来Track安全社区投稿~
千元稿费!还有保底奖励~(https://bbs.zkaq.cn)
APT:战术、技术与程序
高级持续性威胁(APTs)是网络安全领域中最复杂和最危险的威胁之一。这些对手通常技能高超、资金充足,并且常常受到国家或犯罪组织的支持。它们的目标是获得对目标网络或系统的持久、长期访问,意图进行间谍活动、数据盗窃、破坏或知识产权盗窃。
在本文中,我们将深入探讨 APT 组,重点关注其 战术、技术与程序(TTPs),并通过真实案例研究展示这些多阶段、复杂攻击的演变。
理解 APT:与众不同之处
APTs 与普通网络犯罪分子在几个关键方面有所不同:
•复杂性:APTs 使用高度先进和定制的恶意软件、零日漏洞及其他攻击途径,通常能够躲避传统的安全防御。
•持久性:与其他类型的攻击不同,APTs 旨在在网络中建立长期立足点。攻击者通常会使用多个阶段和防御规避层来维持长期访问。
•针对性攻击:APTs 关注特定的高价值目标,例如政府、关键基础设施、金融机构或跨国公司。它们的攻击往往针对受害者的环境量身定制。
•隐秘性:APTs 以其能够在长时间内不被检测而闻名。它们通常使用低调缓慢的技术,使传统安全监控解决方案难以检测到。
•资源密集型:APTs 通常在资金、知识和资源方面有显著的支持,使其能够发起持久且资源密集的攻势。
要充分理解 APTs,重要的是要细分其 TTPs,分析它们如何通过 网络攻击链 进行操作。
APT 战术、技术与程序(TTPs)
APT 采用的战术、技术与程序多种多样,通常会根据攻击的具体目标而演变。MITRE ATT&CK 框架提供了一个全面的矩阵,用于分类 APT 使用的技术,并将其映射到攻击生命周期的不同阶段。让我们看看 APT 组使用的一些最常见的 TTPs。
1.初始访问
APT 攻击的第一阶段是获得目标网络的初步立足点。这可以通过多种方法实现,例如:
•鱼叉式网络钓鱼:APT 行动者通常会精心制作针对特定受害者的鱼叉式网络钓鱼邮件。这些邮件可能包含恶意附件,如含有宏的文档,或者包含指向托管漏洞工具包的网站的链接。
•利用漏洞:APT 组常常针对公开暴露的服务、Web 应用程序或远程桌面服务中未打补丁的漏洞。零日漏洞特别有价值,因为安全供应商尚不知情。
•供应链攻击:通过入侵可信的第三方供应商或软件提供商,APT 可以借助合法的软件更新或服务渗透目标组织。
2. 执行
一旦获得初始访问,下一阶段涉及在目标系统上执行恶意有效载荷或命令。
•远程代码执行(RCE):利用远程漏洞使攻击者能够在受害者的机器上远程执行代码。
•脚本和命令行接口:APT 行动者通常使用内置工具,如 PowerShell、Windows 管理工具(WMI)或 bash 脚本,以避免被检测,直接在内存中执行命令,而不是写入磁盘。
•定制恶意软件:APTs 经常部署旨在绕过传统杀毒和终端保护措施的定制恶意软件有效载荷。
3. 持久性
维持对目标系统的长期访问是 APTs 的一个关键目标。为了实现这一点,它们采用多种持久性技术:
•凭据窃取:使用如 Mimikatz 等工具,攻击者可以从内存或活动目录中提取凭据,以便在初始攻击向量关闭后仍能维持对网络的访问。
•后门和植入程序:APTs 部署后门和植入程序,赋予它们对被攻陷网络的远程访问,即使被检测并移除也能重新进入环境。
•注册表键和计划任务:修改注册表键或设置计划任务可以让攻击者在系统上保持存在,确保他们的恶意软件在系统重启后仍然被重新执行。
4. 权限提升
为了在目标网络内横向移动并访问高价值系统,APTs 通常使用以下技术提升权限:
•利用系统服务中的漏洞:攻击者寻找操作系统或应用程序中的权限提升漏洞,以获得更高权限。
•令牌操纵和 SID 历史注入:这些技术允许攻击者冒充其他用户,包括管理员账户,从而访问敏感系统。
