APT組織使用的10大安全漏洞分別是什么

小編今天帶大家了解APT組織使用的10大安全漏洞分別是什么，文中知識(shí)點(diǎn)介紹的非常詳細(xì)。覺得有幫助的朋友可以跟著小編一起瀏覽文章的內(nèi)容，希望能夠幫助更多想解決這個(gè)問題的朋友找到問題的答案，下面跟著小編一起深入學(xué)習(xí)“APT組織使用的10大安全漏洞分別是什么”的知識(shí)吧。

概述

APT攻擊（Advanced Persistent Threat，高級(jí)持續(xù)性威脅）是利用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式。APT攻擊的原理相對(duì)于其他攻擊形式更為高級(jí)和先進(jìn)，其高級(jí)性主要體現(xiàn)在精確的信息收集、高度的隱蔽性、以及使用各種復(fù)雜的目標(biāo)系統(tǒng)/應(yīng)用程序漏洞等方面。

為了能夠更加全面的了解全球APT研究的前沿成果，360威脅情報(bào)中心對(duì)APT攻擊中最重要的部分（APT組織所使用的安全漏洞）進(jìn)行了梳理，在參考了各類APT研究報(bào)告和研究成果、APT攻擊活動(dòng)或APT組織最常使用的漏洞、以及漏洞的價(jià)值等幾項(xiàng)指標(biāo)后，并結(jié)合360威脅情報(bào)中心對(duì)APT攻擊這類網(wǎng)絡(luò)戰(zhàn)的理解，篩選出近年來(lái)APT組織所使用的10大（類）安全漏洞。

在本報(bào)告中360威脅情報(bào)中心首先會(huì)闡述APT組織使用的主流漏洞的價(jià)值評(píng)定標(biāo)準(zhǔn)和各APT組織最常用的漏洞類別，這些組成了評(píng)選這10大（類）漏洞的主要觀點(diǎn)和理由。然后針對(duì)APT組織使用的10大（類）安全漏洞選出最具代表性的單個(gè)漏洞，并對(duì)每個(gè)漏洞的背景、利用及影響范圍、相關(guān)APT組織和重要事件進(jìn)行介紹，之后提出對(duì)每類漏洞的防護(hù)對(duì)策和建議。最后，基于之前章節(jié)的分析，360威脅情報(bào)中心針對(duì)APT使用的漏洞發(fā)展趨勢(shì)進(jìn)行了總結(jié)并提出了自己的一些結(jié)論。

主要觀點(diǎn)

方程式一類的頂尖APT組織所使用的漏洞攻擊技術(shù)遠(yuǎn)遠(yuǎn)領(lǐng)先其他APT組織

方程式一類的頂尖APT組織的攻擊技術(shù)、網(wǎng)絡(luò)戰(zhàn)思維遠(yuǎn)遠(yuǎn)領(lǐng)先于其他APT組織?？梢詫⒎匠淌揭活惤M織的APT攻擊技術(shù)劃分為一類，其它組織的APT攻擊技術(shù)劃分為另外一類。這主要體現(xiàn)在頂尖的APT攻擊主要是通過底層植入，攻擊核心路由/防火墻等網(wǎng)絡(luò)基礎(chǔ)設(shè)施，攻擊網(wǎng)絡(luò)服務(wù)器等來(lái)實(shí)現(xiàn)定點(diǎn)精確打擊。而其它APT組織則主要通過釣魚類攻擊配合客戶端漏洞來(lái)實(shí)施APT攻擊。

方程式組織 Quantuminsert（量子植入）通過攻擊網(wǎng)絡(luò)基礎(chǔ)設(shè)施實(shí)現(xiàn)定點(diǎn)打擊

狹義漏洞分類

我們可以狹義的將APT組織常用的漏洞分為攻擊網(wǎng)絡(luò)基礎(chǔ)設(shè)施/服務(wù)器/服務(wù)類的漏洞和攻擊客戶端應(yīng)用軟件類的漏洞。

網(wǎng)絡(luò)基礎(chǔ)設(shè)施/服務(wù)器/服務(wù)類漏洞

這類漏洞主要影響網(wǎng)絡(luò)基礎(chǔ)設(shè)施（路由交換設(shè)備、防火墻等）、服務(wù)器、各類服務(wù)（SMB/RPC/IIS/遠(yuǎn)程桌面等等）。攻擊者通?？梢酝ㄟ^使用相應(yīng)的漏洞攻陷核心網(wǎng)絡(luò)設(shè)施進(jìn)而橫向移動(dòng)或者進(jìn)一步向網(wǎng)絡(luò)中的其它客戶端植入惡意代碼，危害巨大，從公開信息來(lái)看，這類漏洞主要為方程式一類的頂尖APT組織所使用。

