APT組織使用的10大安全漏洞分別是什么

小編今天帶大家了解APT組織使用的10大安全漏洞分別是什么，文中知識點介紹的非常詳細(xì)。覺得有幫助的朋友可以跟著小編一起瀏覽文章的內(nèi)容，希望能夠幫助更多想解決這個問題的朋友找到問題的答案，下面跟著小編一起深入學(xué)習(xí)“APT組織使用的10大安全漏洞分別是什么”的知識吧。

創(chuàng)新互聯(lián)堅持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：成都網(wǎng)站設(shè)計、網(wǎng)站建設(shè)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時代的白云鄂網(wǎng)站設(shè)計、移動媒體設(shè)計的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

概述

APT攻擊（Advanced Persistent Threat，高級持續(xù)性威脅）是利用先進的攻擊手段對特定目標(biāo)進行長期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式。APT攻擊的原理相對于其他攻擊形式更為高級和先進，其高級性主要體現(xiàn)在精確的信息收集、高度的隱蔽性、以及使用各種復(fù)雜的目標(biāo)系統(tǒng)/應(yīng)用程序漏洞等方面。

為了能夠更加全面的了解全球APT研究的前沿成果，360威脅情報中心對APT攻擊中最重要的部分（APT組織所使用的安全漏洞）進行了梳理，在參考了各類APT研究報告和研究成果、APT攻擊活動或APT組織最常使用的漏洞、以及漏洞的價值等幾項指標(biāo)后，并結(jié)合360威脅情報中心對APT攻擊這類網(wǎng)絡(luò)戰(zhàn)的理解，篩選出近年來APT組織所使用的10大（類）安全漏洞。

在本報告中360威脅情報中心首先會闡述APT組織使用的主流漏洞的價值評定標(biāo)準(zhǔn)和各APT組織最常用的漏洞類別，這些組成了評選這10大（類）漏洞的主要觀點和理由。然后針對APT組織使用的10大（類）安全漏洞選出最具代表性的單個漏洞，并對每個漏洞的背景、利用及影響范圍、相關(guān)APT組織和重要事件進行介紹，之后提出對每類漏洞的防護對策和建議。最后，基于之前章節(jié)的分析，360威脅情報中心針對APT使用的漏洞發(fā)展趨勢進行了總結(jié)并提出了自己的一些結(jié)論。

主要觀點

方程式一類的頂尖APT組織所使用的漏洞攻擊技術(shù)遠(yuǎn)遠(yuǎn)領(lǐng)先其他APT組織

方程式一類的頂尖APT組織的攻擊技術(shù)、網(wǎng)絡(luò)戰(zhàn)思維遠(yuǎn)遠(yuǎn)領(lǐng)先于其他APT組織?？梢詫⒎匠淌揭活惤M織的APT攻擊技術(shù)劃分為一類，其它組織的APT攻擊技術(shù)劃分為另外一類。這主要體現(xiàn)在頂尖的APT攻擊主要是通過底層植入，攻擊核心路由/防火墻等網(wǎng)絡(luò)基礎(chǔ)設(shè)施，攻擊網(wǎng)絡(luò)服務(wù)器等來實現(xiàn)定點精確打擊。而其它APT組織則主要通過釣魚類攻擊配合客戶端漏洞來實施APT攻擊。

   

方程式組織 Quantuminsert（量子植入）通過攻擊網(wǎng)絡(luò)基礎(chǔ)設(shè)施實現(xiàn)定點打擊

狹義漏洞分類

我們可以狹義的將APT組織常用的漏洞分為攻擊網(wǎng)絡(luò)基礎(chǔ)設(shè)施/服務(wù)器/服務(wù)類的漏洞和攻擊客戶端應(yīng)用軟件類的漏洞。

網(wǎng)絡(luò)基礎(chǔ)設(shè)施/服務(wù)器/服務(wù)類漏洞

這類漏洞主要影響網(wǎng)絡(luò)基礎(chǔ)設(shè)施（路由交換設(shè)備、防火墻等）、服務(wù)器、各類服務(wù)（SMB/RPC/IIS/遠(yuǎn)程桌面等等）。攻擊者通常可以通過使用相應(yīng)的漏洞攻陷核心網(wǎng)絡(luò)設(shè)施進而橫向移動或者進一步向網(wǎng)絡(luò)中的其它客戶端植入惡意代碼，危害巨大，從公開信息來看，這類漏洞主要為方程式一類的頂尖APT組織所使用。

客戶端軟件類漏洞

這類漏洞主要通過釣魚類攻擊手段實施攻擊，主要針對客戶端應(yīng)用軟件，比如瀏覽器、Office辦公軟件、PDF等等，這類漏洞的缺點是需要目標(biāo)用戶交互，所以漏洞價值整體低于攻擊服務(wù)端的漏洞價值。

APT組織十大（類）漏洞

360威脅情報中心評選出了APT組織近年來使用的10大（類）漏洞，這其中包含了2類服務(wù)端漏洞，8類客戶端漏洞。服務(wù)端漏洞中包含了NSA網(wǎng)絡(luò)武器庫中的防火墻設(shè)備漏洞和“永恒之藍(lán)”使用的SMB協(xié)議漏洞?？蛻舳寺┒粗邪艘苿佣薃ndroid和iOS的2類漏洞，4類微軟Office軟件漏洞以及Flash類漏洞和Windows提權(quán)漏洞。

