
Adobe Acrobat < 8.1.3 |
豐收行動 |
| CVE-2009-0927 |
Adobe Acrobat和Reader Collab getIcon() JavaScript方式棧溢位漏洞 |
Adobe Acrobat 9 |
豐收行動 |
| CVE-2009-4324 |
Adobe Reader和Acrobat newplayer() JavaScript方式記憶體破壞漏洞 |
Adobe Acrobat <= 9.2 |
豐收行動 |
| CVE-2010-0188 |
Adobe Reader和Acrobat TIFF影象處理緩衝區溢位漏洞 |
Adobe Acrobat < 9.3.1 |
豐收行動 |
| CVE-2010-3653 |
Adobe Shockwave Player Director檔案rcsL塊解析記憶體破壞漏洞 |
Adobe Shockwave Player 11.5.8.612 |
豐收行動 |
| CVE-2012-0773 |
Adobe Flash Player / AIR NetStream類任意程式碼執行或拒絕服務漏洞 |
Adobe Flash Player 11.x |
The mask |
| CVE-2013-0640 |
Adobe Acrobat和Reader遠端程式碼執行漏洞 |
Adobe Acrobat 9.x |
豐收行動 |
| CVE-2014-0497 |
Adobe Flash Player遠端程式碼執行漏洞 |
Adobe Flash Player 12.x |
暗黑客棧 |
| CVE-2015-5119 |
Adobe Flash Player ActionScript 3 ByteArray釋放後重用遠端漏洞 |
Adobe Flash Player <= 18.0.0.194 |
藍白蟻 |
| CVE-2015-8651 |
Adobe Flash Player整數溢位漏洞 |
Adobe Flash Player < 18.0.0.324 |
暗黑客棧 |
| CVE-2016-0984 |
Adobe Flash遠端程式碼執行漏洞 |
Adobe Flash Player before 18.0.0.329 and 19.x and 20.x before 20.0.0.306 |
BlackOasis |
| CVE-2016-4117 |
Adobe Flash Player 任意程式碼執行漏洞 |
Adobe Flash Player <= 21.0.0.226 |
奇幻熊 |
| CVE-2016-7855 |
Adobe Flash Player 釋放後重利用遠端程式碼執行漏洞 |
Adobe Flash Player <= 23.0.0.185 |
|
| CVE-2017-11292 |
型別混淆漏洞導致的遠端程式碼執行 |
Adobe Flash Player Desktop Runtime |
黑色綠洲 |
| CVE-2018-4878 |
Adobe Flash Player釋放後重利用遠端程式碼執行漏洞 |
Adobe Flash Player <= 28.0.0.137 |
Lazarus |
============================================================================
以上是一些APT用爛了的漏洞資料,接下來看看最常見的攻擊方式:(來源於百度百科)
1、 魚叉式釣魚攻擊
由於魚叉式網路釣魚鎖定之物件並非一般個人,而是特定公司、組織之成員,故受竊之資訊已非一般網路釣魚所竊取之個人資料,而是其他高度敏感性資料,如智慧財產權及商業機密。
一次簡單的點選相當於為攻擊者開啟了一扇電子門,這樣他就可以接觸到你的內部了,因為你已經同意他進入!
2、 水坑攻擊
水坑攻擊是一種計算機入侵手法,其針對的目標多為特定的團體,攻擊者首先通過猜測或觀察確定這組目標經常訪問的網站,併入侵其中一個或多個,植入惡意軟體,最後,達到感染該組目標中部分成員的目的。
由於此種攻擊藉助了目標團體所信任的網站,攻擊成功率很高,即便是那些對魚叉攻擊或其他形式的釣魚攻擊具有防護能力的團體。
3、 社會工程學
社會工程學是一種通過人際交流的方式獲得資訊的非技術滲透手段。不幸的是,這種手段非常有效,而且應用效率極高。
然而事實上,社會工程學已是企業安全最大的威脅之一
我們來看看毒雲藤(APT-C-01)組織的魚叉式釣魚攻擊文件的頁面
(攜帶漏洞文件介面,圖片來源於freebuf)
(攜帶二進位制程式的文件圖片來源於freebuf)
從上面文件內容簡要來看,apt組織在事前已經對xx部門做了許多資訊收集的跡象,偽造的文件如果不是內部成員很難看出端倪。
回放一下攻擊流程:
在確定目標公司後,APT組織會開始收集目標的一切資訊,如:公司使用者的電子郵箱,手機號碼,通訊軟體號碼、姓名、你的工作崗位。接著APT組織會對目標開始構造釣魚文件並準備投放,當內部工作人員開啟惡意文件了之後,電腦會觸發相關的漏洞為apt成員打開了一道通往內部網路的大門,這時候他們會開始尋找存放著資訊的伺服器並開始攻擊伺服器拿到自己想要的東西后,在植入木馬進行許可權維持。
0x4:場景回放
釣魚是APT組織最常用的攻擊方式,但以上資料僅表面我們只是知道了APT組織的一些攻擊,並沒有掌握全部資料,APT攻擊隱祕,有組織,能力強。“影子經紀人”洩露的NSA武器庫“EternalBlue”就是來源自APT組織“方程組”,可見APT組織的破壞力有多大。
在詢問了幾個大表哥後得知,現如今通過釣魚郵件進行攻擊方式在網際網路上佔了將近一半,在當前能找到的apt攻擊防禦資料中,至少有一半的攻擊都是通過釣魚郵件進行的,而於傳統黑客行動不同的是,apt組織會用一切手段去攻擊目標,對於他們來說,並不在乎人力、物力和財力,他們只在乎成功率。
我們來模擬一個簡單的APT攻擊:
環境搭建:
Windows7虛擬機器 *1
Ubuntu
Windows2008 *1
我將採用幾個知名漏洞來為大家演示:“震網3代”、“永恆之藍”以及“釣魚郵件”
這些簡單便捷的0day可以為APT組織省下不少力氣去花時間去破解目標系統。
實驗本來是想用office漏洞+flash或者是pdf,考慮到自身硬體配置和實驗時間,就粗略的講下思路來和大家分享一下,這次選用的兩個漏洞均可在msf框架裡面找到對應的模組去測試。
模組編號分別為:
Cve-2017-8464
Ms17_010
生成cve-2017-8464的exp,震網三代的利用是快捷方式,把惡意快捷方式藏在u盤裡面,當電腦設定自動播放,或者訪問u盤時可觸發漏洞
生成的惡意檔案後,我們在目標機上面執行惡意payload,使用
exploit/multi/handler模組
進行監聽
把這臺“鑰匙”新增到路由表裡面
這樣子我們的流量就會經過這臺機子轉發,接著我們使用永恆之藍攻擊伺服器
攻擊成功後我們獲取了一個meterpreter會話
再來看看釣魚郵件
首先我利用了cve-2017-8759
生成了惡意rtf文件(windows寫字板可以開啟或者office而且通殺office)
然後生成了一個惡意exe
把惡意rtf文件發了過去,在在目標機接收該郵件
(在這個過程中我發現郵箱附件安全檢測並沒有檢測出惡意文件)
開啟監聽等待目標機反回的會話
成功獲得了一個meterpreter會話!
至此一次簡單粗暴的攻擊演示到此結束!
0x5:結語
APT組織的攻擊難以捉摸,以現在掌握到的情報可能還只是冰山一角,本次演示所使用的永恆之藍這個漏洞在很久之前就已經有了,只是在這兩年被洩露出來,由此可見APT組織的恐怖之處!