首发于 i春秋
作者:joe 所属团队:Arctic Shell
团队博客地址:https://www.cnblogs.com/anbus/
0x1:关于APT的相关介绍:
APT是什么?
APT(AdvancedPersistent Threat)高级持续性威胁。
是指组织(特别是政府)或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为。
APT手法?
APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,此类攻击行为是传统安全检测系统无法有效检测发现,前沿防御方法是利用非商业化虚拟机分析技术,对各种邮件附件、文件进行深度的动态行为分析,发现利用系统漏洞等高级技术专门构造的恶意文件,从而发现和确认APT攻击行为。由于APT的特性,导致难发现、潜在威胁大,一旦被攻击将导致企业、政府、医疗组织等等的大量数据被窃取,公司重要财务、机密被盗窃。
0x2:初探APT大门(走进内网)
DMZ区域
A公司里,准备用一台服务器用来开放web服务以供给别人看和宣传一下自己公司的产品,小王(项目负责人)想到近来许多大公司数据都被窃取,于是他想了个办法把web服务器置于另一个网络,访问不了公司内网的一个空间,把smtp服务器、web服务器架设在dmz区里面防止因网站被入侵而导致公司数据被盗窃。
两个防火墙之间的空间被称为DMZ,与Internet相比,DMZ可以提供更高的安全性,但是其安全性比内部网络低,它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。
该缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络。因为这种网络部署,比起一般的防火墙方案,对来自外网的攻击者来说又多了一道关卡。
DMZ区域既可以与外网通讯,也可以与内网通讯,但受安全策略的限制。
所以在现如今,用web服务器当跳板来入侵内网已经是不现实的了,那么有没有什么可以简单易操作,的入侵方法呢?
0x3:常见利用
你可能想到了办公套件这类神器,正所谓:最大的漏洞不是存在于任何系统上面,而是人
OFFICE 漏洞一览:
=======================================================================================
CVE-2009-2496 |
堆损耗远程代码执行漏洞,又称作 “Office Web 组件堆损耗漏洞 |
丰收行动 |
CVE-2010-3333 |
RTF分析器堆栈溢出漏洞,又称”RTF栈缓冲区溢出漏洞” |
|
CVE-2012-0158 |
Microsoft Windows Common Controls ActiveX控件远程代码执行漏洞,栈内存拷贝溢出漏洞,又称“MSCOMCTL.OCX RCE漏洞” |
摩诃草 |
CVE-2013-3906 |
Microsoft Graphics组件处理特制的TIFF图形时存在远程代码执行漏洞 |
摩诃草 |
CVE-2014-1761 |
Microsoft Word RTF文件解析错误代码执行漏洞 |
摩诃草 |
CVE-2014-4114 |
OLE包管理INF 任意代码执行漏洞 |
摩诃草 |