360威脅情報中心將會針對每類漏洞的背景、漏洞利用、相關(guān)漏洞及影響范圍、相關(guān)APT組織及事件、補丁及解決方案等分別進行介紹。

1.     防火墻設(shè)備漏洞

防火墻作為網(wǎng)絡(luò)邊界設(shè)備，通常不屬于攻擊者攻擊的目標(biāo)，尤其在APT領(lǐng)域中針對防火墻設(shè)備的漏洞就更為少見，直到2016年第一批Shadow Broker泄露的工具中大量針對防火墻及路由設(shè)備的工具被曝光，方程式組織多年來直接攻擊邊界設(shè)備的活動才被徹底曝光，此處我們選擇 CVE-2016-6366作為這類漏洞的典型代表。

而方程式組織的Quantum insert（量子植入攻擊工具）則正是通過入侵邊界防火墻、路由設(shè)備等來監(jiān)聽/識別網(wǎng)絡(luò)內(nèi)的受害者虛擬ID，進而向被攻擊者的網(wǎng)絡(luò)流量中“注入”相應(yīng)應(yīng)用程序（比如IE瀏覽器）的漏洞攻擊代碼進行精準(zhǔn)的惡意代碼植入。

1)漏洞概述

2016年8月13日客組織ShadowBrokers聲稱攻破了為NSA開發(fā)網(wǎng)絡(luò)武器的黑客團隊Equation Group，并公開其內(nèi)部使用的相關(guān)工具，EXBA-extrabacon工具，該工具基于0-day漏洞CVE-2016-6366，為Cisco防火墻SNMP服務(wù)模塊的一處緩沖區(qū)溢出漏洞。

2)漏洞詳情

CVE-2016-6366（基于Cisco防火墻SNMP服務(wù)模塊的一處緩沖區(qū)溢出漏洞），目標(biāo)設(shè)備必須配置并啟用SNMP協(xié)議，同時必須知道SNMP的通信碼，漏洞執(zhí)行之后可關(guān)閉防火墻對Telnet/SSH的認(rèn)證，從而允許攻擊者進行未授權(quán)的操作。

如下所示sub_817A5A0為對應(yīng)固件中自實現(xiàn)的copy函數(shù)，函數(shù)內(nèi)部沒有檢測長度，函數(shù)的調(diào)用方同樣也沒有對拷貝的長度進行檢測，從而導(dǎo)致溢出。

   

最終可實現(xiàn)任意Telnet登陸：

   

3)相關(guān)CVE

CVE編號	漏洞說明
CVE-2016-6366	SNMP服務(wù)模塊的一處緩沖區(qū)溢出漏洞
CVE-2016-6367	遠(yuǎn)程代碼執(zhí)行

4)相關(guān)APT組織

APT組織	CVE編號
Equation Group	CVE-2016-6366
Equation Group	CVE-2016-6367

5)相關(guān)APT事件

NSA針對全球范圍實施的絕密電子監(jiān)聽計劃（棱鏡計劃）。

6)補丁及解決方案

及時更新網(wǎng)絡(luò)邊界設(shè)備固件

軟件廠商思科已經(jīng)發(fā)布了漏洞相應(yīng)的補丁

https://blogs.cisco.com/security/shadow-brokers

2.     SMB通信協(xié)議漏洞

SMB（Server MessageBlock）通信協(xié)議是微軟（Microsoft）和英特爾（Intel）在1987年制定的協(xié)議，主要是作為Microsoft網(wǎng)絡(luò)的通訊協(xié)議。

2017年4月14日ShadowBrokers公布了之前泄露文檔中出現(xiàn)的Windows相關(guān)部分的文件，該泄露資料中包含了一套針對Windows系統(tǒng)相關(guān)的遠(yuǎn)程代碼利用框架（涉及的網(wǎng)絡(luò)服務(wù)范圍包括SMB、RDP、IIS及各種第三方的郵件服務(wù)器），其中一系列的SMB遠(yuǎn)程漏洞0day工具（EternalBlue，Eternalromance，Eternalchampoin，Eternalsynergy）之后被集成到多個蠕蟲家族中，同年5月12日爆發(fā)的WanaCry當(dāng)時就集成了EternalBlue。

1)漏洞概述

EternalBlue工具使用了SMB協(xié)議中的三處漏洞，其中主體的越界內(nèi)存寫漏洞隸屬于微軟MS17-010補丁包中的CVE-2017-0144，通過該集成的工具，攻擊者可以直接遠(yuǎn)程獲取漏洞機器的控制權(quán)限。

