APT:高级、持续,具有威胁性的攻击
基本概念
- 高级的:攻击者精通网络入侵方法和管理技术,开发定制漏洞探索和工具
- 持续的:按照长远目标进行攻击
- 威胁的:组织性攻击
拥有低调的攻击、渗透、侦查、横向运动、管理系统、数据窃取技术
鱼叉式钓鱼攻击是APT访问目标系统的流行攻击
APT由多个步骤组成:
确定目标
:攻击者从公共或私人来源收集有关目标系统的信息和测试方法,以图获取访问权限
- 漏洞扫描
- 社工
- 鱼叉式网络钓鱼
访问/缺陷
:攻击者访问权限,并确定探索目标系统信息和安全状况的漏洞的最有效方法。(安装流氓软件或其他恶意软件隐藏真实意图)
- 被攻陷机器的标识数据(IP、DNS、NetBIOS共享、DNS/DHCP服务器地址、O/S等)
- 可能被用于辅助攻陷系统的授权身份证书或概要信息
侦查:攻击查点网络共享,发现网络结构、命名服务、域控制器,并攻击服务和管理权限来访问其他系统和应用程序。(尝试攻击活动目录或具有共享域特权的本地管理员账户。关闭AV和系统日志来掩盖活动)
横向运动:一旦确定利用身份证书穿越系统的方法,就展开横向运动穿越网络到其他主机。该步骤一般不涉及恶意软件,只使用由被攻陷的主机OS所提供的工具(如PowerShell、Shell、NetBIOS命令、VNC)
数据收集和窃取:为了单纯获得信息数据,或得到信息数据为后续目标,保持访问。常建立采集点并通过代理网路传输数据,或采用定制的加密技术(和恶意软件)混淆数据文件和相关的“外泄”通信。大多情况,攻击者会利用被攻陷目标的网络和系统管理员使用的备份软件或其他工具备份。数据的窃取量根据目的或者攻击危险程度而决定。
管理和维护:维持长时间访问,这就需要对工具(恶意程序/可能有用的程序)和证书进行管理和维护。需要建立多种远程访问被攻陷主机的方法,建立标记或触发器来报告目标对象架构的改变,从而可以执行维护行动(可以使用恶意软件攻击转移目标注意力,但尽量不使用)。尽量将远程访问改良到符合正常、标准用户,而不是依赖现有的工具或恶意软件
注意:
- 访问方法可能会遗留电子邮件、网页服务器、通信记录、或元数据及其他与所使用的漏洞工具有关的痕迹
- 侦查和横向活动会留下与误用访问登录证书或身份信息的痕迹,这些记录一般记录在安全事件日志和用户配置文件中,链接、预取文件以及用户配置文件都能留下痕迹
- 窃取数据传输会留下很多痕迹,包括防火墙日志中的通信协议和地址、(主机和网络)入侵检测系统日志、数据泄露 和预防系统日志、应用程序历史日志、网页服务器日志
攻击概述
- 收集信息,分析行程大致的网络拓扑
- 根据网路拓扑雏形,选择攻击手段
- 进行IP段分析,定论目标WEB服务是否处于托管中(云主机等)还是处于DMZ边缘,根据分析进行主动攻击、被动攻击、主被动结合攻击
- 选择最佳方案进行攻击
- 主动攻击为横向攻击,从WEB服务->DMZ->内网进行攻击,绕过所有的IDS、IPS、WAF、APT防御等,得到目标;
- 被动攻击为纵向攻击,利用水坑、钓鱼、漏洞攻击、非漏洞攻击等手段,直接从外网(DMZ和托管)攻击到内网获得所需目标。(无漏洞攻击,可参考流氓下载站的弹窗、点击劫持、广告等)
- 主被动攻击结合。如,托管入手 => 搞定WEB(分析日志、行为活动)=> 以此为跳板(锚点)=> 被动攻击 =>水坑、钓鱼等(限制白名单,防止被发现)=> 内网
- DMZ和托管无法入手,分析目标相关人员的群体特性、社交、日常行为活动和偏好,通过社工等手段进行侧面攻击
- 获取目标,稳控权限,消除痕迹
- 撰写报告及汇报
案例
极光行动
攻击过程:
攻击关键:
夜龙行动
攻击过程:
攻击关键:
RSA SecurID窃取攻击
攻击过程:
超级工厂病毒
攻击过程:
超级工厂病毒攻击示意图:
暗鼠行动
攻击过程:
Aurora行动
模式
分析得出,APT攻击手段大多遵循以下模式:
- 鱼叉式钓鱼邮件传输到目标组织
- 用户打开邮件,点击链接,打开网页浏览器或者其他应用程序,链接定向到隐藏的网址
- 隐藏网址指向“注入网站”,它分析浏览器代理类型以查找已知的漏洞,并返回一个Trojan下载器。下载器自动保存在目标机,自动运行
- 一旦执行下载器,下载器传递到注入站点,下载Trojan注入程序,Trojan注入程序用于安装特洛伊木马后门,该后门采用两种方法之一进入目标OS:
- 打包到注入程序,删除自身,之后Trojan后门开始编码成二进制传递到C&C服务器
- 根据注入程序和注入站点通信的系统配置详细信息,从注入站点获取Trojan后门。然后注入程序,删除自身,Trojan后门开始编码成二进制传递到C&C服务器。
- Trojan常在
C:\Windows\System32目录中安装木马后门,并把DLL或EXE注册到注册表的HKLM\SYSTEM\<Controlset>\Services部分,通常用svchost.exe netsvcs -k作为启用服务的键值 - Trojan后门通常使用一个与Windows文件名相似。但是细微差别的文件名
- Trojan后门将SSL加密用于与C&C服务器的通信,而C&C服务器要通过
cutout或代理服务器实现通信的路由——这些代理服务器根据通信报头的密码来实现通信数据的路由。通常传输中会使用多个代理,以掩盖到C&C服务器的真实路径。周期性地发起通信信标。 - 通过代理网络与木马后门进行通信,偶尔也直接通过C&C服务器。即便使用不标准的端口,通信一般也使用SSL加密
- 从被攻陷的计算机名和账户名分析,对命名进行规范,然后使用传递Hash工具或安全导出工具(HOOKMSGINA或GSECDUMP)来获取局部和活动目录的账户信息
- 使用服务器权限提升来进行最初的侦查,之后进行网络中的横向行动。
- 离线破解口令,再使用证书通过Trojan后门对被攻陷网路进行侦查,包括:网络扫描、共享文件卷和使用DOS工具查点各种服务。这些工作是为了横向攻击做准备。。
- 一旦搞定横向系统访问,就转而采用Windows管理工具,如MSTSC、SC、NET命令等。若横向访问被阻碍,就使用NAT代理工具,进行端口转发
- 在完成网络横向行动和侦查活动之后,攻击者进入第二阶段,安装补充的后门Trojan,并把代理工具转向以实现更多直接访问并建立外出点
- 出口点被用于手机和窃取目标的专属信息,通常加密压缩到ZIP或RAR包中,并伪装成其他文件(如GIF)
(注)容易留下痕迹的互动: 具有伪Windows文件名的后门Trojan GSECDUMP或HOOKMSGINA**PSEXEC和其他Sysinternals** HTRAN,或ReDUH或ASPXSpy(在DMZ或WEB服务上) 攻击相关命令的LNK和PF文件 网络移动时创建或修改的RDP和MMC文件 各种日志文件,包括使用了ReDUH/ASPXSpy时的HTTP和错误日志,以及表明有横向攻击的Windows安全事件日志等
案例参考:黄鑫huangxin@unno.com的APT案例分享