近年來APT組織使用的10大(類)安全漏洞

概述

APT攻擊(Advanced Persistent Threat,高級持續性威脅)是利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式。APT攻擊的原理相對於其他攻擊形式更為高級和先進,其高級性主要體現在精確的信息收集、高度的隱蔽性、以及使用各種複雜的目標系統/應用程序漏洞等方面。

為了能夠更加全面的了解全球APT研究的前沿成果,360威脅情報中心對APT攻擊中最重要的部分(APT組織所使用的安全漏洞)進行了梳理,在參考了各類APT研究報告和研究成果、 APT攻擊活動或APT組織最常使用的漏洞、以及漏洞的價值等幾項指標後,並結合360威脅情報中心對APT攻擊這類網絡戰的理解,篩選出近年來APT組織所使用的10大(類)安全漏洞。

在本報告中360威脅情報中心首先會闡述APT組織使用的主流漏洞的價值評定標準和各APT組織最常用的漏洞類別,這些組成了評選這10大(類)漏洞的主要觀點和理由。然後針對APT組織使用的10大(類)安全漏洞選出最具代表性的單個漏洞,並對每個漏洞的背景、利用及影響範圍、相關APT組織和重要事件進行介紹,之後提出對每類漏洞的防護對策和建議。最後,基於之前章節的分析,360威脅情報中心針對APT使用的漏洞發展趨勢進行了總結並提出了自己的一些結論。

主要觀點

1. 方程式一類的頂尖APT組織所使用的漏洞攻擊技術遠遠領先其他APT組織

方程式一類的頂尖APT組織的攻擊技術、網絡戰思維遠遠領先於其他APT組織。可以將方程式一類組織的APT攻擊技術劃分為一類,其它組織的APT攻擊技術劃分為另外一類。這主要體現在頂尖的APT攻擊主要是通過底層植入,攻擊核心路由/防火牆等網絡基礎設施,攻擊網絡服務器等來實現定點精確打擊。而其它APT組織則主要通過釣魚類攻擊配合客戶端漏洞來實施APT攻擊。

方程式組織Quantum insert(量子植入)通過攻擊網絡基礎設施實現定點打擊

2. 狹義漏洞分類

我們可以狹義的將APT組織常用的漏洞分為攻擊網絡基礎設施/服務器/服務類的漏洞和攻擊客戶端應用軟件類的漏洞。

3. 網絡基礎設施/服務器/服務類漏洞

這類漏洞主要影響網絡基礎設施(路由交換設備、防火牆等)、服務器、各類服務(SMB/RPC/IIS/遠程桌面等等)。攻擊者通常可以通過使用相應的漏洞攻陷核心網絡設施進而橫向移動或者進一步向網絡中的其它客戶端植入惡意代碼,危害巨大,從公開信息來看,這類漏洞主要為方程式一類的頂尖APT組織所使用。

4. 客戶端軟件類漏洞

這類漏洞主要通過釣魚類攻擊手段實施攻擊,主要針對客戶端應用軟件,比如瀏覽器、Office辦公軟件、PDF等等,這類漏洞的缺點是需要目標用戶交互,所以漏洞價值整體低於攻擊服務端的漏洞價值。

APT組織十大(類)漏洞

360威脅情報中心評選出了APT組織近年來使用的10大(類)漏洞,這其中包含了2類服務端漏洞,8類客戶端漏洞。服務端漏洞中包含了NSA網絡武器庫中的防火牆設備漏洞和“永恆之藍”使用的SMB協議漏洞。客戶端漏洞中包含了移動端Android和iOS的2類漏洞,4類微軟Office軟件漏洞以及Flash類漏洞和Windows提權漏洞。

360威脅情報中心將會針對每類漏洞的背景、漏洞利用、相關漏洞及影響範圍、相關APT組織及事件、補丁及解決方案等分別進行介紹。

一、防火牆設備漏洞

防火牆作為網絡邊界設備,通常不屬於攻擊者攻擊的目標,​​尤其在APT領域中針對防火牆設備的漏洞就更為少見,直到2016年第一批Shadow Broker洩露的工具中大量針對防火牆及路由設備的工具被曝光,方程式組織多年來直接攻擊邊界設備的活動才被徹底曝光,此處我們選擇CVE-2016-6366作為這類漏洞的典型代表。

