APT攻击盘点及实战(上)

引言

我相信很多人在发文章的时候，都写了关于APT攻击相关的文章！在这里我也发一篇该文章！哈！但是我比较喜欢实战，不太喜欢理论上的东西。相信大家也跟我一样喜欢实战，恰巧在读研的时候研究方向是APT攻击的检测和防御。在本文中会以模拟2011年10月末的Nitro攻击（APT攻击之一）做一次实战模拟。

0x01 APT攻击

APT攻击（英文：Advanced Persistent Threat），中文叫做“高级持续性攻击”。是一种点对点的，有明确目标，有明确意图发起的一次带有恶意行为的网络攻击行为！攻击者经常利用社会工程学，远程控制木马伪装，鱼叉式钓鱼攻击等手段，对目标企业发起攻击。运用的技术都是信息安全界的高端手段对目标企业发起的攻击。

0x02 APT攻击特性

APT攻击既然被成为高级持续性攻击，说明它是很高级的，也是持续性的。

其特性主要为：潜伏性，持续性长，难以被发现，长时间远控，不易被查杀。

特性分析：由于攻击者利用0day漏洞，对企业发起攻击，所以又被成为“零式攻击”，0day很难被发现，而且远控木马被做了免杀处理，所以杀毒软件很难对其进行查杀，这样攻击者就可以长时间对企业进行远控操作，窃取企业信息。

0x03 零式攻击“0day”

0day，是一个目前没有发现的一个新的漏洞，由于该漏洞，厂商还没有发现也没有写出补丁修复，所以被称为“零式漏洞”，利用此漏洞进行攻击行为的又被称为“零式攻击”。由于是一个新漏洞，厂商如果长时间没有发现就无法出新的补丁去修复漏洞。利用此漏洞并对远控木马做了“免杀”（免杀这个技术会在实战中讲解）。杀毒软件也不易查杀，这就是所谓的“APT攻击原理”。

0x04 APT攻击案例

我知道很多网站有介绍APT攻击的案例，在这里我再总结一次。总结之后，我们直接进入模拟实战。

0x04.1 Google Aurora极光攻击

该攻击为2010年最著名的APT攻击，没有之一。是由一个有组织的网络犯罪团伙精心策划的一个有针对性的网络攻击，攻击团队向Google发送了一条带有恶意连接的消息，当该员工点击了这条恶意连接，员工的电脑就被远程控制长达数月之久。其被窃取的资料数不胜数，造成的损失也是不可估量的。

攻击原理如下：

上图解释：

• 1）攻击者首先要对Google的员工进行信息收集，收集的信息包括员工人名，职位，年龄，以及公司的运营业务和需求
• 2）攻击者建立C&C Server（Command and Control Server），并向目标员工发送一条带有恶意连接的消息
• 3）当Google员工点击该恶意连接时，表示该电脑就会自动从攻击者的C&C Server发送一个指令，并下载远控木马到终端上
• 4）攻击者就可以正常的连接Google上的终端，也就俗称“肉鸡”。再利用内网渗透，暴力破解等方式获取服务器的管理员权限。
• 5）再在该服务器上安装一个backdoor（后门程序）保持长时间进行访问。

0x04.2 震网攻击

该攻击为2010年伊朗布什尔核电站遭到一个名为Stuxnet蠕虫病毒的感染，被称为超级工厂病毒攻击

震网攻击：该攻击是一个很奇妙的攻击方式。奇妙点在于，该核电站的计算机与外界是呈现一种隔离状态。既然是隔离状态，又如何被黑客团队盯上并且被攻击的呢？这是一个很奇妙的地方。首先我们先来看个图。

攻击方式：

• 1）首先，上面讲了，核电站与外界是隔离的，攻击者也无法通过公共网络对该核电站进行攻击的。
• 2）于是，攻击者利用了核电站的一个人的家庭电脑作为跳板，首先对家庭电脑进行攻击，然后获取该目标电脑的权限
• 3）然后将该电脑的移动设备进行攻击。并嵌入了自己的蠕虫病毒。
• 4）当该核电站拿着已经被嵌入蠕虫病毒的USB插入到核电站的电脑上时，Stuxnet蠕虫病毒便开始了传播。
• 5）这是一个很奇妙的APT攻击案例。

