APT攻击盘点及实战(上)(2)
时间:2023-03-25 16:01 来源:网络整理 作者:默认发布 点击:次
攻击流程: 1)找到网站的注入点,利用SQL注入的方式,从外网入侵Web服务器 2)在此以Web服务器为跳板,对内网以及其他服务器及终端电脑进行扫描 3)通过密码暴力破解等方式入侵内网AD服务器及开发人员电脑 4)向被入侵电脑植入恶意代码,并安装远端控制工具 5)金庸被入侵电脑的IE代理设置,建立直连通道,传回大量机密文件 6)更多内网电脑遭到入侵,多半为高阶主管点击了看似正常的邮件附件导致中毒 0x04.4 RSA SecurID窃取攻击SecurID窃取攻击:发生于2011年3月,EMC公司下属的RSA公司遭到入侵,部分的技术内容及客户资料被窃取。 攻击流程: 1)攻击者给RSA的母公司EMC的4名员工发送了2组恶意邮件,邮件附件为”2011 Recruitment Plan.xls“的文件。xls能绑病毒?@.@。(模拟攻击的时候,会提到相关技术) 2) 其中以为员工将其从垃圾邮件中取出来阅读,被当时的Adobe Flash的0day漏洞(CVE-2011-0609)命中 3) 该员工电脑被植入木马,开始从僵尸网络(BotNet)的C&C服务器下载指令执行 4) 首批受害的使用者并非高地位的人,紧接着IT与非IT服务器管理员相继被黑。 5) RSA发现开发用服务器遭入侵,攻击者立即撤回并将所有资料加密以FTP的方式传送回远程主机,完成入侵 0x04.5 暗鼠攻击暗鼠攻击:发生于2011年8月份,McAfee和Symantec发现并报告该攻击,该攻击时常N年之久,并攻击了70多家公司和组织,被称为“暗鼠行动”。 攻击方式: 1)通过社会工程学的方法收集被攻击目标的信息 2)想目标公司的特定人发送极具诱惑性的,带有附件的恶意邮件(例如参加行业会议,以及项目预算等等) 3)当受害人打开附件时,触发CVE-2009-3129漏洞利用程序植入木马,该漏洞并非0day,只针对某些版本的excel 4)木马从远程服务器下载恶意代码,切这些恶意代码被精心伪装,例如图片或html文件 5)借助恶意代码,拿到shell,受害人与电脑与远程电脑建立连接,并且控制 0x04.6 Lurid攻击Lurid攻击:发生于2011年9月22日,TrendMicro的研究人员公布了一起针对印度,越南及中国发起的APT攻击 ©️ 不贴图了,怕后面字数超过了发不出去哈! 攻击方式: 攻击者利用CVE-2009-4324和CVE-2010-2883这2个一直的Adobe Reader漏洞,被压缩RAR文件的恶意代码的屏幕保护程序 用户一旦阅读了恶意PDF文件或者打开了恶意屏幕保护程序,就回被植入木马,将收集到的信息上传至C&C服务器。 0x04.7 Nitro攻击Nitro攻击,该攻击是利用鱼叉式钓鱼攻击,将带有恶意伪装木马的病毒嵌入到Microsoft Office Word 2010中,并以诱惑邮件的方式发给用户,当该用户点击word 2010的时候,就会中这个伪装病毒,该病毒名为:poison Ivy(毒藤)。这也是本章要模拟的攻击。该攻击持续长达7年之久。 0x05 盘点最近几年的APT攻击事件第一:韩国平昌冬奥会APT攻击事件攻击组织:Hades 相关攻击武器:Olympic Destroyer 攻击方式:鱼叉式钓鱼式攻击 攻击流程: 同样利用与钓鱼式邮件,向目标(冬奥会举办方)投递了一封带有恶意病毒的邮件 利用Powershell图片隐写技术,并使用Invoke-PSImage工具实现 利用失陷网站用于攻击载荷和数据回传 伪装成NCTC(韩国国家反恐中心)的含有恶意病毒的恶意邮件,并注册了伪装成韩国农业和林业部的域名混其过关。该事件有McAfee在伊始公开披露APT攻击事件,该事件导致网络终端,事后卡巴斯基将该背后的攻击组织名为Hades。 第二:V**Filter:针对乌克兰IOT设备的恶意代码攻击事件攻击组织:APT28 相关攻击武器:V**Filter 攻击方式:利用IOT设备漏洞远程获得初始控制权 所利用的漏洞:IoT漏洞 攻击流程: 使用多阶段的载荷植入,不同阶段载荷功能模块实现不同 使用针对多种幸好IOT设备的公开利用技术和默认访问凭据 实现包括,数据包嗅探,窃取网站登陆凭据,以及监控Modbus SCADA工控协议 针对多种CPU架构编译和执行 使用Tor(洋葱浏览器)或SSL加密协议进行C2通信V**Filter事件是2018年最为严重的针对IoT设备的攻击事件之一,并实施改时间的攻击者意思具有国家背景的攻击团队,美国司法后续也声称该是事件与APT29组织有关,乌克兰特勤局也后续公开披露其发现V**Filter队其国内的氯气蒸馏站发起过攻击。实现了多模块化的攻击。 第三:蓝宝菇APT组织针对中国的一系列定向攻击事件攻击组织:BlueMushroom(蓝宝菇) 相关攻击武器:Powershell后门程序 攻击方式:鱼叉式钓鱼攻击和水坑攻击 攻击流程: 鱼叉邮件投递内嵌Powershell脚本的LNK文件,并利用邮件服务器的云附件方式进行投递 当受害者被诱导点击恶意LNK文件后,会执行LNK文件所指向的Powershell命令,进而提取出LNK文件中的其他诱导文件,持久化后和powershell后门脚本。 从网络上接受新的Powershell后门代码执行,从而躲避了一些杀软的查杀。 第四:海莲花APT组织针对我国和东南亚地区的定向攻击事件攻击组织:OceanLotus(海莲花) 相关攻击武器:Denis家族木马。Cobalt Strike(后渗透工具与MSF齐名),CACTUSTORCH框架木马 相关漏洞:office漏洞,MikroTik路由器漏洞,永恒之蓝 攻击方式:鱼叉式攻击和水坑攻击 (责任编辑:admin) |
- 上一篇:Python 如何从facebook获得更多评论?
- 下一篇:全球竞相发展AI技术