而方程式組織的Quantum insert(量子植入攻擊工具)則正是通過入侵邊界防火牆、路由設備等來監聽/識別網絡內的受害者虛擬ID,進而向被攻擊者的網絡流量中“注入”相應應用程序(比如IE瀏覽器)的漏洞攻擊代碼進行精準的惡意代碼植入。

1.漏洞概述

2016年8月13日客組織Shadow Brokers聲稱攻破了為NSA開發網絡武器的黑客團隊Equation Group,並公開其內部使用的相關工具,EXBA-extrabacon工具,該工具基於0-day漏洞CVE-2016-6366 ,為Cisco防火牆SNMP服務模塊的一處緩衝區溢出漏洞。

2.漏洞詳情

CVE-2016-6366(基於Cisco防火牆SNMP服務模塊的一處緩衝區溢出漏洞),目標設備必須配置並啟用SNMP協議,同時必須知道SNMP的通信碼,漏洞執行之後可關閉防火牆對Telnet/SSH的認證,從而允許攻擊者進行未授權的操作。

如下所示sub_817A5A0為對應固件中自實現的copy函數,函數內部沒有檢測長度,函數的調用方同樣也沒有對拷貝的長度進行檢測,從而導致溢出。

最終可實現任意Telnet登陸:

3.相關CVE
CVE编号	        漏洞说明
CVE-2016-6366	SNMP服务模块的一处缓冲区溢出漏洞
CVE-2016-6367	远程代码执行

 

4.相關APT組織
APT组织	        CVE编号
Equation Group	CVE-2016-6366
Equation Group	CVE-2016-6367

5. 相关APT事件

NSA针对全球范围实施的绝密电子监听计划(棱镜计划)。

6. 补丁及解决方案

及时更新网络边界设备固件

软件厂商思科已经发布了漏洞相应的补丁

https://blogs.cisco.com/security/shadow-brokers

SMB通信协议漏洞

SMB(Server Message Block)通信协议是微软(Microsoft)和英特尔(Intel)在1987年制定的协议,主要是作为Microsoft网络的通讯协议。

2017年4月14日Shadow Brokers公布了之前泄露文档中出现的Windows相关部分的文件,该泄露资料中包含了一套针对Windows系统相关的远程代码利用框架(涉及的网络服务范围包括SMB、RDP、IIS及各种第三方的邮件服务器),其中一系列的SMB远程漏洞0day工具(EternalBlue,Eternalromance,Eternalchampoin,Eternalsynergy)之后被集成到多个蠕虫家族中,同年5月12日爆发的WanaCry当时就集成了EternalBlue。

1. 漏洞概述

EternalBlue工具使用了SMB协议中的三处漏洞,其中主体的越界内存写漏洞隶属于微软MS17-010补丁包中的CVE-2017-0144,通过该集成的工具,攻击者可以直接远程获取漏洞机器的控制权限。

2. 漏洞详情

EternalBlue中的核心了漏洞为CVE-2017-0144,该漏洞通过SMB协议的SMB_COM_TRANSACTION2命令触发,当其中的FEA LIST字段长度大于10000时将导致内存越界写,由于SMB_COM_TRANSACTION2命令本身FEA LIST的长度最大为FFFF,因此这里就涉及到第二处漏洞,即SMB_COM_TRANSACTION2可被混淆为SMB_COM_NT_TRANSACT,从而实现发送一个FEA LIST字段长度大于10000的SMB_COM_TRANSACTION2命令,实现越界写,最后通过第三个漏洞进行内存布局,最终实现代码执行。

3. 相关CVE

Shadow Brokers泄露的SMB攻击工具,通过MS17-010补丁进行修补,其中涵盖CVE-2017-0143,CVE-2017-0144, CVE-2017-0145, CVE-2017-0146,CVE-2017-0148五个漏洞,包含几处SMB协议中的缺陷,通过相互组合从而形成了Shadow Brokers泄露工具中针对SMB协议的永恒系列武器。

CVE编号	                             漏洞说明
CVE-2017-0143
CVE-2017-0144
CVE-2017-0145                        SMB协议漏洞
CVE-2017-0146
CVE-2017-0148	