Stuxnet蠕虫病毒是如何发现的呢？

Stuxnet蠕虫病毒是一种windows平台上的计算机蠕虫。据恶意软件研究者Tillmann和Felix Leder介绍称，该病毒延缓了伊朗核项目长达2年，最终因一段代码的原因而被暴露了。由于一个编程错误导致它可以蔓延一些低版本的windows系统的电脑中，从而系统崩溃，引起了伊朗Natanz核试验室的发现。

0x04.3 夜龙攻击

夜龙攻击：McAfee在2011年2月发现一个针对全球能源公司的攻击行为。发表的报告称，5家西方跨国能源公司遭到来自中国“黑客的有组织，有纪律切有针对性的攻击。超过千兆的字节的敏感文件被窃取，McAfee的报告称这次行动代号为”夜龙行动（Night Dragon）“最早开始于2007年

夜龙攻击的攻击流程

攻击流程：

• 1）找到网站的注入点，利用SQL注入的方式，从外网入侵Web服务器
• 2）在此以Web服务器为跳板，对内网以及其他服务器及终端电脑进行扫描
• 3）通过密码暴力破解等方式入侵内网AD服务器及开发人员电脑
• 4）向被入侵电脑植入恶意代码，并安装远端控制工具
• 5）金庸被入侵电脑的IE代理设置，建立直连通道，传回大量机密文件
• 6）更多内网电脑遭到入侵，多半为高阶主管点击了看似正常的邮件附件导致中毒

0x04.4 RSA SecurID窃取攻击

SecurID窃取攻击：发生于2011年3月，EMC公司下属的RSA公司遭到入侵，部分的技术内容及客户资料被窃取。

攻击流程：

• 1）攻击者给RSA的母公司EMC的4名员工发送了2组恶意邮件，邮件附件为”2011 Recruitment Plan.xls“的文件。xls能绑病毒？@.@。（模拟攻击的时候，会提到相关技术）
• 2) 其中以为员工将其从垃圾邮件中取出来阅读，被当时的Adobe Flash的0day漏洞（CVE-2011-0609)命中
• 3） 该员工电脑被植入木马，开始从僵尸网络（BotNet）的C&C服务器下载指令执行
• 4） 首批受害的使用者并非高地位的人，紧接着IT与非IT服务器管理员相继被黑。
• 5） RSA发现开发用服务器遭入侵，攻击者立即撤回并将所有资料加密以FTP的方式传送回远程主机，完成入侵

0x04.5 暗鼠攻击

暗鼠攻击：发生于2011年8月份，McAfee和Symantec发现并报告该攻击，该攻击时常N年之久，并攻击了70多家公司和组织，被称为“暗鼠行动”。

攻击方式：

• 1）通过社会工程学的方法收集被攻击目标的信息
• 2）想目标公司的特定人发送极具诱惑性的，带有附件的恶意邮件（例如参加行业会议，以及项目预算等等）
• 3）当受害人打开附件时，触发CVE-2009-3129漏洞利用程序植入木马，该漏洞并非0day，只针对某些版本的excel
• 4）木马从远程服务器下载恶意代码，切这些恶意代码被精心伪装，例如图片或html文件
• 5）借助恶意代码，拿到shell，受害人与电脑与远程电脑建立连接，并且控制

0x04.6 Lurid攻击

Lurid攻击：发生于2011年9月22日，TrendMicro的研究人员公布了一起针对印度，越南及中国发起的APT攻击

©️ 不贴图了，怕后面字数超过了发不出去哈！

攻击方式：

• 攻击者利用CVE-2009-4324和CVE-2010-2883这2个一直的Adobe Reader漏洞，被压缩RAR文件的恶意代码的屏幕保护程序
• 用户一旦阅读了恶意PDF文件或者打开了恶意屏幕保护程序，就回被植入木马，将收集到的信息上传至C&C服务器。

0x04.7 Nitro攻击

Nitro攻击，该攻击是利用鱼叉式钓鱼攻击，将带有恶意伪装木马的病毒嵌入到Microsoft Office Word 2010中，并以诱惑邮件的方式发给用户，当该用户点击word 2010的时候，就会中这个伪装病毒，该病毒名为：poison Ivy（毒藤）。这也是本章要模拟的攻击。该攻击持续长达7年之久。

