為了幹掉戰鬥民族,它使出了自爆的0day漏洞

曾經一奶同胞的鐵哥們兒,如今卻反目成仇!

俄羅斯和烏克蘭都曾經是蘇聯的加盟國,自打2014年發生克里米亞危機后,這原本「哥倆好」的兩國關係迅速降至冰點,雙方曾一度劍拔弩張。

這不,直到現在這倆倒霉兄弟也沒消停着——11月25日,烏克蘭海軍三艘軍艦穿越俄羅斯邊境向刻赤海峽航行。對峙期間,俄羅斯船隻向烏克蘭軍艦開火併將其扣押,這正是轟動一時的「刻赤海峽」事件。

事發后,就在大家以為在國際壓力下,兩國將進行協商而平息矛盾的時候,烏克蘭國卻突然宣布進入全面戰備狀態。死對頭亮劍,俄羅斯哪能甘拜下風?隨後,俄羅斯便在克里米亞半島部署了第4個S-400「凱旋」防空導彈營,兩國之戰一觸即發。

更有媒體猜測,此次事件似乎是烏克蘭現任總理波羅申科為贏得新一屆總統選舉有意為之:為了讓事件第一次就能炸雷,波羅申科愣是在G20峰會前幾天自造「刻赤海峽事件」,使得美國總統特朗普被迫取消了原定在峰會上與普京的會晤。

 

美國:作,繼續作,倆倒霉玩意兒~

然而......還沒完!12月4日,雷鋒網獲悉360高級威脅應對團隊於11月29日在全球範圍第一時間發現了一起針對俄羅斯的APT攻擊行動。值得注意的是,此次攻擊相關樣本來源於烏克蘭,攻擊目標則直指俄羅斯聯邦總統事務管理局。

又作?接到消息后,八卦的雷鋒網趕緊找到好朋友360集團助理總裁鄭文彬聊了聊,對此次APT攻擊事件的來龍去脈做了個全面了解。

玩兒「自毀」的Flash 0day漏洞

此次APT(高級持續性威脅)攻擊被360稱作「毒針」行動,行動以一份使用了最新Flash 0day漏洞cve-2018-15982和帶有自毀功能專屬木馬程序的俄文內容員工問卷文檔為開端,攻擊過程主要分為三個階段:

1>攻擊者通過投遞rar壓縮包發起攻擊,打開壓縮包內的誘餌文檔就會中招;

 

漏洞文檔攻擊過程

2>當受害者打開員工問卷文檔后,將會播放Flash 0day文件;

 

播放Flash 0day漏洞

3>觸發漏洞后,winrar解壓程序將會操作壓縮包內文件,執行最終的PE荷載backup.exe;

 

漏洞執行進程樹

不過,這Flash 0day漏洞究竟有何神通竟被選中對具備極高敏感度的俄羅斯聯邦總統事務管理局展開攻擊?

原來,此次的CVE-2018-15982 0day漏洞是flash包com.adobe.tvsdk.mediacore.metadata中的一個UAF漏洞。利用代碼藉助該漏洞,可以實現任意代碼執行。從最終荷載分析發現, PE荷載是一個經過VMP強加密的後門程序。解密后發現,主程序主要功能為創建一個窗口消息循環,有8個主要功能線程,其中包括定時自毀線程。

也就是說,這玩意兒它帶「自毀」功能。

鄭文彬告訴雷鋒網,此次攻擊木馬的定時自毀線程可以在完成攻擊任務之後將電腦中存留的木馬病毒、日誌以及存留的痕迹全部銷毀。實際上,360安全大腦發現漏洞的過程就像在做拼圖遊戲,最終目的正是將極度碎片化的樣本通過反推來逐漸還原。」

由此來看,由於攻擊本身具備自毀屬性,此次360安全大腦在發現漏洞的過程中其操作難度自然也會增加不少。

不是首次?APT攻擊早有源頭

11月29日下午,360安全大腦所屬QEX團隊和高級威脅沙箱團隊分別通過應對高級威脅的探針技術,雲端沙箱首次探測到Flash 0Day漏洞。隨後,追日團隊對該樣本漏洞進行了分析溯源並還原了攻擊全貌,最終將其確定為一起針對俄羅斯的APT攻擊行動。