2)漏洞詳情

EternalBlue中的核心了漏洞為CVE-2017-0144，該漏洞通過SMB協(xié)議的SMB_COM_TRANSACTION2命令觸發(fā)，當(dāng)其中的FEALIST字段長度大于10000時將導(dǎo)致內(nèi)存越界寫，由于SMB_COM_TRANSACTION2命令本身FEA LIST的長度最大為FFFF，因此這里就涉及到第二處漏洞，即SMB_COM_TRANSACTION2可被混淆為SMB_COM_NT_TRANSACT，從而實現(xiàn)發(fā)送一個FEA LIST字段長度大于10000的SMB_COM_TRANSACTION2命令，實現(xiàn)越界寫，最后通過第三個漏洞進行內(nèi)存布局，最終實現(xiàn)代碼執(zhí)行。

3)相關(guān)CVE

ShadowBrokers泄露的SMB攻擊工具，通過MS17-010補丁進行修補，其中涵蓋CVE-2017-0143，CVE-2017-0144，CVE-2017-0145，CVE-2017-0146，CVE-2017-0148五個漏洞，包含幾處SMB協(xié)議中的缺陷，通過相互組合從而形成了Shadow Brokers泄露工具中針對SMB協(xié)議的永恒系列武器。

CVE編號	漏洞說明
CVE-2017-0143 CVE-2017-0144 CVE-2017-0145 CVE-2017-0146 CVE-2017-0148	SMB協(xié)議漏洞

4)相關(guān)組織

該泄露的工具本身出自NSA旗下的黑客組織EquationGroup，相關(guān)工具泄露后為大量的勒索，蠕蟲所使用。

相關(guān)APT組織	相關(guān)漏洞
Equation group	Enternal系列
疑似Lazarus	Enternalblue

5)相關(guān)事件

2017年5月12日全球爆發(fā)大范圍的Wanacry勒索蠕蟲事件，之后被證明和Lazarus有關(guān)。

   

6)補丁解決方案

及時更新操作系統(tǒng)補丁。

軟件廠商微軟已經(jīng)發(fā)布了漏洞相應(yīng)的補?。?/p>

https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

3.     Office OLE2Link邏輯漏洞

Office OLE2Link是微軟辦公軟件（Office）中的一個重要特性，它允許Office文檔通過對象鏈接技術(shù)在文檔中插入遠(yuǎn)程對象，在文檔打開時自動加載處理。由于設(shè)計不當(dāng)，在這個處理過程中出現(xiàn)了嚴(yán)重的邏輯漏洞，而我們選擇CVE-2017-0199為這類漏洞的典型代表。

1)漏洞概述

2017年4月7日McAfee與FireEye的研究員爆出微軟OfficeWord的一個0-day漏洞的相關(guān)細(xì)節(jié)（CVE-2017-0199）。攻擊者可以向受害人發(fā)送一個帶有OLE2link對象附件的惡意文檔，誘騙用戶打開。當(dāng)用戶打開惡意文檔時，Office OLE2Link機制在處理目標(biāo)對象上沒有考慮相應(yīng)的安全風(fēng)險，從而下載并執(zhí)行惡意HTML應(yīng)用文件（HTA）。

2)漏洞詳情

CVE-2017-0199利用了OfficeOLE2Link對象鏈接技術(shù)，將惡意鏈接對象嵌入在文檔中，之后調(diào)用URL Moniker將惡意鏈接中的HTA文件下載到本地，URLMoniker通過識別響應(yīng)頭中content-type的字段，最終調(diào)用mshta.exe執(zhí)行HTA文件中的攻擊代碼。

在影響面方面，CVE-2017-0199幾乎影響了所有版本的Office軟件，是歷來Office漏洞中影響面最廣的漏洞之一，并且易于構(gòu)造，觸發(fā)穩(wěn)定，這使得其在2017年的BlackHat黑帽大會上被評為最佳客戶端安全漏洞。

3)相關(guān)CVE

對于CVE-2017-0199，微軟采取了一種叫做“COMActivation Filter”的機制，修補程序直接封鎖了兩個危險的CLSID，{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}（“htafile” 對象）和{06290BD3-48AA-11D2-8432-006008C3FBFC}（“script” 對象）。而CVE-2017-8570則利用了一個其他的對象：“ScriptletFile”，CLSID 是“{06290BD2-48AA-11D2-8432-006008C3FBFC}”，從而繞過了CVE-2017-0199的補丁。

CVE編號	漏洞說明
CVE-2017-0199	Office OLE2Link遠(yuǎn)程代碼執(zhí)行漏洞
CVE-2017-8570	Office OLE2Link遠(yuǎn)程代碼執(zhí)行漏洞

4)相關(guān)APT組織

OfficeOLE2Link邏輯漏洞原理簡單，易于構(gòu)造，觸發(fā)穩(wěn)定，深受APT組織的青睞，已經(jīng)被大部分APT組織納入攻擊武器庫。

相關(guān)APT組織	CVE編號
摩訶草、APT37	CVE-2017-0199
摩訶草	CVE-2017-8570

5)相關(guān)APT事件

2017年6月，烏克蘭等國遭受大規(guī)模Petya變種勒索病毒攻擊，攻擊者使用Microsoft Office遠(yuǎn)程執(zhí)行代碼漏洞（CVE-2017-0199）通過電子郵件進行投遞，感染成功后利用永恒之藍(lán)漏洞進行傳播。

