<aside> 💡 Notion Tip: APT笔记.

</aside>

简介

• APT攻击，它是集合多种常见攻击方式的综合攻击。综合多种攻击途径来尝试突破网络防御，一般是通过Web或电子邮件传递，利用应用程序或操作系统的漏洞，利用传统的网络保护机制无法提供统一的防御。
• 它除了应用多种途径，高级定向攻击还采用多个阶段穿透一个网络，然后提取有价值的信息，这使得它的攻击更不容易被发现。
• 从整体来说，它是一种高级攻击，具有难检测、持续时间长、攻击目标明确。
• APT攻击的整个工具生命周期由7个阶段组成：扫描探测、工具投送、漏洞利用、木马植入、远程控制、横向渗透、目标行动。
• APT攻击主要的流程，通过投放附带恶意代码的word文档程序，进行传播攻击者的专用后门程序，以达到对目标用户的长期控制和信息盗取。

必备技能

• 需熟悉常用的工具：
  • Exeinfo PE、pchunter、CFF Explorer、IDA、ollydbg
• 需熟悉技术的方向：
  • PE文件结构、加解密、X86汇编代码，shellcode代码，HTTP、HTTPS网络通信。

寻找逆向突破点

• 直接将wwlib这个dll模块进行IDA静态分析，从字符串、导入函数、导出函数进行分析，寻找作为逆向分析的突破点和入口袋。
  • 字符串相关的没有找到任何有用字符信息、
  • 导出函数上也就一个默认导出函数也没作用、
  • 导入函数上也没看到如操作注册表、加解密、网络通信相关的系统调用函数。
• 从APT样本的特性上进行找突破点：
  • 白加黑的加载方式；
  • HTTP、HTTPS网络通信方式；
  • shellcode释放功能代码等等。

免杀思路

• 静态：
• 动态：

进程镂空

• 指针hook系统进程的内存基址，卸载它的内存，注入自己的内存傀儡，容易导致指针溢出蓝屏