 

漏洞文檔內容

據鄭文彬分析,利用UAF漏洞,攻擊者通過強制GC獲得一個垂懸指針進行多次UAF實現任意地址讀寫繞過ASLR,最後藉助HackingTeam泄露代碼中的方式繞過DEP/CFG,執行shellcode。

也就是說,此次發起APT攻擊的攻擊者很可能是個「慣犯」,而上一次遭殃的正是這家名為HackingTeam的意大利軍火商。

作為為數不多的幾家向全世界執法機構出售監控工具的公司之一,Hacking Team幫助政府針對新聞記者、激進分子、政府中的反對派以及其他對政府可能造成的威脅因素進行入侵和監控。

2015年7月,該公司遭黑客攻擊,旗下大量網絡武器和攻擊工具泄露,黑客利用其flash漏洞進行大規模掛馬傳播,總傳播量上百萬,對整個互聯網安全構成嚴重威脅。

 

Hacking Team被攻擊 大量信息遭泄露

鄭文彬告訴雷鋒網,此類攻擊的目標很少,一般集中在國家機構,但引起的危害就如同蝴蝶效應一般,會引發巨大風暴。

舉個例子,2015年聖誕節期間,烏克蘭國家電力部門遭受了APT攻擊,烏克蘭西部140萬名居民在嚴冬遭遇大規模停電事故,城市陷入一片恐慌。

可見,跨國APT攻擊事件若沒有被及時發現並制止,其後果不堪設想。

那麼,此次APT攻擊事件的背後,攻擊者的目的又是什麼呢?

據該機構的官網信息顯示,被攻擊機構所屬俄羅斯聯邦總統事務管理局,是專門為俄羅斯聯邦最高行政、立法、司法當局的工作人員、科學家和藝術家提供服務的專業醫療機構。

雖然目前還無法確定攻擊者的動機和身份,但考慮到該醫療機構的特殊背景和服務的敏感人群,這也使此次攻擊表現出了一些定向性。

 

該醫院機構介紹

值得慶幸的是,攻擊事件發生后,360第一時間將0day漏洞的細節報告了Adobe官方。12月5日,Adobe官方加急發佈了Flash 32.0.0.101版本修復了此次的0day漏洞並致謝360團隊。

網友:忙幫了,Adobe不給點獎勵?

發現漏洞后,360選擇最先在微博上公開此次監測的詳細過程。截止今日,已經有大批網友留言評論,其內容可謂是腦洞大開。

而採訪過程中,雷鋒網也從中挑選出兩條問題來詢問了鄭文彬:

微博昵稱為@鋼冰水火的網友:「忙也幫了,Adobe 就不考慮給點兒獎勵嗎?」

鄭文彬:我覺得這是分兩面的,首先360自己會發現很多漏洞去反饋給廠商,各別廠商會設立相應獎勵計劃;另外,如果漏洞已被黑客利用,這種情況屬於0Day漏洞已被攻擊,危險等級也會提高,一經發現廠商將更加重視;

微博昵稱為@不返之六號歸復者:「美國的兩線進攻?我猜老美背後操刀的可能性有85%。」

鄭文彬:對於沒有數據支撐的個人推測是不可信的,360完全通過現有樣本來分析相關證據,進而確定此次APT攻擊事件的指向,目前尚不能確定具體的攻擊者身份或者攻擊者的明確意圖。

 

實際上,漏洞被發現並曝光之後不光對廠商起到了預警效果,同時也會使得攻擊計劃暫時擱淺或者不再執行,這也為阻止APT攻擊事件持續發酵起到了積極作用。

「以人工智能技術為支撐,360安全大腦已經實現在百億級樣本中追蹤高級威脅攻擊,這將為複雜的網絡系統鑄造一堵攻不破的「防火牆」。」

你認為此次APT攻擊是否與「刻赤海峽」事件有着必然聯繫呢?對於此次APT攻擊行動你又有怎樣的獨到見解呢?快在文末留言分享給大家吧!


想在手機閱讀更多中國內地資訊資訊?下載【香港矽谷】Android應用
分享到Facebook
技術平台: Nasthon Systems