APT攻击常用方法与技巧
最新回答
我是一只小鸭子
2022-03-09 13:31:33
APT攻击常用方法与技巧
APT(Advanced Persistent Threat)是指高级持续性威胁,它利用先进的攻击手段对特定目标进行长期持续性网络攻击。APT攻击的高级性主要体现在其发动攻击前对攻击对象的业务流程和目标系统进行精确的收集,并主动挖掘被攻击对象受信系统和应用程序的漏洞,尤其是利用0day漏洞进行攻击。以下是APT攻击常用的方法与技巧:
一、侦查阶段0×00 资产收集- 目标信息收集:攻击者首先会收集目标在外网的详细信息,包括IP地址、域名、外网应用、APP以及各项对外服务等。这些信息可以通过多种手段获取,如扫描工具、搜索引擎等。
- 暴露资产攻击:在信息收集完成后,攻击者会对暴露在外网的资产进行攻击尝试,寻找可能的入侵点。
- 工具收集:使用如theHarvester、Infoga、EmailSniper等工具进行邮件信息收集。
- 邮箱测试收集:通过TOP500姓名+邮箱后缀的方式,结合邮箱有效性验证工具(如https://verify-email.org/)进行批量验证,以获取有效的邮箱地址。
- 元数据收集:利用FOCA等工具检查并扫描文件的元数据及隐藏信息,获取文件上传者的机器名、操作系统、软件安装路径和版本等信息。
- 探针信息收集:通过XSS探针等方式,将JS探针信息嵌入网站链接或钓鱼页面中,收集目标系统的详细信息,如内网使用的浏览器、FLASH版本、Java版本、杀毒软件、Office版本等。
- 钓鱼邮件:根据前期收集的目标信息,制作钓鱼邮件,诱导目标点击恶意链接或下载恶意附件。
- iframe URI钓鱼:利用iframe标签在邮件中嵌入恶意链接,实现钓鱼攻击。
- 伪造邮件:如果目标企业邮箱未设置SPF(Sender Policy Framework),攻击者可以伪造邮件发送带有木马的文档。如果设置了SPF,攻击者可能会申请与目标相似的域名,搭建邮件服务器,发送伪造邮件。
- 软件捆绑:将正常软件与木马捆绑在一起,提示用户更新升级,从而安装恶意软件。
- 直接发送木马文件:攻击者可能会直接发送自解压的木马文件给目标。
- 逆名欺骗:利用Unicode控制符进行逆名欺骗,制作显示为其他文件后缀(如.doc)的EXE文件,以迷惑目标用户。
- 命令提示运行:当使用命令提示(Cmd.exe)打开没有可执行文件扩展名的LINK文件时,该文件可能作为程序运行。攻击者可以利用这一特性制作恶意LINK文件。
- DDE漏洞:利用Office的动态数据交换(DDE)功能执行恶意命令。
- EXCEL宏:在EXCEL文件中嵌入恶意宏代码,当目标用户打开文件时执行恶意操作。
- CVE漏洞:利用如CVE-2017-8570等Office溢出类漏洞进行攻击。
- PDF嵌入木马:在PDF文件中嵌入恶意代码,当目标用户使用Adobe Reader打开文件时执行恶意操作。
- 网马攻击:利用IE、Flash、Java等浏览器插件或组件的漏洞,在目标用户访问恶意网站时执行恶意代码。
- 水坑攻击:攻击者预先知道目标用户会访问的某个网站,并在该网站上植入恶意代码,当目标用户访问时感染恶意软件。
在APT攻击中,攻击者花费的大部分时间都在前期的信息收集工作上,而真正在后期的命令控制以及横向移动占用的时间相对较少。因此,对于防御者来说,加强前期的安全防护和监测工作,及时发现并阻断APT攻击的早期行为,是防范APT攻击的关键。
热门标签
