apt APT攻击常用方法与技巧

*作者:Garfiled，本文属于FreeBuf原创奖励计划，未经许可禁止转载。

APT(高级持续威胁)是指高级持续威胁。APT攻击的原理相对于其他攻击形式更为先进和先进，主要体现在APT需要在发起攻击前准确收集目标的业务流程和目标系统。在此收集过程中，此攻击将主动探索被攻击对象的可信系统和应用程序的漏洞，并利用0天漏洞进行攻击。

APT攻击流程图

1.调查阶段0×00资产回收

1.攻击者在外部网络上收集目标的详细信息，包括但不限于目标IP地址、域名、外部网络应用、APP和各种外部服务。收集信息的方法和思路如下

攻击者收集信息后，会攻击暴露在外部网络中的资产。

0×01邮件信息收集

1.工具集合

服务器

Infoga

email狙击手

2.邮箱测试集合

TOP500名字+邮件后缀

邮箱有效性验证

https://verify-email.org/

准确率高，每个IP每天最多5块，提供API接口批量验证。

http://tool.chacuo.net/mailverify

频繁访问会触发身份验证限制。

http://www.all-nettools.com/toolbox/email-dossier.php

不限，可以使用Burp批量验证来测试邮箱是否存在，有些邮件可能验证不准确。

0×02目标内网信息采集

1.元数据收集，企业在网络上发布的文档信息

可以获取文件上传器的机器名称、安装路径、操作系统及相关软件的版本等信息。FOCA主要是一个信息收集工具，用于检查和扫描文件的元数据和隐藏信息。这些文件可以放在网页上，FOCA可以下载并分析它们。

2.探测信息收集

最常见的是XSS探针

将JS探测信息嵌入网站链接或钓鱼页面，收集目标系统的详细信息。

其中，攻击者对内部网信息感兴趣:

1)针对IE浏览器漏洞进行内网使用的浏览器信息、挂马攻击和水坑攻击。

2)内网FLASH版本信息，主要针对挂马攻击和用网马发送链接攻击。

3)内网使用的Java版本信息用于赛博马攻击。

4)内网使用的杀毒软件信息可以专门杀死木马。

5)根据内网使用的office版本信息，针对具体的Office版本制作相应的攻击样本。

6)内网使用的Adobe Reader版本信息主要用于在PDF中嵌入木马进行攻击。

7)内网安装的常见软件信息，以及结合相应软件漏洞的相应漏洞攻击。

8)内网IP地址信息和内网外网出口。

二、武器投递 0×00 发送邮件

1.发送邮件

根据前期收集的目标信息向目标发送邮件。

1)钓鱼邮件

2) iframe URI渔业公司

http://www.freebuf.com/articles/web/9181.html

3)目标企业邮箱中是否设置了SPF，如果没有，则伪造邮件发送带有木马的文档并在线伪造

4)使用Swaks

http://www.freebuf.com/sectool/92397.html

5)如果企业邮箱设置了SPF，申请类似目标的域名，搭建邮件服务器，发假邮件。

0×01恶意软件下载

普通软件捆绑木马，提示用户更新升级恶意软件。

第三，开发0×00自解压

直接发送木马文件

1.http://www.freebuf.com/articles/others-articles/19731.html

如果目标机器设置为显示后缀文件，可以直接看到文件是EXE文件。

2.使用unicode控制器来欺骗反向名称

制作一个自解压文件，然后重命名，插入Unicode控制字符RLO(这里，之前只加cod。，以便制作一个显示doc后缀的EXE。

0×01 LINK后缀木马

当使用命令提示符(Cmd.exe或窗口命令处理器)打开没有可执行文件扩展名的文件时，该文件可能作为程序运行，而不是在为该文件类型注册的程序中打开(根据文件扩展名)。

使用0×01办公功能

1.DDE漏洞

http://www.freebuf.com/articles/terminal/150285.html

{ DDAUTO c: windows system32 cmd . exe "/k notepad . exe " }

2.Excel宏

利用0×02 office漏洞

办公室溢出漏洞，如CVE-2017-8570

0×03 Adobe Reader利用0×04 IE，Flash，Java等网马利用，水坑攻击

在一次完整的ATP攻击中，攻击者将大部分时间花在前期的信息收集上，相关的指挥控制和横向移动实际占用的时间相对较少。后面我们会在下一阶段继续介绍攻击者使用的方法和技巧。

*作者:Garfiled，本文属于FreeBuf原创奖励计划，未经许可禁止转载。