2018年3月360威脅情報中心發(fā)布報告《摩訶草APT組織針對我國敏感機構(gòu)最新的網(wǎng)絡(luò)攻擊活動分析》稱摩訶草組織（APT-C-09）針對我國敏感機構(gòu)使用了帶有CVE-2017-8570漏洞的魚叉郵件進行定向攻擊：

   

6)補丁及解決方案

盡量不要打開來源不明的文檔，也可以使用360安全衛(wèi)士之類的防病毒軟件對文檔進行掃描后再打開以盡可能降低風(fēng)險，如果有條件盡量使用虛擬機打開陌生文檔。

軟件廠商微軟已經(jīng)發(fā)布了漏洞相應(yīng)的補?。?/p>

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8570

4.     Office公式編輯器漏洞

EQNEDT32.EXE（Microsoft公式編輯器），該組件首發(fā)于MicrosoftOffice 2000和Microsoft 2003，以用于向文檔插入和編輯方程式，雖然從Office 2007之后，方程式相關(guān)的編輯發(fā)生了變化，但為了保持版本的兼容性，EQNEDT32.EXE本身也沒有從Office套件中刪除。而該套件自17年前編譯之后就從未被修改，這就意味著其沒有任何安全機制（ASLR，DEP，GS cookies…）。并且由于EQNEDT32.EXE進程使用DCOM方式啟動而獨立于Office進程，從而不受Office高版本的沙盒保護，所以該類漏洞具有天生“繞過”沙盒保護的屬性，危害巨大。此處我們選擇該組件下發(fā)現(xiàn)的第一個漏洞CVE-2017-11882作為該類漏洞的典型。

1)漏洞概述

2017年11月14日，Embedi發(fā)布博文Skeletonin the closet. MS Office vulnerability you didn’t know about，該文章就EQNEDT32.EXE中出現(xiàn)的CVE-2017-11882漏洞的發(fā)現(xiàn)和利用進行了分析，CVE-2017-11882為公式Font Name字段解析時的緩沖區(qū)溢出漏洞，通過構(gòu)造帶有非法公式的Doc/RTF文檔，可導(dǎo)致代碼執(zhí)行。

2)漏洞詳情

CVE-2017-11882為一處棧溢出漏洞，如下所示紅框中的Font Name字段最終會導(dǎo)致棧溢出，返回地址被覆蓋為00430c12，該地址指向WinExe函數(shù)，父函數(shù)第一個參數(shù)正好指向構(gòu)造字符，從而導(dǎo)致WinExe執(zhí)行構(gòu)造字符中的命令。

   

3)相關(guān)CVE

自2017年11月14日后，CVE-2018-0802/CVE-2018-0798兩個EQNEDT32.EXE相關(guān)的漏洞相繼被發(fā)現(xiàn)。

CVE編號	漏洞說明
CVE-2017-11882	Font Name字段溢出
CVE-2018-0802	lfFaceName字段溢出
CVE-2018-0798	matrix record解析棧溢出

4)相關(guān)APT組織

相關(guān)APT組織	CVE編號
APT34	CVE-2017-11882
摩訶草	CVE-2017-11882

5)相關(guān)APT事件

APT34通過CVE-2017-11882投遞魚叉郵件攻擊中東多國金融政府機構(gòu)。

6)補丁及解決方案

個人用戶下載打開來源不明的文檔需要非常謹(jǐn)慎，使用360安全衛(wèi)士之類的防病毒木馬流氓軟件的工具進行掃描以盡可能降低風(fēng)險，如果有條件盡量使用虛擬機打開陌生文檔。

軟件廠商微軟已經(jīng)發(fā)布了漏洞相應(yīng)的補?。?/p>

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0802

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0798

5.     OOXML類型混淆漏洞

OOXML是微軟公司為Office2007產(chǎn)品開發(fā)的技術(shù)規(guī)范，現(xiàn)已成為國際文檔格式標(biāo)準(zhǔn)，兼容前國際標(biāo)準(zhǔn)開放文檔格式和中國文檔標(biāo)準(zhǔn)“標(biāo)文通”，Office富文本中本身包含了大量的XML文件，由于設(shè)計不當(dāng)，在對其中的XML文件進行處理的時候，出現(xiàn)了嚴(yán)重的混淆漏洞，最典型的包括CVE-2015-1641，CVE-2017-11826，這里我們選擇近年來最流行的OOXML類型混淆漏洞CVE-2015-1641作為典型代表。

1)漏洞概述

2015年4月，微軟修補了一個CVE編號為CVE-2015-1641的Office Word類型混淆漏洞。OfficeWord在解析Docx文檔displacedByCustomXML屬性時未對customXML對象進行驗證，造成類型混淆，導(dǎo)致任意內(nèi)存寫，最終經(jīng)過精心構(gòu)造的標(biāo)簽以及對應(yīng)的屬性值可以造成遠(yuǎn)程任意代碼執(zhí)行。這是第一個利用成功率非常高且被APT組織頻繁使用的OOXML類型混淆漏洞。