4. 相关组织

该泄露的工具本身出自NSA旗下的黑客组织Equation Group,相关工具泄露后为大量的勒索,蠕虫所使用。

相关APT组织	相关漏洞
Equation group	Enternal系列
疑似Lazarus	Enternalblue

5. 相关事件

2017年5月12日全球爆发大范围的Wanacry勒索蠕虫事件,之后被证明和Lazarus有关。

6. 补丁解决方案

及时更新操作系统补丁。

软件厂商微软已经发布了漏洞相应的补丁:

https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

Office OLE2Link逻辑漏洞

Office OLE2Link是微软办公软件(Office)中的一个重要特性,它允许Office文档通过对象链接技术在文档中插入远程对象,在文档打开时自动加载处理。由于设计不当,在这个处理过程中出现了严重的逻辑漏洞,而我们选择CVE-2017-0199为这类漏洞的典型代表。

1. 漏洞概述

2017年4月7日McAfee与FireEye的研究员爆出微软Office Word的一个0-day漏洞的相关细节(CVE-2017-0199)。攻击者可以向受害人发送一个带有OLE2link对象附件的恶意文档,诱骗用户打开。当用户打开恶意文档时,Office OLE2Link机制在处理目标对象上没有考虑相应的安全风险,从而下载并执行恶意HTML应用文件(HTA)。

2. 漏洞详情

CVE-2017-0199利用了Office OLE2Link对象链接技术,将恶意链接对象嵌入在文档中,之后调用URL Moniker将恶意链接中的HTA文件下载到本地,URLMoniker通过识别响应头中content-type的字段,最终调用mshta.exe执行HTA文件中的攻击代码。

在影响面方面,CVE-2017-0199几乎影响了所有版本的Office软件,是历来Office漏洞中影响面最广的漏洞之一,并且易于构造,触发稳定,这使得其在2017年的BlackHat黑帽大会上被评为最佳客户端安全漏洞。

3. 相关CVE

对于CVE-2017-0199,微软采取了一种叫做“COM Activation Filter” 的机制,修补程序直接封锁了两个危险的CLSID,{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}(“htafile” 对象)和{06290BD3-48AA-11D2-8432-006008C3FBFC}(“script” 对象)。而CVE-2017-8570则利用了一个其他的对象:“ScriptletFile”,CLSID 是“{06290BD2-48AA-11D2-8432-006008C3FBFC}”,从而绕过了CVE-2017-0199 的补丁。

CVE编号	        漏洞说明
CVE-2017-0199	Office OLE2Link远程代码执行漏洞
CVE-2017-8570	Office OLE2Link远程代码执行漏洞

4. 相关APT组织

Office OLE2Link逻辑漏洞原理简单,易于构造,触发稳定,深受APT组织的青睐,已经被大部分APT组织纳入攻击武器库。

相关APT组织	CVE编号
摩诃草、APT37	CVE-2017-0199
摩诃草	        CVE-2017-8570

5. 相关APT事件

2017年6月,乌克兰等国遭受大规模Petya变种勒索病毒攻击,攻击者使用Microsoft Office远程执行代码漏洞(CVE-2017-0199)通过电子邮件进行投递,感染成功后利用永恒之蓝漏洞进行传播。

2018年3月360威胁情报中心发布报告《摩诃草APT组织针对我国敏感机构最新的网络攻击活动分析》称摩诃草组织(APT-C-09)针对我国敏感机构使用了带有CVE-2017-8570漏洞的鱼叉邮件进行定向攻击:

6. 补丁及解决方案

尽量不要打开来源不明的文档,也可以使用360安全卫士之类的防病毒软件对文档进行扫描后再打开以尽可能降低风险,如果有条件尽量使用虚拟机打开陌生文档。

软件厂商微软已经发布了漏洞相应的补丁:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8570

Office公式编辑器漏洞

EQNEDT32.EXE(Microsoft公式编辑器),该组件首发于Microsoft Office 2000和Microsoft 2003,以用于向文档插入和编辑方程式,虽然从Office 2007之后,方程式相关的编辑发生了变化,但为了保持版本的兼容性,EQNEDT32.EXE本身也没有从Office套件中删除。而该套件自17年前编译之后就从未被修改,这就意味着其没有任何安全机制(ASLR,DEP,GS cookies…)。并且由于EQNEDT32.EXE进程使用DCOM方式启动而独立于Office进程,从而不受Office高版本的沙盒保护,所以该类漏洞具有天生“绕过”沙盒保护的属性,危害巨大。此处我们选择该组件下发现的第一个漏洞CVE-2017-11882作为该类漏洞的典型。