客戶端軟件類漏洞

這類漏洞主要通過釣魚類攻擊手段實(shí)施攻擊，主要針對(duì)客戶端應(yīng)用軟件，比如瀏覽器、Office辦公軟件、PDF等等，這類漏洞的缺點(diǎn)是需要目標(biāo)用戶交互，所以漏洞價(jià)值整體低于攻擊服務(wù)端的漏洞價(jià)值。

APT組織十大（類）漏洞

360威脅情報(bào)中心評(píng)選出了APT組織近年來(lái)使用的10大（類）漏洞，這其中包含了2類服務(wù)端漏洞，8類客戶端漏洞。服務(wù)端漏洞中包含了NSA網(wǎng)絡(luò)武器庫(kù)中的防火墻設(shè)備漏洞和“永恒之藍(lán)”使用的SMB協(xié)議漏洞?？蛻舳寺┒粗邪艘苿?dòng)端Android和iOS的2類漏洞，4類微軟Office軟件漏洞以及Flash類漏洞和Windows提權(quán)漏洞。

360威脅情報(bào)中心將會(huì)針對(duì)每類漏洞的背景、漏洞利用、相關(guān)漏洞及影響范圍、相關(guān)APT組織及事件、補(bǔ)丁及解決方案等分別進(jìn)行介紹。

1.     防火墻設(shè)備漏洞

防火墻作為網(wǎng)絡(luò)邊界設(shè)備，通常不屬于攻擊者攻擊的目標(biāo)，尤其在APT領(lǐng)域中針對(duì)防火墻設(shè)備的漏洞就更為少見，直到2016年第一批Shadow Broker泄露的工具中大量針對(duì)防火墻及路由設(shè)備的工具被曝光，方程式組織多年來(lái)直接攻擊邊界設(shè)備的活動(dòng)才被徹底曝光，此處我們選擇 CVE-2016-6366作為這類漏洞的典型代表。

而方程式組織的Quantum insert（量子植入攻擊工具）則正是通過入侵邊界防火墻、路由設(shè)備等來(lái)監(jiān)聽/識(shí)別網(wǎng)絡(luò)內(nèi)的受害者虛擬ID，進(jìn)而向被攻擊者的網(wǎng)絡(luò)流量中“注入”相應(yīng)應(yīng)用程序（比如IE瀏覽器）的漏洞攻擊代碼進(jìn)行精準(zhǔn)的惡意代碼植入。

1) 漏洞概述

2016年8月13日客組織ShadowBrokers聲稱攻破了為NSA開發(fā)網(wǎng)絡(luò)武器的黑客團(tuán)隊(duì)Equation Group，并公開其內(nèi)部使用的相關(guān)工具，EXBA-extrabacon工具，該工具基于0-day漏洞CVE-2016-6366，為Cisco防火墻SNMP服務(wù)模塊的一處緩沖區(qū)溢出漏洞。

2) 漏洞詳情

CVE-2016-6366（基于Cisco防火墻SNMP服務(wù)模塊的一處緩沖區(qū)溢出漏洞），目標(biāo)設(shè)備必須配置并啟用SNMP協(xié)議，同時(shí)必須知道SNMP的通信碼，漏洞執(zhí)行之后可關(guān)閉防火墻對(duì)Telnet/SSH的認(rèn)證，從而允許攻擊者進(jìn)行未授權(quán)的操作。

如下所示sub_817A5A0為對(duì)應(yīng)固件中自實(shí)現(xiàn)的copy函數(shù)，函數(shù)內(nèi)部沒有檢測(cè)長(zhǎng)度，函數(shù)的調(diào)用方同樣也沒有對(duì)拷貝的長(zhǎng)度進(jìn)行檢測(cè)，從而導(dǎo)致溢出。

最終可實(shí)現(xiàn)任意Telnet登陸：

3) 相關(guān)CVE

4) 相關(guān)APT組織

5) 相關(guān)APT事件

NSA針對(duì)全球范圍實(shí)施的絕密電子監(jiān)聽計(jì)劃（棱鏡計(jì)劃）。

6) 補(bǔ)丁及解決方案

及時(shí)更新網(wǎng)絡(luò)邊界設(shè)備固件

軟件廠商思科已經(jīng)發(fā)布了漏洞相應(yīng)的補(bǔ)丁

https://blogs.cisco.com/security/shadow-brokers

2.     SMB通信協(xié)議漏洞

SMB（Server MessageBlock）通信協(xié)議是微軟（Microsoft）和英特爾（Intel）在1987年制定的協(xié)議，主要是作為Microsoft網(wǎng)絡(luò)的通訊協(xié)議。

2017年4月14日ShadowBrokers公布了之前泄露文檔中出現(xiàn)的Windows相關(guān)部分的文件，該泄露資料中包含了一套針對(duì)Windows系統(tǒng)相關(guān)的遠(yuǎn)程代碼利用框架（涉及的網(wǎng)絡(luò)服務(wù)范圍包括SMB、RDP、IIS及各種第三方的郵件服務(wù)器），其中一系列的SMB遠(yuǎn)程漏洞0day工具（EternalBlue，Eternalromance，Eternalchampoin，Eternalsynergy）之后被集成到多個(gè)蠕蟲家族中，同年5月12日爆發(fā)的WanaCry當(dāng)時(shí)就集成了EternalBlue。

