（转）APT渗透

转自：http://hi.baidu.com/thanks4sec/blog/item/d4eb9fdb4dafe5c3a9ec9abf.html

最近看到关于APT渗透的pdf，若有所思。

个人认为大型甲方需要有对此种渗透的防御措施，而不是仅停留在解决web漏洞的层面。

当然这里web安全和系统安全的协作显得尤为重要。

 

• APT全称：Advanced Persistent Threat

• APT简述： –APT是指高级的持续性的渗透攻击，是针对特定组织的多方位的攻

击；

–APT不是一种新的攻击手法，因此也无法通过阻止一次攻击就让问题消失。

 

2011案例A

1.搜集Google员工在Facebook、Twitter等社交网站上发布的信息；

2.利用动态DNS供应商建立托管伪造照片网站的Web服务器，Google员工收到来自信任的人发来的网络链接并且点击，含有shellcode的JavaScript造成IE浏览器溢出，远程下载并运行程序；

3.通过SSL安全隧道与受害人机器建立连接，持续监听并最终获得该雇员访问Google服务器的帐号密码等信息；

4.使用该雇员的凭证成功渗透进入Google邮件服务器，进而不断获取特定Gmail账户的邮件内容信息。

 

2011案例B

1.攻击者给RSA的母公司EMC的4名员工发送了两组恶意邮件，附件名为“2011 Recruitment plan.xls”；

2.在拿到SecurID信息后，攻击者开始对使用SecurID的公司展开进一步攻击。

3.其中一位员工将其从垃圾邮件中取出来阅读，被当时最新的

Adobe Flash的0day漏洞（CVE-2011-0609）命中；

4.该员工电脑被植入木马，开始从BotNet的C&C服务器下载指令执行任务；

5.首批受害的使用者并非“位高权重”人物，紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑；

6.RSA发现开发用服务器（Staging server）遭入侵，攻击方立即撤离，加密并压缩所有资料并以FTP传送至远程主机，随后清除入侵痕迹；

 

2011案例C(某基友博客复制来的)

网络层攻击+社会工程学的方式！

第一步 zarpxs  嗅探插入网页 插入网页的类容是探针 探测内网一些机器和环境（主要探测浏览器和操作系统有的警告网页会变形）

第二步 制作微软升级警告页面补丁替换成自己的木马。（内网能连接出来的情况下，你的马儿要NB啊。偶木有就用msf里面的了）

第三步。cain 嗅探80端口看那些IP访问那个网站最多。然后DNS劫持网站

第四步。 看着劫持。把远控也打开。盯着远控上线情况。上线关闭嗅探。手工 清理日志。