1. 漏洞概述

2017年11月14日,Embedi发布博文Skeleton in the closet. MS Office vulnerability you didn’t know about,该文章就EQNEDT32.EXE中出现的CVE-2017-11882漏洞的发现和利用进行了分析,CVE-2017-11882为公式Font Name字段解析时的缓冲区溢出漏洞,通过构造带有非法公式的Doc/RTF文档,可导致代码执行。

2. 漏洞详情

CVE-2017-11882为一处栈溢出漏洞,如下所示红框中的Font Name字段最终会导致栈溢出,返回地址被覆盖为00430c12,该地址指向WinExe函数,父函数第一个参数正好指向构造字符,从而导致WinExe执行构造字符中的命令。

3. 相关CVE

自2017年11月14日后,CVE-2018-0802/CVE-2018-0798两个EQNEDT32.EXE相关的漏洞相继被发现。

CVE编号  	漏洞说明
CVE-2017-11882	Font Name字段溢出
CVE-2018-0802	lfFaceName字段溢出
CVE-2018-0798	matrix record解析栈溢出

4. 相关APT组织

相关APT组织	CVE编号
APT34	        CVE-2017-11882
摩诃草	        CVE-2017-11882

 

5. 相关APT事件

APT34通过CVE-2017-11882投递鱼叉邮件攻击中东多国金融政府机构。

6. 补丁及解决方案

个人用户下载打开来源不明的文档需要非常谨慎,使用360安全卫士之类的防病毒木马流氓软件的工具进行扫描以尽可能降低风险,如果有条件尽量使用虚拟机打开陌生文档。

软件厂商微软已经发布了漏洞相应的补丁:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ CVE-2017-11882

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ CVE-2018-0802

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0798

OOXML类型混淆漏洞

OOXML是微软公司为Office 2007产品开发的技术规范,现已成为国际文档格式标准,兼容前国际标准开放文档格式和中国文档标准“标文通”,Office富文本中本身包含了大量的XML文件,由于设计不当,在对其中的XML文件进行处理的时候,出现了严重的混淆漏洞,最典型的包括CVE-2015-1641,CVE-2017-11826,这里我们选择近年来最流行的OOXML类型混淆漏洞CVE-2015-1641作为典型代表。

1. 漏洞概述

2015年4月,微软修补了一个CVE编号为CVE-2015-1641的Office Word类型混淆漏洞。Office Word在解析Docx文档displacedByCustomXML属性时未对customXML对象进行验证,造成类型混淆,导致任意内存写,最终经过精心构造的标签以及对应的属性值可以造成远程任意代码执行。这是第一个利用成功率非常高且被APT组织频繁使用的OOXML类型混淆漏洞。

2. 漏洞详情

CVE-2015-1641中,由于Office Word没有对传入的customXML对象进行严格的校验,导致可以传入比如smartTag之类的对象,然而smartTag对象的处理流程和customXML并不相同,如果customXML标签被smartTag标签通过某种方法混淆解析,那么smartTag标签中的element属性值会被当作是一个地址,随后经过简单的计算得到另一个地址。最后处理流程会将moveFromRangeEnd的id值覆盖到之前计算出来的地址中,导致任意内存写入。然后通过写入可控的函数指针,以及通过Heap Spray精心构造内存布局,最终导致代码执行:

3. 相关CVE

2017年9月28日,360追日团队捕获了一个利用Office 0day漏洞(CVE-2017-11826)的在野攻击,该漏洞几乎影响微软目前所支持的所有Office版本,在野攻击只针对特定的Office版本。攻击者以在RTF文档中嵌入了恶意Docx内容的形式进行攻击。

CVE编号	        漏洞说明
CVE-2015-1641	customXML对象类型混淆
CVE-2017-11826	XML中的idmap标签计算错误导致混淆

4. 相关APT组织

CVE-2015-1641相关的利用技术早已公开,且该漏洞利用的成功率非常高,所以该漏洞在Office OLE2Link逻辑漏洞还未曾风靡之前是各大APT组织最常用的Office漏洞之一。