1) 漏洞概述

EternalBlue工具使用了SMB協(xié)議中的三處漏洞，其中主體的越界內(nèi)存寫漏洞隸屬于微軟MS17-010補(bǔ)丁包中的CVE-2017-0144，通過該集成的工具，攻擊者可以直接遠(yuǎn)程獲取漏洞機(jī)器的控制權(quán)限。

2) 漏洞詳情

EternalBlue中的核心了漏洞為CVE-2017-0144，該漏洞通過SMB協(xié)議的SMB_COM_TRANSACTION2命令觸發(fā)，當(dāng)其中的FEALIST字段長(zhǎng)度大于10000時(shí)將導(dǎo)致內(nèi)存越界寫，由于SMB_COM_TRANSACTION2命令本身FEA LIST的長(zhǎng)度最大為FFFF，因此這里就涉及到第二處漏洞，即SMB_COM_TRANSACTION2可被混淆為SMB_COM_NT_TRANSACT，從而實(shí)現(xiàn)發(fā)送一個(gè)FEA LIST字段長(zhǎng)度大于10000的SMB_COM_TRANSACTION2命令，實(shí)現(xiàn)越界寫，最后通過第三個(gè)漏洞進(jìn)行內(nèi)存布局，最終實(shí)現(xiàn)代碼執(zhí)行。

3) 相關(guān)CVE

ShadowBrokers泄露的SMB攻擊工具，通過MS17-010補(bǔ)丁進(jìn)行修補(bǔ)，其中涵蓋CVE-2017-0143，CVE-2017-0144，CVE-2017-0145，CVE-2017-0146，CVE-2017-0148五個(gè)漏洞，包含幾處SMB協(xié)議中的缺陷，通過相互組合從而形成了Shadow Brokers泄露工具中針對(duì)SMB協(xié)議的永恒系列武器。

4) 相關(guān)組織

該泄露的工具本身出自NSA旗下的黑客組織EquationGroup，相關(guān)工具泄露后為大量的勒索，蠕蟲所使用。

5) 相關(guān)事件

2017年5月12日全球爆發(fā)大范圍的Wanacry勒索蠕蟲事件，之后被證明和Lazarus有關(guān)。

6) 補(bǔ)丁解決方案

及時(shí)更新操作系統(tǒng)補(bǔ)丁。

軟件廠商微軟已經(jīng)發(fā)布了漏洞相應(yīng)的補(bǔ)丁：

https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

3.     Office OLE2Link邏輯漏洞

Office OLE2Link是微軟辦公軟件（Office）中的一個(gè)重要特性，它允許Office文檔通過對(duì)象鏈接技術(shù)在文檔中插入遠(yuǎn)程對(duì)象，在文檔打開時(shí)自動(dòng)加載處理。由于設(shè)計(jì)不當(dāng)，在這個(gè)處理過程中出現(xiàn)了嚴(yán)重的邏輯漏洞，而我們選擇CVE-2017-0199為這類漏洞的典型代表。

1) 漏洞概述

2017年4月7日McAfee與FireEye的研究員爆出微軟OfficeWord的一個(gè)0-day漏洞的相關(guān)細(xì)節(jié)（CVE-2017-0199）。攻擊者可以向受害人發(fā)送一個(gè)帶有OLE2link對(duì)象附件的惡意文檔，誘騙用戶打開。當(dāng)用戶打開惡意文檔時(shí)，Office OLE2Link機(jī)制在處理目標(biāo)對(duì)象上沒有考慮相應(yīng)的安全風(fēng)險(xiǎn)，從而下載并執(zhí)行惡意HTML應(yīng)用文件（HTA）。

2) 漏洞詳情

CVE-2017-0199利用了OfficeOLE2Link對(duì)象鏈接技術(shù)，將惡意鏈接對(duì)象嵌入在文檔中，之后調(diào)用URL Moniker將惡意鏈接中的HTA文件下載到本地，URLMoniker通過識(shí)別響應(yīng)頭中content-type的字段，最終調(diào)用mshta.exe執(zhí)行HTA文件中的攻擊代碼。

在影響面方面，CVE-2017-0199幾乎影響了所有版本的Office軟件，是歷來(lái)Office漏洞中影響面最廣的漏洞之一，并且易于構(gòu)造，觸發(fā)穩(wěn)定，這使得其在2017年的BlackHat黑帽大會(huì)上被評(píng)為最佳客戶端安全漏洞。

