APT攻击流程图

一、侦查阶段

0×00 资产收集

攻击者对信息收集完成后，然后对暴露在外网的资产进行攻击。

0×01邮件信息搜集

1.工具收集

theHarvester

Infoga

EmailSniper

2.邮箱测试收集

TOP500姓名+邮箱后缀

邮箱有效性验证

https://verify-email.org/

准确性高，每个IP一天最多5条，提供API接口进行批量化验证。

http://tool.chacuo.net/mailverify

访问频繁会触发验证限制。

http://www.all-nettools.com/toolbox/email-dossier.php

无限制，可使用Burp批量验证测试邮箱是否存在，一些邮件可能验证不准确。

0×02目标内网信息收集

1.元数据收集，企业发布到网络上的文档信息

可以获取文件上传者的机器名，操作系统及相关软件安装路径和版本等信息。FOCA主要是个检查和扫描文件的元数据及隐藏信息的信息收集工具。这些文件可以是在网页上的，FOCA 能下载并分析它们。

2.探针信息收集

最常见的是XSS探针

将JS探针信息嵌入网站链接中，或者钓鱼页面中，收集目标系统的详细信息。

其中攻击者对内网信息比较感兴趣的点为：

1）  内网使用的浏览器信息，针对IE浏览器漏洞进行挂马攻击，水坑攻击。

2）  内网FLASH版本信息，主要进行挂马攻击，发送带有网马的链接攻击。

3）  内网使用的Java版本信息，进行网马攻击。

4）  内网使用的杀毒软件信息，对木马针对性的进行免杀。

5）  内网使用的Office版本信息，针对特定的office版本，制作相应的攻击样本。

6）  内网使用的Adobe Reader版本信息，主要用来在PDF中嵌入木马进行攻击。

7）  内网安装的常用软件信息，结合相应的软件漏洞进行相应漏洞攻击。

8）  内网IP地址信息以及内网的外网出口。

二、武器投递

0×00 发送邮件

1.  发送邮件

根据前期收集的目标信息，对目标发送邮件。

1）钓鱼邮件

2） iframe URI钓鱼

http://www.freebuf.com/articles/web/9181.html

3）目标企业邮箱是否设置SPF，如果未设置的话，伪造邮件发送带有木马的文档，在线伪造

4）使用Swaks

http://www.freebuf.com/sectool/92397.html

5）如果企业邮箱设置SPF，申请与目标相似的域名，搭建邮件服务器，发送伪造邮件。

0×01 恶意软件下载

正常软件与木马捆绑，提示用户更新升级恶意软件。

三、漏洞利用

0×00 自解压

直接发送木马文件

1．http://www.freebuf.com/articles/others-articles/19731.html

如果目标机器设置显示后缀文件，能直接看到文件为EXE文件。

2. 利用unicode控制符进行逆名欺骗

制作一个自解压文件，然后重命名，插入Unicode 控制字符RLO（这里只需要在.前面加上cod即可，这样就制作出一个显示doc后缀的EXE。

0×01 LINK后缀木马

当使用命令提示（Cmd.exe 或 Windows 命令处理器）打开没有可执行文件扩展名的文件时，该文件可能作为程序运行，而不是在为该文件类型注册（根据文件扩展名）的程序中打开。

0×01 office特性利用

1.  DDE漏洞

http://www.freebuf.com/articles/terminal/150285.html

{ DDEAUTO c:\\windows\\system32\\cmd.exe “/k notepad.exe” }

2．EXCEL宏

0×02 office漏洞利用

CVE-2017-8570等office溢出类漏洞

0×03 Adobe Reader漏洞利用

0×04 IE，Flash,Java等网马利用，水坑攻击

在一个完整的ATP攻击中，攻击者花费的大部分时间都在前期的信息收集工作上，真正在后面相关命令控制以及横向移动占用的时间是比较少的，后期我们将继续介绍下攻击者在下一阶段所用到的方法与技巧。

如侵权请私聊我们删文

多一个点在看多一条小鱼干