怎么進行Adobe Flash零日漏洞在野攻擊預(yù)警分析

這篇文章將為大家詳細講解有關(guān)怎么進行Adobe Flash零日漏洞在野攻擊預(yù)警分析，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關(guān)知識有一定的了解。

360核心安全高級威脅應(yīng)對團隊已截獲該0day漏洞的在野攻擊，攻擊者在Office文檔、網(wǎng)頁、垃圾郵件內(nèi)嵌入惡意Flash實施攻擊，用戶打開文件或鏈接就會中招！請相關(guān)單位和用戶警惕來路不明的鏈接及文檔，當前Adobe尚未發(fā)布官方補丁，攻擊在進一步擴散中，使用360安全衛(wèi)士可以全面防御和攔截可能出現(xiàn)的攻擊。

在野攻擊分析

攻擊者對相關(guān)人員精心策劃了社會工程學(xué)攻擊，通過即時聊天工具和郵箱向相關(guān)人員發(fā)送包含漏洞及惡意代碼的excel誘餌文檔，誘騙受害者打開中招。

誘餌文檔中包含了一個ActiveX對象，該對象對應(yīng)的是一個swf文件，打開文檔后ActiveX對象會自動播放flash內(nèi)容。

誘餌文檔中的flash播放后，下一步將從遠程的web服務(wù)器加載利用flash零日漏洞（cve-2018-4878）的swf文件執(zhí)行。

cve-2018-4878漏洞文件的url所在網(wǎng)站是一個正規(guī)的韓國公司網(wǎng)站，疑似該網(wǎng)站已經(jīng)被攻擊者入侵并完全控制，攻擊者可以在網(wǎng)站上添加任意的惡意代碼。

hxxp://www.dylboiler.co.kr/admincenter/files/boad/4/manager.php

進一步我們對截獲的cve-2018-4878漏洞swf文件進行了分析，漏洞存在于flash的DRMManager對象，相關(guān)的方法調(diào)用沒有正確的處理導(dǎo)致UAF（Use-After-Free）漏洞，通過修改ByteArray對象的Length可以完成任意內(nèi)存讀寫執(zhí)行，執(zhí)行最終的shellcode代碼，相關(guān)的攻擊利用方法與幾年前Hacking Team所曝光使用的Flash Exploit技巧類似。

shellcode最終將下載遠程控制木馬執(zhí)行，通過對木馬的分析，我們發(fā)現(xiàn)該木馬疑似思科Talos實驗室曝光的ROKRAT系列木馬，該系列木馬也曾被用于韓國辦公軟件HWP文檔的惡意攻擊。

關(guān)于怎么進行Adobe Flash零日漏洞在野攻擊預(yù)警分析就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。