0x05 盘点最近几年的APT攻击事件

第一：韩国平昌冬奥会APT攻击事件

攻击组织：Hades

相关攻击武器：Olympic Destroyer

攻击方式：鱼叉式钓鱼式攻击

攻击流程：

• 同样利用与钓鱼式邮件，向目标（冬奥会举办方）投递了一封带有恶意病毒的邮件
• 利用Powershell图片隐写技术，并使用Invoke-PSImage工具实现
• 利用失陷网站用于攻击载荷和数据回传
• 伪装成NCTC（韩国国家反恐中心）的含有恶意病毒的恶意邮件，并注册了伪装成韩国农业和林业部的域名混其过关。

该事件有McAfee在伊始公开披露APT攻击事件，该事件导致网络终端，事后卡巴斯基将该背后的攻击组织名为Hades。

第二：V**Filter：针对乌克兰IOT设备的恶意代码攻击事件

攻击组织：APT28

相关攻击武器：V**Filter

攻击方式：利用IOT设备漏洞远程获得初始控制权

所利用的漏洞：IoT漏洞

攻击流程：

• 使用多阶段的载荷植入，不同阶段载荷功能模块实现不同
• 使用针对多种幸好IOT设备的公开利用技术和默认访问凭据
• 实现包括，数据包嗅探，窃取网站登陆凭据，以及监控Modbus SCADA工控协议
• 针对多种CPU架构编译和执行
• 使用Tor（洋葱浏览器）或SSL加密协议进行C2通信

V**Filter事件是2018年最为严重的针对IoT设备的攻击事件之一，并实施改时间的攻击者意思具有国家背景的攻击团队，美国司法后续也声称该是事件与APT29组织有关，乌克兰特勤局也后续公开披露其发现V**Filter队其国内的氯气蒸馏站发起过攻击。实现了多模块化的攻击。

第三：蓝宝菇APT组织针对中国的一系列定向攻击事件

攻击组织：BlueMushroom（蓝宝菇）

相关攻击武器：Powershell后门程序

攻击方式：鱼叉式钓鱼攻击和水坑攻击

攻击流程：

• 鱼叉邮件投递内嵌Powershell脚本的LNK文件，并利用邮件服务器的云附件方式进行投递
• 当受害者被诱导点击恶意LNK文件后，会执行LNK文件所指向的Powershell命令，进而提取出LNK文件中的其他诱导文件，持久化后和powershell后门脚本。
• 从网络上接受新的Powershell后门代码执行，从而躲避了一些杀软的查杀。

第四：海莲花APT组织针对我国和东南亚地区的定向攻击事件

攻击组织：OceanLotus（海莲花）

相关攻击武器：Denis家族木马。Cobalt Strike（后渗透工具与MSF齐名），CACTUSTORCH框架木马

相关漏洞：office漏洞，MikroTik路由器漏洞，永恒之蓝

攻击方式：鱼叉式攻击和水坑攻击

攻击流程：

• 鱼叉式邮件投递内嵌恶意宏的word文件，HTA文件，快捷方式文件，SFX自解压文件，捆绑后的文档图
• 入侵后，通过内网渗透攻击CS（Cobalt Strike）扫描并渗透内网并横向移动，入侵服务器，植入Denis家族木马
• 并获得域控或者重要的服务器权限，通过重要机器来设置水坑，利用第三方工具渗透
• 并对杀软进行逃避检测技术（免杀）

第五：蔓灵花APT组织针对中国、巴基斯坦的一系列定向攻击事件

攻击组织：BITTER（蔓灵花）

相关攻击武器：该组织的后门程序

相关漏洞：CVE-2017-12824，微软公式编辑器漏洞

攻击方式：鱼叉邮件攻击

攻击流程：

• 鱼叉邮件投递内嵌Inpage漏洞利用文档，微软公式编辑器漏洞利用文档，伪造成文档/图片的可执行文件
• 触发漏洞后释放/下载执行恶意木马，与C2保持通信，并更具C2返回的命令下载指定的插件执行
• 下载执行多种远控插件进行远程控制

第六：APT38针对全球范围金融机构的攻击事件

攻击组织：APT38

相关攻击武器：自制恶意程序

相关漏洞：多种漏洞

攻击方式：鱼叉和水坑攻击

攻击流程：

• 利用社交网站，搜索多种方式对目标进行网络侦查，信息收集
• 使用鱼叉攻击或水坑攻击对目标人员实施攻击并获得初始控制权
• 在目标网络横向移动，最终以获得SWIFT系统终端为目的
• 伪造或修改交易数据窃取资金
• 通过格式化硬盘或者篡改日志的方式清除痕迹