相关APT组织	        CVE编号
摩诃草、APT28	        CVE-2015-1641
东亚某未知APT组织	CVE-2017-11826

5. 相关APT事件

摩诃草APT组织自2016年以来针对我国的多起攻击事件大量使用了包含CVE-2015-1641的漏洞文档。

6. 补丁及解决方案

个人用户下载打开来源不明的文档需要非常谨慎,使用360安全卫士之类的防病毒木马流氓软件的工具进行扫描以尽可能降低风险,如果有条件尽量使用虚拟机打开陌生文档。

软件厂商微软已经发布了漏洞相应的补丁:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8570

EPS(Encapsulated Post Script)脚本解析漏洞

EPS全称Encapsulated Post Script,属于PostScript的延伸类型,适用于在多平台及高分别率输出设备上进行色彩精确的位图及向量输出,因此在Office中也引进了相应的支持,但是自2015年起多个Office中EPS相关的漏洞被利用,其中包括CVE-2015-2545,CVE-2017-0261,CVE-2017-0262,最终导致微软不得不禁用Office中的EPS组件,而此处我们选择以CVE-2017-0262作为典型代表。

1. 漏洞概述

2017年5月7日FireEye研究员在文章EPS Processing Zero-Days Exploited by Multiple Threat Actors中披露了多个EPS 0-day漏洞的在野利用,其中就包含CVE-2017-0262,CVE-2017-0262为ESP中forall指令中的一处漏洞,由于forall指令对参数校验不当,导致代码执行。

2. 漏洞详情

CVE-2017-0262的利用样本中首先对实际的EXP进行了四字节的xor编码,key为c45d6491:

漏洞的关键点在于以下一行的代码,在EPS中forall指令会对第一个参数中的每一个对象执行处理函数proc(即第二个参数),此处由于对第二个参数的类型判断不严格,导致0xD80D020这个攻击者之前通过堆喷控制的内存地址被作为处理函数的地址,从而esp堆栈被控制,致使最后的代码执行:

3. 相关CVE

CVE编号	        漏洞说明
CVE-2015-2545	UAF漏洞
CVE-2017-0261	Save,restore指令中的UAF漏洞
CVE-2017-0262	forall参数类型校验不严格导致代码执行

4. 相关APT组织

由于EPS漏洞本身利用难度较大,且EPS自Office 2010之后就处于沙箱中隔离执行,因此往往还需要提权漏洞辅助,因此该系列漏洞的使用者往往是知名的大型APT组织。

相关APT组织	CVE编号
未披露	        CVE-2015-2545
Turla	        CVE-2017-0261
APT28	        CVE-2017-0262

5. 相关APT事件

APT28组织通过发送鱼叉邮件(CVE-2017-0262/ CVE-2017-0263)攻击影响法国大选,邮件为附件为一个名为Trump’s_Attack_on_Syria_English.docx的Office文件,导致当时马克龙竞选团队多达9G的数据被上传到外网。

6. 补丁及解决方案

个人用户下载打开来源不明的文档需要非常谨慎,使用360安全卫士之类的防病毒木马流氓软件的工具进行扫描以尽可能降低风险,如果有条件尽量使用虚拟机打开陌生文档。

软件厂商微软已经发布了漏洞相应的补丁:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-2545

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0261

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0262

Windows提权漏洞

近年来针对Windows客户端的漏洞攻击越来越多,这直接导致各大厂商对其客户端软件引入了“沙盒”保护技术,其核心思想即是将应用程序运行在隔离环境中,隔离环境通常是一个低权限的环境,也可以把沙盒看做是一个虚拟的容器,让不是很安全的程序在运行的过程中,即便客户端软件遭受恶意代码的入侵也不会对使用者的计算机系统造成实际威胁。

引入了“沙盒”保护的常客户端程序有:IE/Edge浏览器、Chrome浏览器、Adobe Reader、微软Office办公软件等等。而客户端程序漏洞如果配合Windows提权漏洞则可以穿透应用程序“沙盒”保护。