2)漏洞詳情

CVE-2015-1641中，由于OfficeWord沒有對傳入的customXML對象進行嚴(yán)格的校驗，導(dǎo)致可以傳入比如smartTag之類的對象，然而smartTag對象的處理流程和customXML并不相同，如果customXML標(biāo)簽被smartTag標(biāo)簽通過某種方法混淆解析，那么smartTag標(biāo)簽中的element屬性值會被當(dāng)作是一個地址，隨后經(jīng)過簡單的計算得到另一個地址。最后處理流程會將moveFromRangeEnd的id值覆蓋到之前計算出來的地址中，導(dǎo)致任意內(nèi)存寫入。然后通過寫入可控的函數(shù)指針，以及通過Heap    Spray精心構(gòu)造內(nèi)存布局，最終導(dǎo)致代碼執(zhí)行：

   

3)相關(guān)CVE

2017年9月28日，360追日團隊捕獲了一個利用Office0day漏洞（CVE-2017-11826）的在野攻擊，該漏洞幾乎影響微軟目前所支持的所有Office版本，在野攻擊只針對特定的Office版本。攻擊者以在RTF文檔中嵌入了惡意Docx內(nèi)容的形式進行攻擊。

CVE編號	漏洞說明
CVE-2015-1641	customXML對象類型混淆
CVE-2017-11826	XML中的idmap標(biāo)簽計算錯誤導(dǎo)致混淆

4)相關(guān)APT組織

CVE-2015-1641相關(guān)的利用技術(shù)早已公開，且該漏洞利用的成功率非常高，所以該漏洞在Office OLE2Link邏輯漏洞還未曾風(fēng)靡之前是各大APT組織最常用的Office漏洞之一。

相關(guān)APT組織	CVE編號
摩訶草、APT28	CVE-2015-1641
東亞某未知APT組織	CVE-2017-11826

5)相關(guān)APT事件

摩訶草APT組織自2016年以來針對我國的多起攻擊事件大量使用了包含CVE-2015-1641的漏洞文檔。

6)補丁及解決方案

個人用戶下載打開來源不明的文檔需要非常謹(jǐn)慎，使用360安全衛(wèi)士之類的防病毒木馬流氓軟件的工具進行掃描以盡可能降低風(fēng)險，如果有條件盡量使用虛擬機打開陌生文檔。

軟件廠商微軟已經(jīng)發(fā)布了漏洞相應(yīng)的補?。?/p>

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8570

6.     EPS（EncapsulatedPost Script）腳本解析漏洞

EPS全稱EncapsulatedPost Script，屬于PostScript的延伸類型，適用于在多平臺及高分別率輸出設(shè)備上進行色彩精確的位圖及向量輸出，因此在Office中也引進了相應(yīng)的支持，但是自2015年起多個Office中EPS相關(guān)的漏洞被利用，其中包括CVE-2015-2545，CVE-2017-0261，CVE-2017-0262，最終導(dǎo)致微軟不得不禁用Office中的EPS組件，而此處我們選擇以CVE-2017-0262作為典型代表。

1)漏洞概述

2017年5月7日FireEye研究員在文章EPSProcessing Zero-Days Exploited by Multiple Threat Actors中披露了多個EPS0-day漏洞的在野利用，其中就包含CVE-2017-0262，CVE-2017-0262為ESP中forall指令中的一處漏洞，由于forall指令對參數(shù)校驗不當(dāng)，導(dǎo)致代碼執(zhí)行。

2)漏洞詳情

CVE-2017-0262的利用樣本中首先對實際的EXP進行了四字節(jié)的xor編碼，key為c45d6491：

   

漏洞的關(guān)鍵點在于以下一行的代碼，在EPS中forall指令會對第一個參數(shù)中的每一個對象執(zhí)行處理函數(shù)proc（即第二個參數(shù)），此處由于對第二個參數(shù)的類型判斷不嚴(yán)格，導(dǎo)致0xD80D020這個攻擊者之前通過堆噴控制的內(nèi)存地址被作為處理函數(shù)的地址，從而esp堆棧被控制，致使最后的代碼執(zhí)行：

   

3)相關(guān)CVE

CVE編號	漏洞說明
CVE-2015-2545	UAF漏洞
CVE-2017-0261	Save，restore指令中的UAF漏洞
CVE-2017-0262	forall參數(shù)類型校驗不嚴(yán)格導(dǎo)致代碼執(zhí)行

4)相關(guān)APT組織

由于EPS漏洞本身利用難度較大，且EPS自O(shè)ffice 2010之后就處于沙箱中隔離執(zhí)行，因此往往還需要提權(quán)漏洞輔助，因此該系列漏洞的使用者往往是知名的大型APT組織。

相關(guān)APT組織	CVE編號
未披露	CVE-2015-2545
Turla	CVE-2017-0261
APT28	CVE-2017-0262

5)相關(guān)APT事件

APT28組織通過發(fā)送魚叉郵件（CVE-2017-0262/CVE-2017-0263）攻擊影響法國大選，郵件為附件為一個名為Trump’s_Attack_on_Syria_English.docx的Office文件，導(dǎo)致當(dāng)時馬克龍競選團隊多達(dá)9G的數(shù)據(jù)被上傳到外網(wǎng)。

   