3) 相關(guān)CVE

對(duì)于CVE-2017-0199，微軟采取了一種叫做“COMActivation Filter”的機(jī)制，修補(bǔ)程序直接封鎖了兩個(gè)危險(xiǎn)的CLSID，{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}（“htafile” 對(duì)象）和{06290BD3-48AA-11D2-8432-006008C3FBFC}（“script” 對(duì)象）。而CVE-2017-8570則利用了一個(gè)其他的對(duì)象：“ScriptletFile”，CLSID 是“{06290BD2-48AA-11D2-8432-006008C3FBFC}”，從而繞過了CVE-2017-0199的補(bǔ)丁。

4) 相關(guān)APT組織

OfficeOLE2Link邏輯漏洞原理簡(jiǎn)單，易于構(gòu)造，觸發(fā)穩(wěn)定，深受APT組織的青睞，已經(jīng)被大部分APT組織納入攻擊武器庫(kù)。

5) 相關(guān)APT事件

2017年6月，烏克蘭等國(guó)遭受大規(guī)模Petya變種勒索病毒攻擊，攻擊者使用Microsoft Office遠(yuǎn)程執(zhí)行代碼漏洞（CVE-2017-0199）通過電子郵件進(jìn)行投遞，感染成功后利用永恒之藍(lán)漏洞進(jìn)行傳播。

2018年3月360威脅情報(bào)中心發(fā)布報(bào)告《摩訶草APT組織針對(duì)我國(guó)敏感機(jī)構(gòu)最新的網(wǎng)絡(luò)攻擊活動(dòng)分析》稱摩訶草組織（APT-C-09）針對(duì)我國(guó)敏感機(jī)構(gòu)使用了帶有CVE-2017-8570漏洞的魚叉郵件進(jìn)行定向攻擊：

6) 補(bǔ)丁及解決方案

盡量不要打開來(lái)源不明的文檔，也可以使用360安全衛(wèi)士之類的防病毒軟件對(duì)文檔進(jìn)行掃描后再打開以盡可能降低風(fēng)險(xiǎn)，如果有條件盡量使用虛擬機(jī)打開陌生文檔。

軟件廠商微軟已經(jīng)發(fā)布了漏洞相應(yīng)的補(bǔ)?。?/p>

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8570

4.     Office公式編輯器漏洞

EQNEDT32.EXE（Microsoft公式編輯器），該組件首發(fā)于MicrosoftOffice 2000和Microsoft 2003，以用于向文檔插入和編輯方程式，雖然從Office 2007之后，方程式相關(guān)的編輯發(fā)生了變化，但為了保持版本的兼容性，EQNEDT32.EXE本身也沒有從Office套件中刪除。而該套件自17年前編譯之后就從未被修改，這就意味著其沒有任何安全機(jī)制（ASLR，DEP，GS cookies…）。并且由于EQNEDT32.EXE進(jìn)程使用DCOM方式啟動(dòng)而獨(dú)立于Office進(jìn)程，從而不受Office高版本的沙盒保護(hù)，所以該類漏洞具有天生“繞過”沙盒保護(hù)的屬性，危害巨大。此處我們選擇該組件下發(fā)現(xiàn)的第一個(gè)漏洞CVE-2017-11882作為該類漏洞的典型。

1) 漏洞概述

2017年11月14日，Embedi發(fā)布博文Skeletonin the closet. MS Office vulnerability you didn’t know about，該文章就EQNEDT32.EXE中出現(xiàn)的CVE-2017-11882漏洞的發(fā)現(xiàn)和利用進(jìn)行了分析，CVE-2017-11882為公式Font Name字段解析時(shí)的緩沖區(qū)溢出漏洞，通過構(gòu)造帶有非法公式的Doc/RTF文檔，可導(dǎo)致代碼執(zhí)行。

2) 漏洞詳情

CVE-2017-11882為一處棧溢出漏洞，如下所示紅框中的Font Name字段最終會(huì)導(dǎo)致棧溢出，返回地址被覆蓋為00430c12，該地址指向WinExe函數(shù)，父函數(shù)第一個(gè)參數(shù)正好指向構(gòu)造字符，從而導(dǎo)致WinExe執(zhí)行構(gòu)造字符中的命令。

3) 相關(guān)CVE

自2017年11月14日后，CVE-2018-0802/CVE-2018-0798兩個(gè)EQNEDT32.EXE相關(guān)的漏洞相繼被發(fā)現(xiàn)。

4) 相關(guān)APT組織

5) 相關(guān)APT事件

APT34通過CVE-2017-11882投遞魚叉郵件攻擊中東多國(guó)金融政府機(jī)構(gòu)。

6) 補(bǔ)丁及解決方案

個(gè)人用戶下載打開來(lái)源不明的文檔需要非常謹(jǐn)慎，使用360安全衛(wèi)士之類的防病毒木馬流氓軟件的工具進(jìn)行掃描以盡可能降低風(fēng)險(xiǎn)，如果有條件盡量使用虛擬機(jī)打開陌生文檔。