1. 漏洞概述

在对Office办公软件的EPS(Encapsulated Post Script)组件进行漏洞攻击的过程中,由于Office 2010及其高版本上的EPS脚本过滤器进程fltldr.exe被保护在低权限沙盒内,要攻破其中的低权限沙盒保护措施,攻击者就必须要使用远程代码执行漏洞配合内核提权漏洞进行组合攻击。所以我们选择Win32k.sys中的本地权限提升漏洞(CVE-2017-0263)这一个配合EPS类型混淆漏洞(CVE-2017-0262)进行组合攻击的提权漏洞作为典型代表。

2. 漏洞详情

CVE-2017-0263漏洞利用代码首先会创建三个PopupMenus,并添加相应的菜单。由于该UAF漏洞出现在内核的WM_NCDESTROY事件中,并会覆盖wnd2的tagWnd结构,这样可以设置bServerSideWindowProc标志。一旦设置了bServerSideWindowProc,用户模式的WndProc过程就会被视为内核回调函数,所以会从内核上下文中进行调用。而此时的WndProc则被攻击者替换成了内核ShellCode,最终完成提权攻击。

3. 相关CVE

CVE编号	       漏洞说明
CVE-2015-2546	Win32k内存损坏特权提升漏洞
CVE-2016-7255	Win32k本地权限提升漏洞
CVE-2017-0001	Windows GDI权限提升漏洞
CVE-2017-0263	Win32k释放后重用特权提升漏洞

4. 相关APT组织

相关APT组织	CVE编号
未披露	        CVE-2015-2546
Turla	        CVE-2016-7255、CVE-2017-0001
APT28	        CVE-2017-0263

5. 相关APT事件

针对日本和台湾的APT攻击以及APT28针对法国大选等攻击事件。

6. 补丁及解决方案

个人用户下载打开来源不明的文档需要非常谨慎,使用360安全卫士之类的防病毒木马流氓软件的工具进行扫描以尽可能降低风险,如果有条件尽量使用虚拟机打开陌生文档。

软件厂商微软已经发布了漏洞相应的补丁:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-2546

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2016-7255

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0001

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0263

Flash漏洞

Flash player因为其跨平台的普及性,一直为各个APT组织关注,从2014年起,Flash漏洞开始爆发,尤其到2015年,HackingTeam泄露数据中两枚0-day漏洞CVE-2015-5122/CVE-2015-5199,Flash漏洞相关的利用技术公开,Flash漏洞开始成为APT组织的新宠,尽管之后Adobe和Google合作,多个Flash安全机制陆续出炉(如隔离堆,vector length检测),大大提高了Flash漏洞利用的门槛,但也不乏出现CVE-2015-7645这一类混淆漏洞的怪咖。这里我们选择不久前发现的在野0-day CVE-2018-4878作为这类漏洞的典型代表。

1. 漏洞概述

2018年1月31日,韩国CERT发布公告称发现Flash 0day漏洞(CVE-2018-4878)的野外利用,攻击者通过发送包含嵌入恶意Flash对象的Office Word附件对指定目标进行攻击。

2. 漏洞详情

CVE-2018-4878通过Flash om.adobe.tvsdk包中的DRMManager对象进行攻击,如下代码所示,triggeruaf函数中创建一个MyListener对象实例,通过initialize进行初始化,并将该实例设置为null,之后的第一个LocalConnection().connect()会导致gc回收该实例内存,第二次LocalConnection().connect()时触发异常,在异常处理中会创建一个新的MyListener实例,内存管理器会将之前MyListener对象实例的内存分配给新对象,即此处的danglingpointer,设置timer,在其回调函数中检测uaf是否触发,成功则通过Mem_Arr进行站位:

3. 相关CVE

CVE编号	       漏洞说明
CVE-2017-11292	UAF
CVE-2018-4878	UAF

4. 相关APT组织

相关APT组织	CVE编号
APT28	        CVE-2017-11292, CVE-2018-4878
Group 123	CVE-2018-4878

5. 相关APT事件

Group123利用CVE-2018-4878攻击韩国敏感部门。

6. 补丁及解决方案

个人用户下载打开来源不明的文档需要非常谨慎,使用360安全卫士之类的防病毒木马流氓软件的工具进行扫描以尽可能降低风险,如果有条件尽量使用虚拟机打开陌生文档。

软件厂商adobe已经发布了漏洞相应的补丁:

https://helpx.adobe.com/security/products/flash-player/apsb18-03.html

https://helpx.adobe.com/security/products/flash-player/apsb17-32.html

iOS三叉戟漏洞

iOS三叉戟漏洞是目前唯一一个公开披露的针对iOS系统浏览器的远程攻击实例,并真实用于针对特点目标的APT攻击中。

1. 漏洞概述

iOS三叉戟漏洞是指针对iOS 9.3.5版本之前的iOS系统的一系列0 day漏洞,其利用了3个0 day漏洞,包括一个WebKit漏洞,一个内核地址泄露漏洞和一个提权漏洞。通过组合利用三个0 day漏洞可以实现远程对iOS设备的越狱,并且安装运行任意恶意代码。