6)補丁及解決方案

個人用戶下載打開來源不明的文檔需要非常謹(jǐn)慎，使用360安全衛(wèi)士之類的防病毒木馬流氓軟件的工具進行掃描以盡可能降低風(fēng)險，如果有條件盡量使用虛擬機打開陌生文檔。

軟件廠商微軟已經(jīng)發(fā)布了漏洞相應(yīng)的補?。?/p>

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-2545

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0261

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0262

7.     Windows提權(quán)漏洞

近年來針對Windows客戶端的漏洞攻擊越來越多，這直接導(dǎo)致各大廠商對其客戶端軟件引入了“沙盒”保護技術(shù)，其核心思想即是將應(yīng)用程序運行在隔離環(huán)境中，隔離環(huán)境通常是一個低權(quán)限的環(huán)境，也可以把沙盒看做是一個虛擬的容器，讓不是很安全的程序在運行的過程中，即便客戶端軟件遭受惡意代碼的入侵也不會對使用者的計算機系統(tǒng)造成實際威脅。

引入了“沙盒”保護的?？蛻舳顺绦蛴校篒E/Edge瀏覽器、Chrome瀏覽器、Adobe Reader、微軟Office辦公軟件等等。而客戶端程序漏洞如果配合Windows提權(quán)漏洞則可以穿透應(yīng)用程序“沙盒”保護。

1)漏洞概述

在對Office辦公軟件的EPS（EncapsulatedPost Script）組件進行漏洞攻擊的過程中，由于Office 2010及其高版本上的EPS腳本過濾器進程fltldr.exe被保護在低權(quán)限沙盒內(nèi)，要攻破其中的低權(quán)限沙盒保護措施，攻擊者就必須要使用遠(yuǎn)程代碼執(zhí)行漏洞配合內(nèi)核提權(quán)漏洞進行組合攻擊。所以我們選擇Win32k.sys中的本地權(quán)限提升漏洞（CVE-2017-0263）這一個配合EPS類型混淆漏洞（CVE-2017-0262）進行組合攻擊的提權(quán)漏洞作為典型代表。

2)漏洞詳情

CVE-2017-0263漏洞利用代碼首先會創(chuàng)建三個PopupMenus，并添加相應(yīng)的菜單。由于該UAF漏洞出現(xiàn)在內(nèi)核的WM_NCDESTROY事件中，并會覆蓋wnd2的tagWnd結(jié)構(gòu)，這樣可以設(shè)置bServerSideWindowProc標(biāo)志。一旦設(shè)置了bServerSideWindowProc，用戶模式的WndProc過程就會被視為內(nèi)核回調(diào)函數(shù)，所以會從內(nèi)核上下文中進行調(diào)用。而此時的WndProc則被攻擊者替換成了內(nèi)核ShellCode，最終完成提權(quán)攻擊。

3)相關(guān)CVE

CVE編號	漏洞說明
CVE-2015-2546	Win32k內(nèi)存損壞特權(quán)提升漏洞
CVE-2016-7255	Win32k本地權(quán)限提升漏洞
CVE-2017-0001	Windows GDI權(quán)限提升漏洞
CVE-2017-0263	Win32k釋放后重用特權(quán)提升漏洞

4)相關(guān)APT組織

相關(guān)APT組織	CVE編號
未披露	CVE-2015-2546
Turla	CVE-2016-7255、CVE-2017-0001
APT28	CVE-2017-0263

5)相關(guān)APT事件

針對日本和臺灣的APT攻擊以及APT28針對法國大選等攻擊事件。

6)補丁及解決方案

個人用戶下載打開來源不明的文檔需要非常謹(jǐn)慎，使用360安全衛(wèi)士之類的防病毒木馬流氓軟件的工具進行掃描以盡可能降低風(fēng)險，如果有條件盡量使用虛擬機打開陌生文檔。

軟件廠商微軟已經(jīng)發(fā)布了漏洞相應(yīng)的補丁：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-2546

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2016-7255

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0001

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0263

8.     Flash漏洞

Flashplayer因為其跨平臺的普及性，一直為各個APT組織關(guān)注，從2014年起，F(xiàn)lash漏洞開始爆發(fā)，尤其到2015年，HackingTeam泄露數(shù)據(jù)中兩枚0-day漏洞CVE-2015-5122/CVE-2015-5199，F(xiàn)lash漏洞相關(guān)的利用技術(shù)公開，F(xiàn)lash漏洞開始成為APT組織的新寵，盡管之后Adobe和Google合作，多個Flash安全機制陸續(xù)出爐（如隔離堆，vector length檢測），大大提高了Flash漏洞利用的門檻，但也不乏出現(xiàn)CVE-2015-7645這一類混淆漏洞的怪咖。這里我們選擇不久前發(fā)現(xiàn)的在野0-day    CVE-2018-4878作為這類漏洞的典型代表。

1)漏洞概述

2018年1月31日，韓國CERT發(fā)布公告稱發(fā)現(xiàn)Flash0day漏洞（CVE-2018-4878）的野外利用，攻擊者通過發(fā)送包含嵌入惡意Flash對象的Office Word附件對指定目標(biāo)進行攻擊。