軟件廠商微軟已經(jīng)發(fā)布了漏洞相應(yīng)的補(bǔ)?。?/p>

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0802

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0798

5.     OOXML類型混淆漏洞

OOXML是微軟公司為Office2007產(chǎn)品開發(fā)的技術(shù)規(guī)范，現(xiàn)已成為國(guó)際文檔格式標(biāo)準(zhǔn)，兼容前國(guó)際標(biāo)準(zhǔn)開放文檔格式和中國(guó)文檔標(biāo)準(zhǔn)“標(biāo)文通”，Office富文本中本身包含了大量的XML文件，由于設(shè)計(jì)不當(dāng)，在對(duì)其中的XML文件進(jìn)行處理的時(shí)候，出現(xiàn)了嚴(yán)重的混淆漏洞，最典型的包括CVE-2015-1641，CVE-2017-11826，這里我們選擇近年來(lái)最流行的OOXML類型混淆漏洞CVE-2015-1641作為典型代表。

1) 漏洞概述

2015年4月，微軟修補(bǔ)了一個(gè)CVE編號(hào)為CVE-2015-1641的Office Word類型混淆漏洞。OfficeWord在解析Docx文檔displacedByCustomXML屬性時(shí)未對(duì)customXML對(duì)象進(jìn)行驗(yàn)證，造成類型混淆，導(dǎo)致任意內(nèi)存寫，最終經(jīng)過精心構(gòu)造的標(biāo)簽以及對(duì)應(yīng)的屬性值可以造成遠(yuǎn)程任意代碼執(zhí)行。這是第一個(gè)利用成功率非常高且被APT組織頻繁使用的OOXML類型混淆漏洞。

2) 漏洞詳情

CVE-2015-1641中，由于OfficeWord沒有對(duì)傳入的customXML對(duì)象進(jìn)行嚴(yán)格的校驗(yàn)，導(dǎo)致可以傳入比如smartTag之類的對(duì)象，然而smartTag對(duì)象的處理流程和customXML并不相同，如果customXML標(biāo)簽被smartTag標(biāo)簽通過某種方法混淆解析，那么smartTag標(biāo)簽中的element屬性值會(huì)被當(dāng)作是一個(gè)地址，隨后經(jīng)過簡(jiǎn)單的計(jì)算得到另一個(gè)地址。最后處理流程會(huì)將moveFromRangeEnd的id值覆蓋到之前計(jì)算出來(lái)的地址中，導(dǎo)致任意內(nèi)存寫入。然后通過寫入可控的函數(shù)指針，以及通過Heap    Spray精心構(gòu)造內(nèi)存布局，最終導(dǎo)致代碼執(zhí)行：

3) 相關(guān)CVE

2017年9月28日，360追日?qǐng)F(tuán)隊(duì)捕獲了一個(gè)利用Office0day漏洞（CVE-2017-11826）的在野攻擊，該漏洞幾乎影響微軟目前所支持的所有Office版本，在野攻擊只針對(duì)特定的Office版本。攻擊者以在RTF文檔中嵌入了惡意Docx內(nèi)容的形式進(jìn)行攻擊。

4) 相關(guān)APT組織

CVE-2015-1641相關(guān)的利用技術(shù)早已公開，且該漏洞利用的成功率非常高，所以該漏洞在Office OLE2Link邏輯漏洞還未曾風(fēng)靡之前是各大APT組織最常用的Office漏洞之一。

5) 相關(guān)APT事件

摩訶草APT組織自2016年以來(lái)針對(duì)我國(guó)的多起攻擊事件大量使用了包含CVE-2015-1641的漏洞文檔。

6) 補(bǔ)丁及解決方案

個(gè)人用戶下載打開來(lái)源不明的文檔需要非常謹(jǐn)慎，使用360安全衛(wèi)士之類的防病毒木馬流氓軟件的工具進(jìn)行掃描以盡可能降低風(fēng)險(xiǎn)，如果有條件盡量使用虛擬機(jī)打開陌生文檔。

軟件廠商微軟已經(jīng)發(fā)布了漏洞相應(yīng)的補(bǔ)丁：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8570

6.     EPS（EncapsulatedPost Script）腳本解析漏洞

EPS全稱EncapsulatedPost Script，屬于PostScript的延伸類型，適用于在多平臺(tái)及高分別率輸出設(shè)備上進(jìn)行色彩精確的位圖及向量輸出，因此在Office中也引進(jìn)了相應(yīng)的支持，但是自2015年起多個(gè)Office中EPS相關(guān)的漏洞被利用，其中包括CVE-2015-2545，CVE-2017-0261，CVE-2017-0262，最終導(dǎo)致微軟不得不禁用Office中的EPS組件，而此處我們選擇以CVE-2017-0262作為典型代表。

1) 漏洞概述

2017年5月7日FireEye研究員在文章EPSProcessing Zero-Days Exploited by Multiple Threat Actors中披露了多個(gè)EPS0-day漏洞的在野利用，其中就包含CVE-2017-0262，CVE-2017-0262為ESP中forall指令中的一處漏洞，由于forall指令對(duì)參數(shù)校驗(yàn)不當(dāng)，導(dǎo)致代碼執(zhí)行。

