[投稿]对某国的一次APT攻击过程

U1163P6T12D5516673F44DT20110402171943
写在之前的废话:小菜技术能力不行,如果你觉得此文实在看不下去,还请PASS掉。如果你对我的文章有兴趣,可以与我一起交流。文章因为敏感无图,业内人士看看自然懂。在这里感谢一下那位一直在我背后默默指导我的那位大牛,要不是你,就不会有今天我,借这这个平台向你衷声说句:谢谢你!

由于APT耗时长,需要的支持多,而且目标敏感。在这里,我们不便介绍目标背景,也不多说其他的,直接来进入主题。

某国某目标,我盯了它大概半年。嗯,终于有一天,我觉得时机成熟,下手吧。

在渗透目标的前期,我们需要了解对方公司的安全意识。以及需要搜集所有网站的IP,公司的出口,以及公司网段所存在的B-C段,公司人员邮箱,公司人员爱好,facebook等信息。

首先,我把目标公司的WEB都给搜集好了,大公司一般C段都是在一起的。而我有个习惯,在渗透目标的时候,先喜欢把OWA的段找出来扫一下。这样大概的就知道了公司的架构情况。而很多时候,大公司都是会把WEB段给区分的,哪几个外网IP段是管理WEB的,哪几个段是放数据库的。不过随着网络越趋复杂,就算拿到了WEB 也就是在DMZ徘徊。不过只要拿到了WEB就好说了。Go把。

千辛万苦拿下来了这个公司的一个WEB,WEB如何拿下来咱们不多说。不是重点。当我分析内网情况的时候,环境就是在DMZ,system权限。通过判断协议,TCP HTTP都没问题。于是,我把DMZ WEB给中了一个马,这样更容易操作,至少得到了一个交互式的shell。先把远控抛开不说,通过netstat -ano分析。WEB服务器连上了在内部的一台数据库服务器。于是我找到了WEB服务器的web.config脚本,成功得到了数据库账户密码,但是数据库账户权限非SA,而且SQL SERVER版本是2008(悲剧,MSSQL 2000的话直接就远程溢出了).没办法,就算我们导了个shell,又有何用?不着急,慢慢分析,于是我试着去ping内网数据库机器,PING不通,接着我在拿S扫描器开了很小的线程,扫了扫WEB连接的数据库那台机器。和我猜想的结果是一样,这种情况我不是第一次碰到了。就只有个1433能够过去。这时,我猜想大概的内网架构是这样的:

WEB–>防火墙–>数据库服务器–>内网(而当我搞下来,发现情况并不是这样的)

算了,没办法。先不管了,连上数据库,分析数据,看能否去撞号,登OWA或者邮箱之类的。

于是写了个PYTHON脚本,去跑他们的OWA(这个脚本是N年前写的,可能不太符合,大家去改改就好了。原理差不多):

 

分析完数据,把数据库中的目标人物邮箱都给挑选出来。跑完。手工测试VPN,都失败了。没办法,继续另寻其他的路子。

来回到远控,通过分析,本机WEB有一个员工登录的地方,但是是.NET的。不能改代码。因为如果改写代码,需要重新编译(这里可能我说的有错。)但是有一个员工登录的地方我们就已经足够了,这里也先不管它。先分析再说。

我的远控是可以切换用户的,只要有用户在,可以切换到对方的用户下。首先分析了本地管理组的用户,抓密码。Query user 发现有几个用户在线。于是我切换到每个用户,主要就是查看IPC 。功夫不负有心人,当我切换到B的会话下的时候,NET USE看了看。大家猜我看到了啥?(可能你会想,咱们不是在DMZ吗?会话咋来的? 管理员从内网连过来。)

没错,管理员从内网连接过来,把盘给带过来了。这下有得玩了。于是我分析了连接过来的那个盘。通过netstat -ano 知道了带过盘来的那机器的IP。赶紧分析,知道了对方是管理员,在OWA的MAILBOX服务器上链接过来的。搞的多的就知道,MAILBOX是没WEB的,当然也有。MAILBOX主要的作用就是来存储MAIL的邮件数据。于是我CURL,S扫描了服务器的那个段。一样的,我DMZ怎么都过不去,而且对方常用端口也没开。如果开了,咱们直接复制个shell就过去,本地借用内网那台服务器执行命令就可以了。但是环境不允许我们这么容易就进入别人内网,扭转了几天,还是没办法,当我最后分析到另外一个盘符的时候,我竟然看到了IT服务器的一个盘,里面有IT部门的一部分密码。赶紧下载分析。这样,基本上我判断,域管可能在里面。于是我来到VPN,一个一个测试,竟然都失败了。心想:FUCK,肯定这个是一个小域,没有VPN可以有权限登录。然后在一个一个来测试OWA,竟然登录进去了一个。分析所有邮件,搜索关键字:PASSWORD FTP RDP SERVER,HACKER。等字眼。没有所获,就看到一封说近期有人在搞他们公司,需要加强安全防范的邮件(当然不是我。)。可能这时候很多人想:发邮件,绑马? 如果说你有0DAY或者免杀好的NDAY可以这样做。不然就是找死了。

