APT**攻击**

高级可持续威胁攻击，集合了多种常见攻击方式的综合攻击。综合多种攻击途径来尝试突破网络防御，通常是通过Web或电子邮件传递，利用应用程序或操作系统的漏洞，利用传统的网络保护机制无法提供统一的防御。

除了使用多种途径，高级定向攻击还采用多个阶段穿透一个网络，然后提取有价值的信息，这使得它的攻击更不容易被发现。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。

目的：出于商业或政治动机，针对特定组织或国家，窃取核心资料、搜集情报、破坏关键设施

整个攻击生命周期的七个阶段如下：

第一阶段：扫描探测

攻击者会花几个月甚至更长的时间对”目标”网络进行踩点，针对性地进行信息收集，目标网络环境探测，线上服务器分布情况，应用程序的弱点分析，了解业务状况，员工信息等等。

第二阶段：工具投送

0day漏洞、已知漏洞、社会工程学、鱼叉攻击、水坑攻击，投送其恶意代码。

第三阶段：漏洞利用

攻击者通过投送恶意代码，并利用目标企业使用的软件中的漏洞执行自身。

第四阶段：木马植入

恶意软件的可执行文件——击键记录器、木马后门、密码破解和文件采集程序被下载和安装。这意味着，现在已经建成了进入系统的长期控制机制。

第五阶段：远程控制

第六阶段：横向渗透

第七阶段：目标行动

将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。APT攻击者往往要将数据收集到一个文档中，然后压缩并加密该文档。此操作可以使其隐藏内容，防止遭受深度的数据包检查和DLP技术的检测和阻止。然后将数据从受害系统偷运出去到由攻击者控制的外部。大多数公司都没有针对这些恶意传输和目的地分析出站流量。

事实上一次真正高级的APT攻击，是有着充分的计划性和准备性的，包括以下步骤：

• APT战术思想：确立作战目标、作战范围与作战目的

• APT战术设计：确定战术实现的资源需求、作战环境、战术部署

• APT战术准备：人力资源准备、技术资源准备、情报资源准备、作战预案准备

• APT作战方法：主攻与钳制、强攻与突破、战术协同

• APT高级战术：复杂战术的构造，战术的艺术

真正的APT攻击不是单个黑客或者几个黑客为了捞点儿钱就能搞出来的花样，那必然是有着深厚背景和强大支撑力量的组织发起的，只有这样才能支持和维持APT攻击所需要的大量时间、人力、物力与财力。

鱼叉攻击

利用木马程序（可执行程序例如exe）作为电子邮件附件，发送到目标电脑上，诱导受害者去打开附件来感染木马，邮件内容经常结合时事，极具迷惑性，附件格式和图标通常也在欺骗。

常见恶意附件类型：

EXE可执行程序

LNK（windows快捷方式）

CHM文档

HTA文档

Office文档

钓鱼模板：

鱼叉攻击邮件伪造

一、思路

\1. 构造免杀Windows可执行后门程序，充当邮件下载附件用来诱使目标执行从而获取目标信息权限等。

\2. 伪造常见运营商官方邮件，伪造某安全信息诱骗目标相信并点击下载附件后门程序。

二、具体步骤

构造360免杀Windows可执行后门程序：

生成环境：Kali Linux、Winodws10

准备软件：VS2017、Cobalt_Strike_v3.8

开启Cobalt_Strike服务器

使用客户端连接服务器

先用cs生成一个veil格式的shellcode。

CobaltStrike客户端可以生成Veil类型的payload，攻击者将该Payload传入到Veil框架中即可生成具有一定免杀性的样本。

Shellcode：16进制攻击代码，获取权限

生成后代码。

使用VS2017新建个win32控制台应用程序，命名为sb360

下一步 空项目 打上勾。

新建项目完成之后，添加 cpp 文件

在 cpp 中插入以下代码：

在buf后添加生成的Payload

编译前设置项目属性，运行库设置为多线程（/MT）（否则报错缺少相应的 dll）

使用管理员运行后连接成功。

将程序伪造为某CVE漏洞修复程序

邮件伪造：

生成环境：Kali Linux、swaks

准备材料：163测试邮箱

使用swaks构造伪造邮件输入以下伪造邮件发送命令

swaks –to [email protected]–from [email protected]–h-From: ‘”Microsoft of china”[email protected]‘ –header “Subject:CVE-2019-1448 | Microsoft Excel Remote Code Execution Vulnerability repair notification” –attach ./CVE-2019-1448.rar –body “Please refer to the attachment and instructions for the repair of this vulnerability.Thanks!”

–to 目标地址

–from 伪造来源地址

–h-From 邮件头

–header 邮件头内容

–attach 包含附件

–body 邮件内容

Microsoft Excel Remote Code Execution Vulnerability repair notification

Microsoft Excel远程代码执行漏洞修复通知

Please refer to the attachment and instructions for the repair of this vulnerability.Thanks!

请参阅附件和说明修复漏洞。谢谢!

查看邮箱显示接收到伪造邮件

Domain may not exist or DNS check failed

假设邮件服务器收到了一封邮件，来自主机的 IP 是14.135.74.128，并且声称发件人为[email protected]。为了确认发件人不是伪造的，邮件服务器会去查询example.com的 SPF 记录。如果该域的 SPF 记录设置允许 IP 为14.135.74.128的主机发送邮件，则服务器就认为这封邮件是合法的；如果不允许，则通常会退信，或将其标记为垃圾/仿冒邮件。

电子邮件系统中发送方策略框架，IP地址认证电子邮件发件人身份

来源：freebuf.com 2021-03-29 14:24:39 by: ATL安全团队