admin APT,高级持久树,是最近常见的网络安全术语。
指攻击者使用任何可能的手段,对高价值目标、机构的计算机及其网络设备进行持续性的攻击。以达到破坏系统、窃取情报等目的。其攻击目标是高价值系统,当然就不会把普通个人用户放在眼里。但是,APT组织的攻击手法,代表着网络入侵行动的最高技术成就,必然会成为黑色产业链效仿学习的对象。
比如,昨天腾讯御见威胁情报中心发布的“寄生兽”,该组织的木马可以实现的功能,看一眼就觉得不寒而栗:
该组织攻击所使用的木马是专有木马,手段新颖,且使用范围小,只针对特定对象进行攻击,因此至今未被披露过;
该组织喜欢把木马隐藏在开源的代码中进行伪装,如putty、openssl、zlib等,把少量木马代码隐藏在大量的开源代码中,从而实现躲避检测的目的,因此将其取名“寄生兽”;
(这些开源的工具被略微修改,加入攻击代码,外表看起来其属性没有什么异常。再加上仅针对高价值目标传播,杀毒软件的传统监测数据通常直接忽略。)
该组织经常使用漏洞将木马捆绑成office系列文件进行传播,包括近期流行的CVE-2017-11882、CVE-2017-8570等,甚至我们发现该木马的插件还能够利用CVE-2017-8570漏洞对U盘、移动硬盘中的office文档先转换格式为RTF,再捆上漏洞攻击木马,从而实现磁盘介质的传播;
该木马主要以插件形式工作,针对不同人群释放不同功能插件,十分灵活。插件的功能包括且不限于:
a)获取并上传可移动磁盘中特定格式的文档(攻击者只对要获取的敏感信息感兴趣);
b)记录并上传活动窗口标题和按键信息(用来搜集发现目标计算机的主要工作内容);
c)定时截屏并上传(截屏大家都懂的);
d)下载DLL并执行,在局域网内渗透(扩大战果的工具,可以为局域网内下一步渗透目标而定制);
e)将可移动磁盘中的office文档转换为rtf格式再捆绑漏洞攻击木马(非常巧妙的文档感染方式,捆绑在Office文档中的木马利用了漏洞攻击工具,当其他电脑打开被感染的office文档,新木马就会植入);
f)获取本地邮箱、浏览器存储的密码(几乎包含目标计算机的任何关键个人信息,现在你明白为啥关键网络服务一定要开通双重验证了吧,密码如果不开通双重验证,被盗就麻烦大了);