APT攻击流程图
一、侦查阶段
0×00 资产收集
攻击者对信息收集完成后,然后对暴露在外网的资产进行攻击。
0×01邮件信息搜集
1.工具收集
theHarvester
Infoga
EmailSniper
2.邮箱测试收集
TOP500姓名+邮箱后缀
邮箱有效性验证
https://verify-email.org/
准确性高,每个IP一天最多5条,提供API接口进行批量化验证。
http://tool.chacuo.net/mailverify
访问频繁会触发验证限制。
http://www.all-nettools.com/toolbox/email-dossier.php
无限制,可使用Burp批量验证测试邮箱是否存在,一些邮件可能验证不准确。
0×02目标内网信息收集
1.元数据收集,企业发布到网络上的文档信息
可以获取文件上传者的机器名,操作系统及相关软件安装路径和版本等信息。FOCA主要是个检查和扫描文件的元数据及隐藏信息的信息收集工具。这些文件可以是在网页上的,FOCA 能下载并分析它们。
2.探针信息收集
最常见的是XSS探针
将JS探针信息嵌入网站链接中,或者钓鱼页面中,收集目标系统的详细信息。
其中攻击者对内网信息比较感兴趣的点为:
1) 内网使用的浏览器信息,针对IE浏览器漏洞进行挂马攻击,水坑攻击。
2) 内网FLASH版本信息,主要进行挂马攻击,发送带有网马的链接攻击。
3) 内网使用的Java版本信息,进行网马攻击。
4) 内网使用的杀毒软件信息,对木马针对性的进行免杀。
5) 内网使用的Office版本信息,针对特定的office版本,制作相应的攻击样本。
6) 内网使用的Adobe Reader版本信息,主要用来在PDF中嵌入木马进行攻击。
7) 内网安装的常用软件信息,结合相应的软件漏洞进行相应漏洞攻击。
8) 内网IP地址信息以及内网的外网出口。
二、武器投递
0×00 发送邮件
1. 发送邮件
根据前期收集的目标信息,对目标发送邮件。
1)钓鱼邮件
2) iframe URI钓鱼
http://www.freebuf.com/articles/web/9181.html
3)目标企业邮箱是否设置SPF,如果未设置的话,伪造邮件发送带有木马的文档,在线伪造
4)使用Swaks
http://www.freebuf.com/sectool/92397.html
5)如果企业邮箱设置SPF,申请与目标相似的域名,搭建邮件服务器,发送伪造邮件。
0×01 恶意软件下载
正常软件与木马捆绑,提示用户更新升级恶意软件。
三、漏洞利用
0×00 自解压
直接发送木马文件
1.http://www.freebuf.com/articles/others-articles/19731.html
如果目标机器设置显示后缀文件,能直接看到文件为EXE文件。
2. 利用unicode控制符进行逆名欺骗
制作一个自解压文件,然后重命名,插入Unicode 控制字符RLO(这里只需要在.前面加上cod即可,这样就制作出一个显示doc后缀的EXE。
0×01 LINK后缀木马
当使用命令提示(Cmd.exe 或 Windows 命令处理器)打开没有可执行文件扩展名的文件时,该文件可能作为程序运行,而不是在为该文件类型注册(根据文件扩展名)的程序中打开。
0×01 office特性利用
1. DDE漏洞
http://www.freebuf.com/articles/terminal/150285.html
{ DDEAUTO c:\\windows\\system32\\cmd.exe “/k notepad.exe” }
2.EXCEL宏
0×02 office漏洞利用
CVE-2017-8570等office溢出类漏洞
0×03 Adobe Reader漏洞利用
0×04 IE,Flash,Java等网马利用,水坑攻击
在一个完整的ATP攻击中,攻击者花费的大部分时间都在前期的信息收集工作上,真正在后面相关命令控制以及横向移动占用的时间是比较少的,后期我们将继续介绍下攻击者在下一阶段所用到的方法与技巧。