APT攻擊盤點及實戰(上)

  Routers配置     |      2023-03-25 16:01


APT攻擊盤點及實戰(上)



引言

我相信很多人在發文章的時候,都寫了關于APT攻擊相關的文章!在這里我也發一篇該文章!哈!但是我比較喜歡實戰,不太喜歡理論上的東西。相信大家也跟我一樣喜歡實戰,恰巧在讀研的時候研究方向是APT攻擊的檢測和防御。在本文中會以模擬2011年10月末的Nitro攻擊(APT攻擊之一)做一次實戰模擬。

0x01 APT攻擊

APT攻擊(英文:Advanced Persistent Threat),中文叫做“高級持續性攻擊”。是一種點對點的,有明確目標,有明確意圖發起的一次帶有惡意行為的網絡攻擊行為!攻擊者經常利用社會工程學,遠程控制木馬偽裝,魚叉式釣魚攻擊等手段,對目標企業發起攻擊。運用的技術都是信息安全界的高端手段對目標企業發起的攻擊。

0x02 APT攻擊特性

APT攻擊既然被成為高級持續性攻擊,說明它是很高級的,也是持續性的。

其特性主要為:潛伏性,持續性長,難以被發現,長時間遠控,不易被查殺。

特性分析:由于攻擊者利用0day漏洞,對企業發起攻擊,所以又被成為“零式攻擊”,0day很難被發現,而且遠控木馬被做了免殺處理,所以殺毒軟件很難對其進行查殺,這樣攻擊者就可以長時間對企業進行遠控操作,竊取企業信息。

0x03 零式攻擊“0day”

0day,是一個目前沒有發現的一個新的漏洞,由于該漏洞,廠商還沒有發現也沒有寫出補丁修復,所以被稱為“零式漏洞”,利用此漏洞進行攻擊行為的又被稱為“零式攻擊”。由于是一個新漏洞,廠商如果長時間沒有發現就無法出新的補丁去修復漏洞。利用此漏洞并對遠控木馬做了“免殺”(免殺這個技術會在實戰中講解)。殺毒軟件也不易查殺,這就是所謂的“APT攻擊原理”。

0x04 APT攻擊案例

我知道很多網站有介紹APT攻擊的案例,在這里我再總結一次??偨Y之后,我們直接進入模擬實戰。

0x04.1 Google Aurora極光攻擊

該攻擊為2010年最著名的APT攻擊,沒有之一。是由一個有組織的網絡犯罪團伙精心策劃的一個有針對性的網絡攻擊,攻擊團隊向Google發送了一條帶有惡意連接的消息,當該員工點擊了這條惡意連接,員工的電腦就被遠程控制長達數月之久。其被竊取的資料數不勝數,造成的損失也是不可估量的。

攻擊原理如下:

上圖解釋:

1)攻擊者首先要對Google的員工進行信息收集,收集的信息包括員工人名,職位,年齡,以及公司的運營業務和需求 2)攻擊者建立C&C Server(Command and Control Server),并向目標員工發送一條帶有惡意連接的消息 3)當Google員工點擊該惡意連接時,表示該電腦就會自動從攻擊者的C&C Server發送一個指令,并下載遠控木馬到終端上 4)攻擊者就可以正常的連接Google上的終端,也就俗稱“肉雞”。再利用內網滲透,暴力破解等方式獲取服務器的管理員權限。 5)再在該服務器上安裝一個backdoor(后門程序)保持長時間進行訪問。 0x04.2 震網攻擊

該攻擊為2010年伊朗布什爾核電站遭到一個名為Stuxnet蠕蟲病毒的感染,被稱為超級工廠病毒攻擊

震網攻擊:該攻擊是一個很奇妙的攻擊方式。奇妙點在于,該核電站的計算機與外界是呈現一種隔離狀態。既然是隔離狀態,又如何被黑客團隊盯上并且被攻擊的呢?這是一個很奇妙的地方。首先我們先來看個圖。

攻擊方式:

1)首先,上面講了,核電站與外界是隔離的,攻擊者也無法通過公共網絡對該核電站進行攻擊的。 2)于是,攻擊者利用了核電站的一個人的家庭電腦作為跳板,首先對家庭電腦進行攻擊,然后獲取該目標電腦的權限 3)然后將該電腦的移動設備進行攻擊。并嵌入了自己的蠕蟲病毒。 4)當該核電站拿著已經被嵌入蠕蟲病毒的USB插入到核電站的電腦上時,Stuxnet蠕蟲病毒便開始了傳播。 5)這是一個很奇妙的APT攻擊案例。

Stuxnet蠕蟲病毒是如何發現的呢?

Stuxnet蠕蟲病毒是一種windows平臺上的計算機蠕蟲。據惡意軟件研究者Tillmann和Felix Leder介紹稱,該病毒延緩了伊朗核項目長達2年,最終因一段代碼的原因而被暴露了。由于一個編程錯誤導致它可以蔓延一些低版本的windows系統的電腦中,從而系統崩潰,引起了伊朗Natanz核試驗室的發現。

0x04.3 夜龍攻擊

夜龍攻擊:McAfee在2011年2月發現一個針對全球能源公司的攻擊行為。發表的報告稱,5家西方跨國能源公司遭到來自中國“黑客的有組織,有紀律切有針對性的攻擊。超過千兆的字節的敏感文件被竊取,McAfee的報告稱這次行動代號為”夜龍行動(Night Dragon)“最早開始于2007年

夜龍攻擊的攻擊流程