5. 防御规避
APTs 擅长避免检测和规避安全防御,采用多种技术,包括:
•利用现有工具:APTs 往往利用合法工具和进程,如系统管理工具或原生脚本环境,以规避检测,而不是部署外部工具。
•无文件攻击:通过在内存中或现有进程中执行代码,APTs 可以绕过依赖于基于磁盘签名的终端检测和响应(EDR)系统。
•混淆和加密:恶意软件及被攻陷系统与命令与控制(C2)服务器之间的通信通常经过高度混淆或加密,以防止安全工具的分析和检测。
6. 横向移动
一旦进入目标网络,APTs 会横向移动到其他系统和网络,以收集更多信息或访问更敏感的区域:
•远程桌面协议(RDP):APT 行动者可能使用 RDP 在系统之间进行横向移动。
•传递哈希(PtH)和传递票据(PtT):通过窃取和重用身份验证令牌,例如哈希凭据或 Kerberos 票据,攻击者可以在系统之间移动,而不必逐个攻陷每个系统。
7. 数据外泄
在成功导航受害者网络后,最后阶段涉及外泄敏感数据:
•数据分阶段和压缩:大量数据通常被压缩并在一个攻击者可访问的位置进行分阶段,以便将来提取。
•隐写术:一些 APT 使用隐写术将数据隐藏在图像、视频或其他文件类型中,以在外泄过程中规避检测。
•加密隧道:攻击者通常使用加密隧道或 VPN 将窃取的数据转移出网络,以避免被网络安全监控工具检测到。
现实案例研究:著名 APT 组织及其攻击
为了更好地理解 APT 攻击的方法和影响,我们将研究一些涉及知名 APT 组织的现实案例研究。
APT29(Cozy Bear)
APT29,也被称为 Cozy Bear,被认为与俄罗斯情报机构有关。该组织以其隐秘而复杂的攻击而闻名,专注于针对西方政府和组织的间谍活动。
•云跳跃行动:APT29 最著名的行动涉及一场历时数年的间谍活动,目标是管理服务提供商(MSP),以访问其客户的网络。攻击者通过入侵供应链、利用易受攻击的软件和使用先进的混淆技术来规避检测,从而获得敏感的政府和企业数据。
APT41(Winnti Group)
APT41,也被称为 Winnti Group,是一个中国 APT,其独特之处在于其国家资助的间谍活动与财务驱动的网络犯罪相结合。APT41 与针对医疗保健、电信和软件开发等行业的各种活动有关。
•影子垫行动:在此行动中,APT41 通过在合法软件更新中嵌入后门,入侵了广泛使用的软件平台。他们最引人注目的目标之一是 NetSarang,这是一家提供网络管理软件的公司,供大型企业使用。通过受感染的软件更新,APT41 获得了多个组织的访问权限,包括医疗保健提供者和金融机构。
APT10(Stone Panda)
APT10,也被称为 Stone Panda,是另一个中国国家资助的组织,以进行网络间谍活动而闻名,特别针对科技公司和政府机构。
•云跳跃活动:该行动针对云服务提供商及其客户,使 APT10 获得了跨多个行业的敏感企业数据。攻击者利用鱼叉式网络钓鱼和 VPN 软件中的漏洞,渗透云基础设施并攻陷客户端网络。
结论:APT 威胁的演变
先进持续性威胁(APTs)是组织当前面临的一些最危险的对手。它们复杂的多阶段攻击经过精心设计,以避开检测并在目标网络中停留很长时间。理解 APT 采用的战术、技术和程序(TTPs)对于构建有效的防御措施和提高事件响应能力至关重要。
以上内容由白帽子左一翻译并整理。原文:https://infosecwriteups.com/apts-tactics-techniques-and-procedures-b306f91dc374
声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。
原文始发于微信公众号(白帽子左一):APT:战术、技术与程序分析
评论