2) 漏洞詳情

CVE-2017-0262的利用樣本中首先對(duì)實(shí)際的EXP進(jìn)行了四字節(jié)的xor編碼，key為c45d6491：

漏洞的關(guān)鍵點(diǎn)在于以下一行的代碼，在EPS中forall指令會(huì)對(duì)第一個(gè)參數(shù)中的每一個(gè)對(duì)象執(zhí)行處理函數(shù)proc（即第二個(gè)參數(shù)），此處由于對(duì)第二個(gè)參數(shù)的類型判斷不嚴(yán)格，導(dǎo)致0xD80D020這個(gè)攻擊者之前通過堆噴控制的內(nèi)存地址被作為處理函數(shù)的地址，從而esp堆棧被控制，致使最后的代碼執(zhí)行：

3) 相關(guān)CVE

4) 相關(guān)APT組織

由于EPS漏洞本身利用難度較大，且EPS自O(shè)ffice 2010之后就處于沙箱中隔離執(zhí)行，因此往往還需要提權(quán)漏洞輔助，因此該系列漏洞的使用者往往是知名的大型APT組織。

5) 相關(guān)APT事件

APT28組織通過發(fā)送魚叉郵件（CVE-2017-0262/CVE-2017-0263）攻擊影響法國(guó)大選，郵件為附件為一個(gè)名為Trump’s_Attack_on_Syria_English.docx的Office文件，導(dǎo)致當(dāng)時(shí)馬克龍競(jìng)選團(tuán)隊(duì)多達(dá)9G的數(shù)據(jù)被上傳到外網(wǎng)。

6) 補(bǔ)丁及解決方案

個(gè)人用戶下載打開來(lái)源不明的文檔需要非常謹(jǐn)慎，使用360安全衛(wèi)士之類的防病毒木馬流氓軟件的工具進(jìn)行掃描以盡可能降低風(fēng)險(xiǎn)，如果有條件盡量使用虛擬機(jī)打開陌生文檔。

軟件廠商微軟已經(jīng)發(fā)布了漏洞相應(yīng)的補(bǔ)?。?/p>

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-2545

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0261

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0262

7.     Windows提權(quán)漏洞

近年來(lái)針對(duì)Windows客戶端的漏洞攻擊越來(lái)越多，這直接導(dǎo)致各大廠商對(duì)其客戶端軟件引入了“沙盒”保護(hù)技術(shù)，其核心思想即是將應(yīng)用程序運(yùn)行在隔離環(huán)境中，隔離環(huán)境通常是一個(gè)低權(quán)限的環(huán)境，也可以把沙盒看做是一個(gè)虛擬的容器，讓不是很安全的程序在運(yùn)行的過程中，即便客戶端軟件遭受惡意代碼的入侵也不會(huì)對(duì)使用者的計(jì)算機(jī)系統(tǒng)造成實(shí)際威脅。

引入了“沙盒”保護(hù)的常客戶端程序有：IE/Edge瀏覽器、Chrome瀏覽器、Adobe Reader、微軟Office辦公軟件等等。而客戶端程序漏洞如果配合Windows提權(quán)漏洞則可以穿透應(yīng)用程序“沙盒”保護(hù)。

1) 漏洞概述

在對(duì)Office辦公軟件的EPS（EncapsulatedPost Script）組件進(jìn)行漏洞攻擊的過程中，由于Office 2010及其高版本上的EPS腳本過濾器進(jìn)程fltldr.exe被保護(hù)在低權(quán)限沙盒內(nèi)，要攻破其中的低權(quán)限沙盒保護(hù)措施，攻擊者就必須要使用遠(yuǎn)程代碼執(zhí)行漏洞配合內(nèi)核提權(quán)漏洞進(jìn)行組合攻擊。所以我們選擇Win32k.sys中的本地權(quán)限提升漏洞（CVE-2017-0263）這一個(gè)配合EPS類型混淆漏洞（CVE-2017-0262）進(jìn)行組合攻擊的提權(quán)漏洞作為典型代表。

2) 漏洞詳情

CVE-2017-0263漏洞利用代碼首先會(huì)創(chuàng)建三個(gè)PopupMenus，并添加相應(yīng)的菜單。由于該UAF漏洞出現(xiàn)在內(nèi)核的WM_NCDESTROY事件中，并會(huì)覆蓋wnd2的tagWnd結(jié)構(gòu)，這樣可以設(shè)置bServerSideWindowProc標(biāo)志。一旦設(shè)置了bServerSideWindowProc，用戶模式的WndProc過程就會(huì)被視為內(nèi)核回調(diào)函數(shù)，所以會(huì)從內(nèi)核上下文中進(jìn)行調(diào)用。而此時(shí)的WndProc則被攻擊者替換成了內(nèi)核ShellCode，最終完成提權(quán)攻擊。

