當(dāng)年，APT這個(gè)詞剛出現(xiàn)的時(shí)候震懾了一大群安全同學(xué)，“APT（Advanced Persistent Threat）是指高級(jí)持續(xù)性威脅”，這個(gè)專業(yè)定義讓大家都無(wú)比崇拜。
隨著逐步研究與接觸，尤其是在處理過(guò)APT入侵后，慢慢明白，其實(shí)所謂apt攻擊，就是一個(gè)黑客或黑客組織死心眼，一門心思要搞你。他們針對(duì)你使用專門的新技術(shù)，進(jìn)來(lái)后耐心的收集信息，逃避檢測(cè)長(zhǎng)期潛伏，最終竊取最有價(jià)值的數(shù)據(jù)。其實(shí)這個(gè)過(guò)程和職業(yè)小偷一個(gè)道理，分析你家的基本情況，如作息時(shí)間、出門時(shí)間、資產(chǎn)情況、個(gè)人信息等，然后利用針對(duì)你家的專用信息，如你的生日，打開(kāi)你家的密碼門鎖。進(jìn)去不急著偷東西，而是裝攝像頭、監(jiān)聽(tīng)器等，長(zhǎng)期監(jiān)視你的活動(dòng)，獲取銀行密碼、保險(xiǎn)箱密碼、各種找回密碼的問(wèn)題等等，最后再獲取巨大的金錢利益。特點(diǎn)無(wú)非就是：
1、隱蔽性強(qiáng)，就是利用針對(duì)性的高技術(shù)或偏門的方法，讓你的防御、檢測(cè)措施生效；
2、耐心度高，長(zhǎng)期潛伏不作惡，讓你的行為檢測(cè)無(wú)的放矢；
3、高速收割，和檢測(cè)、攔截系統(tǒng)打時(shí)間差，在被阻止前竊取完成；
針對(duì)以上三點(diǎn)，當(dāng)前針對(duì)apt攻擊主要從三個(gè)維度發(fā)現(xiàn)
1、終端、網(wǎng)絡(luò)行為異常；
2、大數(shù)據(jù)分析，終端行為偏移正常、行為聚類后的終端孤點(diǎn)等；
3、情報(bào)數(shù)據(jù)、情報(bào)關(guān)聯(lián)數(shù)據(jù)，如歷史用的病毒手法、md5、url、ip、域名和ip對(duì)應(yīng)關(guān)系、歷史關(guān)系等；
但其實(shí)這三個(gè)方案無(wú)論怎么檢測(cè)發(fā)現(xiàn)，最終都只是發(fā)現(xiàn)疑似apt攻擊，大量誤報(bào)無(wú)法避免，如用戶主動(dòng)訪問(wèn)惡意url、用戶今天無(wú)聊所以操作行為偏移正常邏輯等等。所以最終定性還是靠人工確定，說(shuō)白了就是檢測(cè)發(fā)現(xiàn)疑似被apt入侵的終端，安全人員還需要通過(guò)取證獲取機(jī)器數(shù)據(jù)，最后分析取證后的數(shù)據(jù)才能最終定性是否存在apt入侵行為。
所以今天我們就來(lái)談?wù)凙PT入侵的取證思路，先從整體看下：

如上就是apt入侵的通用流程，我們結(jié)合此流程，根據(jù)黑客入侵的路徑和動(dòng)作，探討下要采集哪些數(shù)據(jù)或日志來(lái)分析我們的終端是不是正在被入侵或被入侵過(guò)了。
Google翻查各種工具，看的我一臉懵逼呀，各種介紹的高大上工具，什么Autopsy、Volatility、redline等一堆一堆的，本人才疏學(xué)淺，感覺(jué)要不就是專注于一個(gè)方面，如文件痕跡、內(nèi)存分析等，要不就是各種基于已知的ioc分析，沒(méi)找到任何一個(gè)完全適合windows入侵取證的工具。為了不至于無(wú)路可走，決定放飛思路，diy一下。
根據(jù)日常我們要取證的場(chǎng)景：
終端出現(xiàn)異常點(diǎn)，或就是看它不爽，我們?cè)趺慈∽C什么數(shù)據(jù)才能定性是否被黑客入侵？