2)漏洞詳情

CVE-2018-4878通過Flash om.adobe.tvsdk包中的DRMManager對象進行攻擊，如下代碼所示，triggeruaf函數(shù)中創(chuàng)建一個MyListener對象實例，通過initialize進行初始化，并將該實例設(shè)置為null，之后的第一個LocalConnection().connect()會導(dǎo)致gc回收該實例內(nèi)存，第二次LocalConnection().connect()時觸發(fā)異常，在異常處理中會創(chuàng)建一個新的MyListener實例，內(nèi)存管理器會將之前MyListener對象實例的內(nèi)存分配給新對象，即此處的danglingpointer，設(shè)置timer，在其回調(diào)函數(shù)中檢測uaf是否觸發(fā)，成功則通過Mem_Arr進行站位：

   

       

3)相關(guān)CVE

CVE編號	漏洞說明
CVE-2017-11292	UAF
CVE-2018-4878	UAF

4)相關(guān)APT組織

相關(guān)APT組織	CVE編號
APT28	CVE-2017-11292, CVE-2018-4878
Group 123	CVE-2018-4878

5)相關(guān)APT事件

Group123利用CVE-2018-4878攻擊韓國敏感部門。

6)補丁及解決方案

個人用戶下載打開來源不明的文檔需要非常謹(jǐn)慎，使用360安全衛(wèi)士之類的防病毒木馬流氓軟件的工具進行掃描以盡可能降低風(fēng)險，如果有條件盡量使用虛擬機打開陌生文檔。

軟件廠商adobe已經(jīng)發(fā)布了漏洞相應(yīng)的補?。?/p>

https://helpx.adobe.com/security/products/flash-player/apsb18-03.html

https://helpx.adobe.com/security/products/flash-player/apsb17-32.html

9.     iOS三叉戟漏洞

iOS三叉戟漏洞是目前唯一一個公開披露的針對iOS系統(tǒng)瀏覽器的遠(yuǎn)程攻擊實例，并真實用于針對特點目標(biāo)的APT攻擊中。

1) 漏洞概述

iOS三叉戟漏洞是指針對iOS9.3.5版本之前的iOS系統(tǒng)的一系列0 day漏洞，其利用了3個0 day漏洞，包括一個WebKit漏洞，一個內(nèi)核地址泄露漏洞和一個提權(quán)漏洞。通過組合利用三個0 day漏洞可以實現(xiàn)遠(yuǎn)程對iOS設(shè)備的越獄，并且安裝運行任意惡意代碼。

2) 漏洞詳情

iOS三叉戟漏洞利用載荷可以通過訪問特定的URL觸發(fā)，所以可以通過短信、郵件、社交網(wǎng)絡(luò)或者即時通訊等發(fā)送惡意鏈接誘導(dǎo)目標(biāo)人員點擊打開鏈接實現(xiàn)漏洞的觸發(fā)。由于WebKit JavaScriptCore庫存在任意代碼執(zhí)行漏洞，當(dāng)Safari瀏覽器訪問惡意鏈接并觸發(fā)惡意的JavaScript載荷執(zhí)行，其利用代碼進入Safari WebContent進程空間。其隨后利用另外兩個漏洞實現(xiàn)權(quán)限提升，并越獄掉iOS設(shè)備。最后三叉戟漏洞可以實現(xiàn)下載和運行用于持久性控制的惡意模塊。

       

圖片來源[3]

3)相關(guān)CVE

iOS三叉戟漏洞涉及3個0 day漏洞，其CVE編號及相關(guān)信息如下表所示：

CVE編號	漏洞說明
CVE-2016-4655	內(nèi)核信息泄露
CVE-2016-4656	提權(quán)
CVE-2016-4657	WebKit遠(yuǎn)程代碼執(zhí)行

4)相關(guān)APT組織和事件

三叉戟漏洞的最初發(fā)現(xiàn)是因為阿聯(lián)酋一名重要的人權(quán)捍衛(wèi)者Ahmed Mansoor在2016年8月10日和11日，其iPhone手機收到兩條短信，內(nèi)容為點擊鏈接可以查看關(guān)于關(guān)押在阿聯(lián)酋監(jiān)獄犯人遭受酷刑的秘密內(nèi)容。其隨后將短信內(nèi)容轉(zhuǎn)發(fā)給公民實驗室(Citizen Lab)，由公民實驗室和Lookout安全公司聯(lián)合分析發(fā)現(xiàn)，最后發(fā)現(xiàn)該三叉戟漏洞和相關(guān)惡意載荷與著名的以色列間諜軟件監(jiān)控公司NSO Group有關(guān)。

       

圖片來源[1]

5)補丁及解決方案

蘋果公司隨后在2016年8月25日發(fā)布iOS 9.3.5，修補了三叉戟漏洞[2]。

10.Android瀏覽器remote2local漏洞利用

該Android瀏覽器漏洞利用代碼的泄露揭示了網(wǎng)絡(luò)軍火商和政府及執(zhí)法機構(gòu)利用遠(yuǎn)程攻擊漏洞針對Android用戶的攻擊和監(jiān)控，并且該漏洞利用過程實現(xiàn)幾乎完美，也體現(xiàn)了漏洞利用技術(shù)的藝術(shù)特點。

