APT是指高級持續性威脅, 利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式,APT攻擊的原理相對於其他攻擊形式更為高級和先進,其高級性主要體現在APT在發動攻擊之前需要對攻擊對象的業務流程和目標系統進行精確的收集。
高級持續滲透后門是指高級持續性后滲透權限長期把控,利用先進的后滲透手段對特定目標進行長期持續性維持權限的后攻擊形式,高級持續滲透后門的原理相對於其他后門形式更為高級和先進,其高級性主要體現在持續滲透后門在發動持續性權限維持之前需要對攻擊對象的業務流程和目標系統進行精確的收集並量身制定目標后門。
后門的種類繁多大體可分為,本地后門(系統自帶后門),本地拓展后門(iis7模塊后門),第三方后門(apache,serv-U軟件后門)等,根據總體特征分為:主動后門,被動后門,傳播型后門,而一個優秀的后門一定具備這幾個特征:無文件,無端口,無進程,無服務,無語言碼,並且是為目標主機量身制定的且一般不具備通用性。
從攻擊者角度來對抗:
項目中一定會接觸到溯源,而溯源最重要的環節之一就是樣本取證與分析。既然是樣本取證,也就是主要找殘留文件。可能是腳本,dll,so,exe等。其次是查找相關流量異常,端口,進程。異常日志。做為攻擊者的對抗,無開放端口,無殘留文件,無進程,無服務。在防御者處理完攻擊事件后的一定時間內,再次激活。
后門是滲透測試的分水嶺,它分別體現了攻擊者對目標機器的熟知程度,環境,編程語言,了解對方客戶,以及安全公司的本質概念。這樣的后門才能更隱蔽,更長久,而對於防御者需要掌握后門的基本查殺,與高難度查殺,了解被入侵環境,目標機器,以及后門或者病毒可隱藏角落,或樣本取證,內存取證,所以說后門的安裝與反安裝是一場考試,一場實戰考試。
這里要引用幾個概念,只有概念清晰,才能把后門加入概念化,使其更隱蔽。
1:攻擊方與防御方的本質是什么?
增加對方的時間成本,人力成本,資源成本(不限制於服務器資源),金錢成本。
2:安全公司的本質是什么?
盈利,最小投入,最大產出。
3:安全公司產品的本質是什么?
能適應大部分客戶,適應市場化,並且適應大部分機器。(包括不限制於資源緊張,寬帶不足等問題的客戶)
4:安全人員的本質是什么?
賺錢,養家。買房,還房貸。導致,快速解決客戶問題(無論暫時還是永久性解決),以免投訴。
5:提權的本質是什么?
信息搜集,搜集目標補丁情況,了解目標第三方利用等。
6:內網滲透的本質是什么?
信息搜集,搜集目標內網的組織架構,明確滲透訴求,在滲透過程中,當獲取到內網組織架構圖,如魚得水。
7:滲透與高級持續滲透的本質區別是什么?
區別於“持續”,可長期根據攻擊者的訴求來潛伏持久的,具有針對性的信息獲取。(而在高級持續滲透它又分為2類,一類持久滲透,一類即時目標滲透)
8:溯源取證與對抗溯源取證的本質是什么?
信息搜集與對抗信息搜集。
清晰了以上概念,作為攻擊者,要首先考慮到對抗成本,什么樣的對抗成本,能滿足概念1-5。影響或阻礙對手方的核心利益。把概念加入到后門,更隱蔽,更長久。
那么后門該如何做到,無服務,無進程,無端口,無自啟?
我們可以使用MySQL等服務,用它的端口,它的進程,它的服務,它的一切,來重新編譯MySQL的一些so文件並加入惡意代碼,這樣就實現了,無文件,無進程,無端口,無服務,無語言碼,因為一切附屬於它,這應該是一個攻擊者值得思考的問題。
線索排查與反線索排查
如上方法生成的后門,距離高級可持續性滲透后門還有一段距離,這里引入“線索排查”與“反線索排查”,如果一位經驗豐富的安全人員可根據時間差來排查日記,大體推測出MySQL被植入惡意代碼的執行流程,並根據線索排查,定位到*.so文件,導致權限失控。
在線索排查概念中,這里要引入“ABC”類線索關聯排查,當防御者在得到線索A,順藤到B,最后排查到目標文件C,作為攻擊方必須要考慮如何刪除指定日志內容,以及其他操作。來阻止ABC類線索關聯排查。
一個優秀的后門是量身目標制定且一般不具備通用性的。是的,一般不具備通用性。
觀看目前文章的一共有2類人,一類攻擊方,一類防守方。假設一個場景,現在擺在你面前有一台筆記本,並且這台筆記本有明確的后門,你的任務,排查后門。我想所有人都會排查注冊表,服務,端口,進程等。因為這些具備通用性,也同樣具備通用性排查手段。
信息搜集與對抗信息搜集
在一次完整的實戰過程中,攻擊者與防御者是需要角色對換的,前期,攻擊者信息搜集,防御者對抗信息搜集。而后滲透,攻擊者對抗信息搜集,防御者信息搜集。
而在兩者后的持續把控權限,是隨機並且無規律的角色對換過程。主要表現之一為后門。這一句話也許很難理解,舉例:持續把控權限過程中,攻擊者需要對抗防御者的信息搜集,而又要根據對方行為制定了解防御者的相關動作以及熟知目標環境的信息搜集安全時間。(包括但不限制於如防御者近期對抗查殺動作,防御者的作息規律,目標環境的作息規律等來制定相關計划)。
而在持續把控權限的過程中,防御者需要定期不完全依賴安全產品對自身環境的信息進行搜集(包括但不限制於日志異常,登陸異常,數據異常,第三方篡改日常等),一旦發現被攻擊或者異常,對抗攻擊者搜集,並且搜集攻擊信息,攻擊殘留文件,排查可能淪陷的內網群,文件等。
在高級持續滲透測試中,PTES的滲透測試執行標准主要分為6段1報。既:
1.前期交互階段
2.情報收集階段
3.威脅建模階段
4.漏洞分析階段
5.滲透攻擊階段
6.后滲透攻擊階段
7.報告編寫
在即時目標滲透測試中,主要分為5段1清1報。既:
1.前期交互階段
2.情報收集階段
3.威脅建模階段
4.漏洞分析階段
5.滲透攻擊階段
6.清理攻擊痕跡
7.報告編寫
持久滲透以時間換空間為核心的滲透,以最小化被發現,長期把控權限為主的滲透測試。
即時目標滲透則相反,放大已知條件,關聯已知線索,來快速入侵,以達到訴求。
實戰中的APT主要分為2大類,一類持久滲透,一類即時目標滲透,主要區別於高級持續滲透是6段1報,即時目標滲透是5段1清1報,共同點都是以黑客以竊取核心資料為目的,並且是一種蓄謀已久的長期踩點針對目標監視(包括但不限制於服務更新,端口更新,web程序更新,服務器更新等)。不同點主要區別於即時目標滲透清晰目標網絡構架或是明確訴求,得到目標訴求文件,隨即銷毀自身入侵軌跡。結束任務。而即時目標滲透往往伴隨着傳統的人力情報的配合進行網絡行動。
歸納總結,轉載於:https://micropoor.blogspot.com