这个时候,我还是信心满满的,不是有IT部门的盘吗? 嘿嘿,下载了几个常用的工具,比如VPN,补丁。绑马了,在传上去。还给CMD绑了个马,放到了MAILBOX的

把每个用户桌面上都放了一个CMD.EXE。就不相信管理员不运行。

等啊等啊,等了差不多半个月。没任何反映,决定还是自己出手。不然就被动,连WEB掉了都不好了。

从网上找代码,自己改写了一个PHP,在WEB服务器上挂了一个探针。这里有个小知识:WEB服务器不是http协议的,而是https来进行访问的,所以我们需要找一个https的网站(绿标的那种),不然你是探针不到任何信息的。说做就做,HTTPS绿标的网站我多的是,而PHP代码简单,改写代码如下:

 

这里贴的PHP代码并非完整的,大家可以自己去改写。

脚本的功能是获取来源IP,OS,浏览器版本等等。当然如果你觉得还少,你可以加入探针JAVA,FLASH的一些功能。这里不在多说。

于是来到WEB主站,查看主页调用的JS。在JS里插入一段混淆代码。

而原型如下:

接下来我们要做的就是分析来源IP,等待了几天以后。我查看了探针的地址。记录了不少IP.但是那么多IP应该如何来确定哪个是他们的出口IP呢?

没办法,偷懒把,写了个PYTHON脚本:

这个脚本的功能是先把目标网站记录的IP地址全部给读取下来,在本地保存为TXT,在循环依次读取一个IP,来到接口bgp.he.net 这个接口查询。至于如何分辨公司出口IP,不在多说了。看IP信息以及访问源就知道了。

成功获取到对方公司的出口IP,接下来就好办了。知道对方用的浏览器版本,OS,等等。

于是先决定先测试ie8的漏洞,网上找了个IE8的漏洞。本地WIN7 XP测试没问题(因为对方公司还是有人在用IE8,win7默认就是IE8)。但是网上找的IE8的漏洞都是被杀的不行的,于是心想,自己做把。

于是网上找了一个BASE64 JS解密脚本,把IE8的网马内写了几个函数,把核心代码都给放到函数里。然后直接把函数内都给BASE64加密了。OK,很简单把,不杀了。

但是我们在挂马的时候,并不是瞎挂。而是必须有针对性的挂,不然你挂上,杀毒软件一下把你样本给抓走了。改天又出这报告又出那报告的。多丢人。那就得需要一个定向挂马的脚本了。因为对方的HTTPS的,我VPS上没装HTTPS的证书,心想,直接就通过WEBSHELL把这串代码放到绿标的HTTPS网站上就好了。

定向挂马脚本如下:

脚本的else后头,就是调用的那个网马了。

我把这个脚本和IE网马都给放到了绿标的网站上,于是重新在目标网站上,把探针去了。加入咱们的PHP脚本地址,远程调用。接下来要做的事情就是等着把。

谁没成想:刚挂上没5分钟,目标公司人中了我的网马,上线了。擦噢,这人品,不是一般的好。

赶紧把代码给取了。做内网渗透去了。而当我们到达内网的时候,内网情况却是这样的

DMZ-> WAF-> mailbox(我来到了这台服务器上)-> IDS/IPS-> 另外的域-> 主域

妈的额,好麻烦。没办法啦。之前拿下来了IT的管理密码的清单,先把当前域搞下来再说。毫无悬念的,直接连上了当前的域,控制了OWA SERVER。擦屁股走人,远控上操作去了。

虽然拿下来了这个域,但是这个域内就那么几十台个人机,而目标公司是几万人,看样子这个是他们的一个分的部门。只有继续深入了。

接下来我们要找的就是其余域的其他网段了,我ping了下目标公司的主站www.xxoo.com,嗯,内网IP地址是10.xx.xx.xx,嗯,虽然能够PING通,但是IPC这些都是不行的。接下来要做的就是打入其他域,搞定其他域,慢慢深入。

于是把目标个公司所有域名全部给搜集起来,在内网一个一个ping,把返回是内网的IP地址都给记录下来。

然后把朋友写的扫描器,指定线程,上去扫常用的WEB框架,数据库之类的东西。

预知后事如何,还请听下回分解。谢谢。

目前主域已经搞下来了,但是无奈没域管,好不容易抓到。但是被BIT9发现我了,把我又T出来了。还是得慢慢来,不着急,慢慢分析把。下回且听分析如何绕过防范不严的BIT9。

很多人看了文章可能会觉得我说的太笼统了,倒是。我不可能那么详细的说出来一些东西,但是如果你能够在这个文章里学习到新的思路,那就是我写这个文章的目的。

个人微博:http://t.qq.com/Axis_2

如果你喜欢我的文章,或者是思路。请关注我说说,我们可以一起交流和讨论。