該漏洞利用代碼幾乎可以影響當(dāng)時絕大多數(shù)主流的Android設(shè)備和系統(tǒng)版本。

1）漏洞概述

Android瀏覽器remote2local漏洞利用是2015年7月Hacking Team遭受入侵并泄露內(nèi)部源代碼資料事件后，其泄露源代碼中包含了針對Android 4.0.x-4.3.x系統(tǒng)版本的瀏覽器的攻擊利用代碼，其可以達(dá)到遠(yuǎn)程代碼執(zhí)行，并執(zhí)行提權(quán)代碼提升至root權(quán)限，最后達(dá)到靜默安裝惡意程序的目的。

該漏洞利用的組合了GoogleChrome的三個N-day漏洞和針對Android系統(tǒng)的提權(quán)漏洞完成完整的利用攻擊過程。

       

2）漏洞詳情

該Android瀏覽器漏洞利用主要因為WebKit中關(guān)于XML語言解析和XSLT轉(zhuǎn)換的libxslt庫，其利用過程實際上是基于多個漏洞的組合利用過程。其首先利用一個信息泄露漏洞獲取內(nèi)存地址相關(guān)信息，并利用內(nèi)存任意讀寫構(gòu)造ROP攻擊最終實現(xiàn)執(zhí)行任意代碼的目的。其最后執(zhí)行提權(quán)代碼，該漏洞利用中使用的提權(quán)漏洞為CVE-2014-3153，其產(chǎn)生于內(nèi)核的Futex系統(tǒng)調(diào)用。當(dāng)提權(quán)獲得root權(quán)限以后，執(zhí)行靜默安裝惡意APK應(yīng)用。

3）相關(guān)CVE

Hacking Team的針對Android瀏覽器的remote2local漏洞利用工具結(jié)合了3個針對瀏覽器的漏洞和2個用于提權(quán)的漏洞。

CVE編號	漏洞說明
CVE-2011-1202	信息泄露
CVE-2012-2825	任意內(nèi)存讀
CVE-2012-2871	堆溢出
CVE-2014-3153	提權(quán)漏洞
CVE-2013-6282	內(nèi)核任意地址讀寫

4）相關(guān)APT組織和事件

該漏洞的相關(guān)利用情況沒有在歷史公開的事件報告中披露過，由于專注于向政府部門及執(zhí)法機構(gòu)提供電腦入侵與監(jiān)視服務(wù)的意大利公司Hacking Team在2015年7月遭受入侵，其內(nèi)部源代碼和相關(guān)資料郵件內(nèi)容被泄露，首次披露了其具有針對該漏洞的完整攻擊利用代碼。

并且在泄露的郵件中頻繁出現(xiàn)該公司向客戶說明該漏洞的利用方法和過程。

       

5）補丁及解決方案

Google在發(fā)布的Android4.4系統(tǒng)版本修復(fù)了上述問題。

總結(jié)

方程式一類的頂尖APT組織掌握最先進的漏洞攻擊技術(shù)

方程式一類頂尖的APT組織掌握了最先進的漏洞攻擊技術(shù)，這包括了其對幾乎所有互聯(lián)網(wǎng)相關(guān)設(shè)施、設(shè)備、軟件、應(yīng)用漏洞的全覆蓋，而其它APT組織依然鐘情于使用客戶端軟件的漏洞進行釣魚攻擊。

針對Office的漏洞攻擊依然是大部分APT攻擊的焦點

從使用頻率上來看，Office漏洞依然是大部分APT組織最常使用的漏洞，且依然是非常有效的APT攻擊入口。

移動端APT攻擊逐漸成為新的熱點

移動設(shè)備的普及程度和市場占有率的大幅度提升，所以APT組織也開始將針對其目標(biāo)對象的攻擊范圍延伸至移動設(shè)備領(lǐng)域。在過去針對移動設(shè)備攻擊的APT活動中，以針對iOS系統(tǒng)的三叉戟漏洞和針對Android系統(tǒng)的Hacking Team泄露的瀏覽器攻擊利用尤為出眾，并揭示了移動定向攻擊中也同樣具備過去網(wǎng)絡(luò)攻擊中展現(xiàn)的技術(shù)高級性特點，也揭示了網(wǎng)絡(luò)軍火商制作和販賣針對移動平臺的網(wǎng)絡(luò)武器的事實。

感謝大家的閱讀，以上就是“APT組織使用的10大安全漏洞分別是什么”的全部內(nèi)容了，學(xué)會的朋友趕緊操作起來吧。相信創(chuàng)新互聯(lián)小編一定會給大家?guī)砀鼉?yōu)質(zhì)的文章。謝謝大家對創(chuàng)新互聯(lián)網(wǎng)站的支持！

當(dāng)前名稱：APT組織使用的10大安全漏洞分別是什么
轉(zhuǎn)載源于：http://bm7419.com/article8/ijpiop.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供服務(wù)器托管、網(wǎng)站設(shè)計、網(wǎng)站導(dǎo)航、App開發(fā)、商城網(wǎng)站、自適應(yīng)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)