2. 漏洞详情

iOS三叉戟漏洞利用载荷可以通过访问特定的URL触发,所以可以通过短信、邮件、社交网络或者即时通讯等发送恶意链接诱导目标人员点击打开链接实现漏洞的触发。由于WebKit JavaScriptCore库存在任意代码执行漏洞,当Safari浏览器访问恶意链接并触发恶意的JavaScript载荷执行,其利用代码进入Safari WebContent进程空间。其随后利用另外两个漏洞实现权限提升,并越狱掉iOS设备。最后三叉戟漏洞可以实现下载和运行用于持久性控制的恶意模块。

3. 相关CVE

iOS三叉戟漏洞涉及3个0 day漏洞,其CVE编号及相关信息如下表所示:

CVE编号	        漏洞说明
CVE-2016-4655	内核信息泄露
CVE-2016-4656	提权
CVE-2016-4657	WebKit远程代码执行

4. 相关APT组织和事件

三叉戟漏洞的最初发现是因为阿联酋一名重要的人权捍卫者Ahmed Mansoor在2016年8月10日和11日,其iPhone手机收到两条短信,内容为点击链接可以查看关于关押在阿联酋监狱犯人遭受酷刑的秘密内容。其随后将短信内容转发给公民实验室(Citizen Lab),由公民实验室和Lookout安全公司联合分析发现,最后发现该三叉戟漏洞和相关恶意载荷与著名的以色列间谍软件监控公司NSO Group有关。

5. 补丁及解决方案

苹果公司随后在2016年8月25日发布iOS 9.3.5,修补了三叉戟漏洞[2]。

Android浏览器remote2local漏洞利用

该Android浏览器漏洞利用代码的泄露揭示了网络军火商和政府及执法机构利用远程攻击漏洞针对Android用户的攻击和监控,并且该漏洞利用过程实现几乎完美,也体现了漏洞利用技术的艺术特点。

该漏洞利用代码几乎可以影响当时绝大多数主流的Android设备和系统版本。

1. 漏洞概述

Android浏览器remote2local漏洞利用是2015年7月Hacking Team遭受入侵并泄露内部源代码资料事件后,其泄露源代码中包含了针对Android 4.0.x-4.3.x系统版本的浏览器的攻击利用代码,其可以达到远程代码执行,并执行提权代码提升至root权限,最后达到静默安装恶意程序的目的。

该漏洞利用的组合了Google Chrome的三个N-day漏洞和针对Android系统的提权漏洞完成完整的利用攻击过程。

2. 漏洞详情

该Android浏览器漏洞利用主要因为WebKit中关于XML语言解析和XSLT转换的libxslt库,其利用过程实际上是基于多个漏洞的组合利用过程。其首先利用一个信息泄露漏洞获取内存地址相关信息,并利用内存任意读写构造ROP攻击最终实现执行任意代码的目的。其最后执行提权代码,该漏洞利用中使用的提权漏洞为CVE-2014-3153,其产生于内核的Futex系统调用。当提权获得root权限以后,执行静默安装恶意APK应用。

3. 相关CVE

Hacking Team的针对Android浏览器的remote2local漏洞利用工具结合了3个针对浏览器的漏洞和2个用于提权的漏洞。

CVE编号	        漏洞说明
CVE-2011-1202	信息泄露
CVE-2012-2825	任意内存读
CVE-2012-2871	堆溢出
CVE-2014-3153	提权漏洞
CVE-2013-6282	内核任意地址读写

4. 相关APT组织和事件

该漏洞的相关利用情况没有在历史公开的事件报告中披露过,由于专注于向政府部门及执法机构提供电脑入侵与监视服务的意大利公司Hacking Team在2015年7月遭受入侵,其内部源代码和相关资料邮件内容被泄露,首次披露了其具有针对该漏洞的完整攻击利用代码。