3) 相關(guān)CVE

4) 相關(guān)APT組織

5) 相關(guān)APT事件

針對(duì)日本和臺(tái)灣的APT攻擊以及APT28針對(duì)法國(guó)大選等攻擊事件。

6) 補(bǔ)丁及解決方案

個(gè)人用戶下載打開來(lái)源不明的文檔需要非常謹(jǐn)慎，使用360安全衛(wèi)士之類的防病毒木馬流氓軟件的工具進(jìn)行掃描以盡可能降低風(fēng)險(xiǎn)，如果有條件盡量使用虛擬機(jī)打開陌生文檔。

軟件廠商微軟已經(jīng)發(fā)布了漏洞相應(yīng)的補(bǔ)?。?/p>

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-2546

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2016-7255

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0001

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0263

8.     Flash漏洞

Flashplayer因?yàn)槠淇缙脚_(tái)的普及性，一直為各個(gè)APT組織關(guān)注，從2014年起，F(xiàn)lash漏洞開始爆發(fā)，尤其到2015年，HackingTeam泄露數(shù)據(jù)中兩枚0-day漏洞CVE-2015-5122/CVE-2015-5199，F(xiàn)lash漏洞相關(guān)的利用技術(shù)公開，F(xiàn)lash漏洞開始成為APT組織的新寵，盡管之后Adobe和Google合作，多個(gè)Flash安全機(jī)制陸續(xù)出爐（如隔離堆，vector length檢測(cè)），大大提高了Flash漏洞利用的門檻，但也不乏出現(xiàn)CVE-2015-7645這一類混淆漏洞的怪咖。這里我們選擇不久前發(fā)現(xiàn)的在野0-day    CVE-2018-4878作為這類漏洞的典型代表。

1) 漏洞概述

2018年1月31日，韓國(guó)CERT發(fā)布公告稱發(fā)現(xiàn)Flash0day漏洞（CVE-2018-4878）的野外利用，攻擊者通過發(fā)送包含嵌入惡意Flash對(duì)象的Office Word附件對(duì)指定目標(biāo)進(jìn)行攻擊。

2) 漏洞詳情

CVE-2018-4878通過Flash om.adobe.tvsdk包中的DRMManager對(duì)象進(jìn)行攻擊，如下代碼所示，triggeruaf函數(shù)中創(chuàng)建一個(gè)MyListener對(duì)象實(shí)例，通過initialize進(jìn)行初始化，并將該實(shí)例設(shè)置為null，之后的第一個(gè)LocalConnection().connect()會(huì)導(dǎo)致gc回收該實(shí)例內(nèi)存，第二次LocalConnection().connect()時(shí)觸發(fā)異常，在異常處理中會(huì)創(chuàng)建一個(gè)新的MyListener實(shí)例，內(nèi)存管理器會(huì)將之前MyListener對(duì)象實(shí)例的內(nèi)存分配給新對(duì)象，即此處的danglingpointer，設(shè)置timer，在其回調(diào)函數(shù)中檢測(cè)uaf是否觸發(fā)，成功則通過Mem_Arr進(jìn)行站位：

3) 相關(guān)CVE

4) 相關(guān)APT組織

5) 相關(guān)APT事件

Group123利用CVE-2018-4878攻擊韓國(guó)敏感部門。

6) 補(bǔ)丁及解決方案

個(gè)人用戶下載打開來(lái)源不明的文檔需要非常謹(jǐn)慎，使用360安全衛(wèi)士之類的防病毒木馬流氓軟件的工具進(jìn)行掃描以盡可能降低風(fēng)險(xiǎn)，如果有條件盡量使用虛擬機(jī)打開陌生文檔。

軟件廠商adobe已經(jīng)發(fā)布了漏洞相應(yīng)的補(bǔ)?。?/p>

https://helpx.adobe.com/security/products/flash-player/apsb18-03.html

https://helpx.adobe.com/security/products/flash-player/apsb17-32.html

9.     iOS三叉戟漏洞

iOS三叉戟漏洞是目前唯一一個(gè)公開披露的針對(duì)iOS系統(tǒng)瀏覽器的遠(yuǎn)程攻擊實(shí)例，并真實(shí)用于針對(duì)特點(diǎn)目標(biāo)的APT攻擊中。

1) 漏洞概述

iOS三叉戟漏洞是指針對(duì)iOS9.3.5版本之前的iOS系統(tǒng)的一系列0 day漏洞，其利用了3個(gè)0 day漏洞，包括一個(gè)WebKit漏洞，一個(gè)內(nèi)核地址泄露漏洞和一個(gè)提權(quán)漏洞。通過組合利用三個(gè)0 day漏洞可以實(shí)現(xiàn)遠(yuǎn)程對(duì)iOS設(shè)備的越獄，并且安裝運(yùn)行任意惡意代碼。