第七：疑似DarkHotel APT组织利用多个IE 0day“双杀”漏洞的定向攻击事件

攻击组织：DarkHotel

相关攻击武器：劫持操作系统DLL文件的插件式木马后门

相关漏洞：CVE-2018-8174，CVE-2018-8373

攻击方式：鱼叉邮件攻击

攻击流程：

• 鱼叉邮件投递包含IE 0day双杀漏洞的word文档
• 漏洞利用成功后释放恶意Powershell下载下一阶段的Powershell脚本
• 下载后的脚本进行Bypass UAC，并通过劫持系统DLL文件下载核心木马模块
• 再与C2地址通信下载并执行更多的木马

第八：疑似APT33使用Shamoon V3针对中东地区能源企业的定向攻击事件

攻击组织：APT33

相关攻击武器：shamoon V3

攻击方式：鱼叉邮件攻击

攻击流程：

• 使用随机声称的数据覆盖系统上的MBR，分区和文件
• 恶意文件的文件描述模仿合法的产品名称

第九：Slingshot：一个复杂的网络间谍活动

攻击组织，IS（伊斯兰国）和基地组织成员

相关漏洞：CVE-2007-5633，CVE-2010-1592，CVE-2009-0824

攻击方式：通过windows漏洞或已感染的Mikrotik路由器进行攻击

攻击流程：

• 初始Loader程序将合法的windows库，‘scesrv.dll‘替换为具有完全相同大小的恶意文件
• 包括内核层的加载器和网络嗅探模块，自定义的文件系统模块
• 可通过windows漏洞利用或已感染的路由器获得受害者目标的初始控制权

end

0x06 盘点各大APT组织

APT28组织

APT28组织（奇幻熊Fancy Bear），奇幻熊这个名字大家可能很陌生，但是提到APT28组织，大家可能都会认识。该组织成立于2007年，是由俄罗斯境内的黑客组成的一只队伍，攻击对象多为政府，军队及安全机构，是APT攻击的典型代表。

BlueMushroom组织

蓝宝菇组织，具备地缘政治背景，自2011年开始活跃，长期针对中国政府，教育，海洋，贸易，军工，科研和金融等重点单位和部门开展持续的网络间谍活动。

OceanLotus组织

海莲花组织，高度组织化的，专业化的境外国家级黑客组织，自2012年4月起针对中国政府的海军机构，海域建设部门，科研院所和航运企业，展开了静谧组织的网络攻击。并且是由国外政府支持的APT行动。

BITTER组织

蔓莲花组织，是一个长期针对于中国，巴基斯坦等国家进行攻击活动的APT组织，该APT组织为目前货源的针对境内目标进行攻击的境外APT组织之一，该组织主要针对政府，军工业，电力，核等单位进行攻击，窃取敏感信息，具有强烈的政治背景。

APT38组织

APT38组织，Fireeye公布了朝鲜APT组织38的详细信息，他们认为该组织代表朝鲜政权实施金融犯罪，从全球银行窃取美元。2014年来，APT38已入侵盗取至少11个国家，超过16个金融机构的机密资料

DarkHotel组织

DarkHotel组织（APT-C-06）是一个长期针对于企业高管，国防工业，电子工业等重要机构实施网络间谍攻击活动的APT组织。2014年11月，卡巴斯基实验室的安全专家首次发现了Darkhotel APT组织，该组织咪表基本锁定在韩国，中国，俄罗斯和日本等国家。

APT33组织

EIfin间谍组织（又称APT33），在过去三年中一直高度活跃，攻击沙特阿拉伯，美国和其他一些国家的机构。

哇塞！这么多APT攻击，是不是看到有点不耐烦了？我们直接进入正题，实战模拟0x04.7的Nitro攻击

我们开始进入实战准备，当然我们不能拿一个真实的企业来对其进行攻击。第一难度有点高，第二入侵了也是违法行为。我们还是利用2台电脑的方式完成这个模拟攻击的效果，让大家看看这个攻击的是如何发生的，攻击者又是如何进行不被发现的情况下攻击的。

本章包括：木马伪装，木马免杀技术，邮件伪装技术，键盘记录器，后门以及远程控制技术。

后续内容接下来更新

本文来自：安全师作者-零鼠