取證工具簡(jiǎn)單化，不考慮那么多ui、關(guān)聯(lián)數(shù)據(jù)等問(wèn)題，終端我們可以接觸，所以復(fù)雜需要關(guān)聯(lián)的或圖形化的，我們直接在機(jī)器看，不必須讓取證工具變得那么復(fù)雜。
分析下，我們通過(guò)黑客入侵各個(gè)階段的做法來(lái)看我們要取什么證據(jù)
 
進(jìn)入/執(zhí)行階段
第一階段：病毒文件或代碼進(jìn)入電腦（磁盤或內(nèi)存）
a)      攻擊難度低：合法自動(dòng)進(jìn)入
1)     釣魚郵件的附件，利用自動(dòng)下載附件的功能，也可誘導(dǎo)用戶下載
2)     Im工具等，利用自動(dòng)下載，或誘導(dǎo)下載
3)     U盤插入，利用擺渡u盤，誘導(dǎo)使用被惡意丟棄的u盤等
4)     瀏覽器訪問(wèn)，這個(gè)大量文件到臨時(shí)目錄，只不過(guò)難于執(zhí)行起來(lái)
5)     共享盤掛載，這個(gè)雖然不是本地磁盤，但是還是可以直接運(yùn)行的
6)     各種同步盤，如云和終端同步，多終端同步等，例如攻破云盤上傳惡意文件后，文件自動(dòng)同步到終端。
7)     P2p下載方，修改資源塊，替換正常塊。（沒(méi)遇到過(guò)，推測(cè)可行）
b)     攻擊難度中：誘導(dǎo)用戶直接下載（包括配置好自動(dòng)下載地址）或拷貝病毒
1)     瀏覽器、下載工具等主動(dòng)下載，多為捆綁病毒或替換正常軟件（軟件供應(yīng)鏈），這也是當(dāng)前感染病毒最多的渠道，互聯(lián)網(wǎng)雖好，但也是到處有坑！
2)     應(yīng)用軟件，或應(yīng)用軟件組件更新等
3)     郵件、im、word等交流工具中的鏈接，誘導(dǎo)用戶下載
4)     U盤文件拷貝
c)      攻擊難度高：漏洞利用進(jìn)入
1)     瀏覽器漏洞，各種cve
2)     郵件漏洞，如打開(kāi)觸發(fā)漏洞的郵件本身，則會(huì)自動(dòng)下載病毒（一個(gè)途徑，筆者未遇到過(guò)）
3)     其他軟件漏洞，這就比較廣了，主要是各種常用軟件，尤其是提供輸入、網(wǎng)絡(luò)接受數(shù)據(jù)等功能的，例如發(fā)送畸形包，讓某軟件下載病毒文件。
第二階段：病毒文件或代碼變?yōu)閮?nèi)存中可運(yùn)行代碼
a)      誘導(dǎo)用戶主動(dòng)運(yùn)行
1)      Office各種宏，利用自動(dòng)宏或誘導(dǎo)用戶啟動(dòng)宏拉取惡意文件或代碼
2)      社工誘導(dǎo)，如im聊天誘導(dǎo)、郵件誘導(dǎo)、誘惑文件名誘導(dǎo)等等
3)      冒充正常文件名
b)     U盤自動(dòng)運(yùn)行
1)     這個(gè)就不解釋了，這也是u盤被利用的原因，插入即可完成進(jìn)入和執(zhí)行兩步，高效快捷！
c)      漏洞自動(dòng)運(yùn)行
1)     這個(gè)主要是代碼類，漏洞利用直接注入shellcode，修改ip運(yùn)行。
綜上，在該階段我們要獲取
1、郵件附件情況，包括下載和執(zhí)行
2、im接受文件情況，包括下載和執(zhí)行
3、u盤自動(dòng)運(yùn)行情況、拷貝情況
4、office宏的執(zhí)行情況
5、瀏覽器臨時(shí)文件情況
6、共享掛載情況
7、同步盤情況
8、p2p下載情況
9、瀏覽器、下載工具等下載情況
10、應(yīng)用軟件的自動(dòng)更新和更新配置情況
11、瀏覽器、郵件、其他軟件等的漏洞情況和漏洞觸發(fā)（盡可能）情況