當(dāng)年，APT這個詞剛出現(xiàn)的時(shí)候震懾了一大群安全同學(xué)，“APT（Advanced Persistent Threat）是指高級持續(xù)性威脅”，這個專業(yè)定義讓大家都無比崇拜。
隨著逐步研究與接觸，尤其是在處理過APT入侵后，慢慢明白，其實(shí)所謂apt攻擊，就是一個黑客或黑客組織死心眼，一門心思要搞你。他們針對你使用專門的新技術(shù)，進(jìn)來后耐心的收集信息，逃避檢測長期潛伏，最終竊取最有價(jià)值的數(shù)據(jù)。其實(shí)這個過程和職業(yè)小偷一個道理，分析你家的基本情況，如作息時(shí)間、出門時(shí)間、資產(chǎn)情況、個人信息等，然后利用針對你家的專用信息，如你的生日，打開你家的密碼門鎖。進(jìn)去不急著偷東西，而是裝攝像頭、監(jiān)聽器等，長期監(jiān)視你的活動，獲取銀行密碼、保險(xiǎn)箱密碼、各種找回密碼的問題等等，最后再獲取巨大的金錢利益。特點(diǎn)無非就是：
1、隱蔽性強(qiáng)，就是利用針對性的高技術(shù)或偏門的方法，讓你的防御、檢測措施生效；
2、耐心度高，長期潛伏不作惡，讓你的行為檢測無的放矢；
3、高速收割，和檢測、攔截系統(tǒng)打時(shí)間差，在被阻止前竊取完成；
針對以上三點(diǎn)，當(dāng)前針對apt攻擊主要從三個維度發(fā)現(xiàn)
1、終端、網(wǎng)絡(luò)行為異常；
2、大數(shù)據(jù)分析，終端行為偏移正常、行為聚類后的終端孤點(diǎn)等；
3、情報(bào)數(shù)據(jù)、情報(bào)關(guān)聯(lián)數(shù)據(jù)，如歷史用的病毒手法、md5、url、ip、域名和ip對應(yīng)關(guān)系、歷史關(guān)系等；
但其實(shí)這三個方案無論怎么檢測發(fā)現(xiàn)，最終都只是發(fā)現(xiàn)疑似apt攻擊，大量誤報(bào)無法避免，如用戶主動訪問惡意url、用戶今天無聊所以操作行為偏移正常邏輯等等。所以最終定性還是靠人工確定，說白了就是檢測發(fā)現(xiàn)疑似被apt入侵的終端，安全人員還需要通過取證獲取機(jī)器數(shù)據(jù)，最后分析取證后的數(shù)據(jù)才能最終定性是否存在apt入侵行為。
所以今天我們就來談?wù)凙PT入侵的取證思路，先從整體看下：

如上就是apt入侵的通用流程，我們結(jié)合此流程，根據(jù)黑客入侵的路徑和動作，探討下要采集哪些數(shù)據(jù)或日志來分析我們的終端是不是正在被入侵或被入侵過了。
Google翻查各種工具，看的我一臉懵逼呀，各種介紹的高大上工具，什么Autopsy、Volatility、redline等一堆一堆的，本人才疏學(xué)淺，感覺要不就是專注于一個方面，如文件痕跡、內(nèi)存分析等，要不就是各種基于已知的ioc分析，沒找到任何一個完全適合windows入侵取證的工具。為了不至于無路可走，決定放飛思路，diy一下。
根據(jù)日常我們要取證的場景：
終端出現(xiàn)異常點(diǎn)，或就是看它不爽，我們怎么取證什么數(shù)據(jù)才能定性是否被黑客入侵？
取證工具簡單化，不考慮那么多ui、關(guān)聯(lián)數(shù)據(jù)等問題，終端我們可以接觸，所以復(fù)雜需要關(guān)聯(lián)的或圖形化的，我們直接在機(jī)器看，不必須讓取證工具變得那么復(fù)雜。
分析下，我們通過黑客入侵各個階段的做法來看我們要取什么證據(jù)
 
進(jìn)入/執(zhí)行階段
第一階段：病毒文件或代碼進(jìn)入電腦（磁盤或內(nèi)存）
a)      攻擊難度低：合法自動進(jìn)入
1)     釣魚郵件的附件，利用自動下載附件的功能，也可誘導(dǎo)用戶下載
2)     Im工具等，利用自動下載，或誘導(dǎo)下載
3)     U盤插入，利用擺渡u盤，誘導(dǎo)使用被惡意丟棄的u盤等
4)     瀏覽器訪問，這個大量文件到臨時(shí)目錄，只不過難于執(zhí)行起來
5)     共享盤掛載，這個雖然不是本地磁盤，但是還是可以直接運(yùn)行的
6)     各種同步盤，如云和終端同步，多終端同步等，例如攻破云盤上傳惡意文件后，文件自動同步到終端。
7)     P2p下載方，修改資源塊，替換正常塊。（沒遇到過，推測可行）
b)     攻擊難度中：誘導(dǎo)用戶直接下載（包括配置好自動下載地址）或拷貝病毒
1)     瀏覽器、下載工具等主動下載，多為捆綁病毒或替換正常軟件（軟件供應(yīng)鏈），這也是當(dāng)前感染病毒最多的渠道，互聯(lián)網(wǎng)雖好，但也是到處有坑！
2)     應(yīng)用軟件，或應(yīng)用軟件組件更新等
3)     郵件、im、word等交流工具中的鏈接，誘導(dǎo)用戶下載
4)     U盤文件拷貝
c)      攻擊難度高：漏洞利用進(jìn)入
1)     瀏覽器漏洞，各種cve
2)     郵件漏洞，如打開觸發(fā)漏洞的郵件本身，則會自動下載病毒（一個途徑，筆者未遇到過）
3)     其他軟件漏洞，這就比較廣了，主要是各種常用軟件，尤其是提供輸入、網(wǎng)絡(luò)接受數(shù)據(jù)等功能的，例如發(fā)送畸形包，讓某軟件下載病毒文件。
第二階段：病毒文件或代碼變?yōu)閮?nèi)存中可運(yùn)行代碼
a)      誘導(dǎo)用戶主動運(yùn)行
1)      Office各種宏，利用自動宏或誘導(dǎo)用戶啟動宏拉取惡意文件或代碼
2)      社工誘導(dǎo)，如im聊天誘導(dǎo)、郵件誘導(dǎo)、誘惑文件名誘導(dǎo)等等
3)      冒充正常文件名
b)     U盤自動運(yùn)行
1)     這個就不解釋了，這也是u盤被利用的原因，插入即可完成進(jìn)入和執(zhí)行兩步，高效快捷！
c)      漏洞自動運(yùn)行
1)     這個主要是代碼類，漏洞利用直接注入shellcode，修改ip運(yùn)行。
綜上，在該階段我們要獲取
1、郵件附件情況，包括下載和執(zhí)行
2、im接受文件情況，包括下載和執(zhí)行
3、u盤自動運(yùn)行情況、拷貝情況
4、office宏的執(zhí)行情況
5、瀏覽器臨時(shí)文件情況
6、共享掛載情況
7、同步盤情況
8、p2p下載情況
9、瀏覽器、下載工具等下載情況
10、應(yīng)用軟件的自動更新和更新配置情況
11、瀏覽器、郵件、其他軟件等的漏洞情況和漏洞觸發(fā)（盡可能）情況