并且在泄露的邮件中频繁出现该公司向客户说明该漏洞的利用方法和过程。

5. 补丁及解决方案

Google在发布的Android 4.4系统版本修复了上述问题。

总结

方程式一类的顶尖APT组织掌握最先进的漏洞攻击技术

方程式一类顶尖的APT组织掌握了最先进的漏洞攻击技术,这包括了其对几乎所有互联网相关设施、设备、软件、应用漏洞的全覆盖,而其它APT组织依然钟情于使用客户端软件的漏洞进行钓鱼攻击。

针对Office的漏洞攻击依然是大部分APT攻击的焦点

从使用频率上来看,Office漏洞依然是大部分APT组织最常使用的漏洞,且依然是非常有效的APT攻击入口。

移动端APT攻击逐渐成为新的热点

移动设备的普及程度和市场占有率的大幅度提升,所以APT组织也开始将针对其目标对象的攻击范围延伸至移动设备领域。在过去针对移动设备攻击的APT活动中,以针对iOS系统的三叉戟漏洞和针对Android系统的Hacking Team泄露的浏览器攻击利用尤为出众,并揭示了移动定向攻击中也同样具备过去网络攻击中展现的技术高级性特点,也揭示了网络军火商制作和贩卖针对移动平台的网络武器的事实。

参考

[1]https://citizenlab.ca/2016/08/million-dollar-dissident-iphone-zero-day-nso-group-uae/

[2]https://support.apple.com/zh-cn/HT207107

[3]https://info.lookout.com/rs/051-ESQ-475/images/lookout-pegasus-technical-analysis.pdf

[4]https://github.com/f47h3r/hackingteam_exploits/tree/master/vector-exploit/src/ht-webkit-Android4-src

[5]http://www.freebuf.com/vuls/78594.html

[6]http://www.freebuf.com/vuls/84720.html

[7]https://wikileaks.org/hackingteam/emails/emailid/74975

[8]https://wikileaks.org/hackingteam/emails/emailid/631119

[9]https://security.tencent.com/index.php/blog/msg/87

[10]https://blog.trendmicro.com/trendlabs-security-intelligence/hacking-team-rcsandroid-spying-tool-listens-to-calls-roots-devices-to-get-in/

[11]https://wikileaks.org/ciav7p1/cms/page_11629096.html

[12]https://wikileaks.org/ciav7p1/cms/page_13205587.html

[13]https://www.welivesecurity.com/2017/05/09/sednit-adds-two-zero-day-exploits-using-trumps-attack-syria-decoy/

[14]https://www.mdsec.co.uk/2018/02/adobe-flash-exploitation-then-and-now-from-cve-2015-5119-to-cve-2018-4878/

[15]https://www.fortinet.com/blog/threat-research/the-curious-case-of-the-document-exploiting-an-unknown-vulnerability-part-1.html

[16]https://www.fireeye.com/blog/threat-research/2017/05/eps-processing-zero-days.html

[17]https://www.anquanke.com/post/id/94841

[18]https://www.anquanke.com/post/id/94210

[19]https://www.anquanke.com/post/id/87311

[20]https://www.anquanke.com/post/id/87122

[21]https://ti.360.net/blog/articles/detailed-analysis-of-eternalblue/

[22]https://research.checkpoint.com/eternalblue-everything-know/

[23]https://paper.seebug.org/536/

[24]https://paper.seebug.org/351/

[25]https://github.com/worawit/MS17-010

[26]https://embedi.com/blog/skeleton-closet-ms-office-vulnerability-you-didnt-know-about/

[27]https://bbs.pediy.com/thread-221995.htm

[28]http://www.venustech.com.cn/NewsInfo/4/46670.Html

[29]http://www.freebuf.com/vuls/81868.html)

[30]http://www.freebuf.com/vuls/162629.html

[31]http://www.freebuf.com/vuls/112589.html

[32]http://rtf2latex2e.sourceforge.net/MTEF3.html

[33]http://bobao.360.cn/learning/detail/3738.html

[34]http://blog.trendmicro.com/trendlabs-security-intelligence/ms17-010-eternalblue/

發表回覆

你的電郵地址並不會被公開。 必要欄位標記為 *