2) 漏洞詳情

iOS三叉戟漏洞利用載荷可以通過訪問特定的URL觸發(fā)，所以可以通過短信、郵件、社交網(wǎng)絡(luò)或者即時(shí)通訊等發(fā)送惡意鏈接誘導(dǎo)目標(biāo)人員點(diǎn)擊打開鏈接實(shí)現(xiàn)漏洞的觸發(fā)。由于WebKit JavaScriptCore庫(kù)存在任意代碼執(zhí)行漏洞，當(dāng)Safari瀏覽器訪問惡意鏈接并觸發(fā)惡意的JavaScript載荷執(zhí)行，其利用代碼進(jìn)入Safari WebContent進(jìn)程空間。其隨后利用另外兩個(gè)漏洞實(shí)現(xiàn)權(quán)限提升，并越獄掉iOS設(shè)備。最后三叉戟漏洞可以實(shí)現(xiàn)下載和運(yùn)行用于持久性控制的惡意模塊。

圖片來(lái)源[3]

3) 相關(guān)CVE

iOS三叉戟漏洞涉及3個(gè)0 day漏洞，其CVE編號(hào)及相關(guān)信息如下表所示：

4) 相關(guān)APT組織和事件

三叉戟漏洞的最初發(fā)現(xiàn)是因?yàn)榘⒙?lián)酋一名重要的人權(quán)捍衛(wèi)者Ahmed Mansoor在2016年8月10日和11日，其iPhone手機(jī)收到兩條短信，內(nèi)容為點(diǎn)擊鏈接可以查看關(guān)于關(guān)押在阿聯(lián)酋監(jiān)獄犯人遭受酷刑的秘密內(nèi)容。其隨后將短信內(nèi)容轉(zhuǎn)發(fā)給公民實(shí)驗(yàn)室(Citizen Lab)，由公民實(shí)驗(yàn)室和Lookout安全公司聯(lián)合分析發(fā)現(xiàn)，最后發(fā)現(xiàn)該三叉戟漏洞和相關(guān)惡意載荷與著名的以色列間諜軟件監(jiān)控公司NSO Group有關(guān)。

圖片來(lái)源[1]

5) 補(bǔ)丁及解決方案

蘋果公司隨后在2016年8月25日發(fā)布iOS 9.3.5，修補(bǔ)了三叉戟漏洞[2]。

10.Android瀏覽器remote2local漏洞利用

該Android瀏覽器漏洞利用代碼的泄露揭示了網(wǎng)絡(luò)軍火商和政府及執(zhí)法機(jī)構(gòu)利用遠(yuǎn)程攻擊漏洞針對(duì)Android用戶的攻擊和監(jiān)控，并且該漏洞利用過程實(shí)現(xiàn)幾乎完美，也體現(xiàn)了漏洞利用技術(shù)的藝術(shù)特點(diǎn)。

該漏洞利用代碼幾乎可以影響當(dāng)時(shí)絕大多數(shù)主流的Android設(shè)備和系統(tǒng)版本。

1） 漏洞概述

Android瀏覽器remote2local漏洞利用是2015年7月Hacking Team遭受入侵并泄露內(nèi)部源代碼資料事件后，其泄露源代碼中包含了針對(duì)Android 4.0.x-4.3.x系統(tǒng)版本的瀏覽器的攻擊利用代碼，其可以達(dá)到遠(yuǎn)程代碼執(zhí)行，并執(zhí)行提權(quán)代碼提升至root權(quán)限，最后達(dá)到靜默安裝惡意程序的目的。

該漏洞利用的組合了GoogleChrome的三個(gè)N-day漏洞和針對(duì)Android系統(tǒng)的提權(quán)漏洞完成完整的利用攻擊過程。

2） 漏洞詳情

該Android瀏覽器漏洞利用主要因?yàn)閃ebKit中關(guān)于XML語(yǔ)言解析和XSLT轉(zhuǎn)換的libxslt庫(kù)，其利用過程實(shí)際上是基于多個(gè)漏洞的組合利用過程。其首先利用一個(gè)信息泄露漏洞獲取內(nèi)存地址相關(guān)信息，并利用內(nèi)存任意讀寫構(gòu)造ROP攻擊最終實(shí)現(xiàn)執(zhí)行任意代碼的目的。其最后執(zhí)行提權(quán)代碼，該漏洞利用中使用的提權(quán)漏洞為CVE-2014-3153，其產(chǎn)生于內(nèi)核的Futex系統(tǒng)調(diào)用。當(dāng)提權(quán)獲得root權(quán)限以后，執(zhí)行靜默安裝惡意APK應(yīng)用。

3） 相關(guān)CVE

Hacking Team的針對(duì)Android瀏覽器的remote2local漏洞利用工具結(jié)合了3個(gè)針對(duì)瀏覽器的漏洞和2個(gè)用于提權(quán)的漏洞。

4） 相關(guān)APT組織和事件

該漏洞的相關(guān)利用情況沒有在歷史公開的事件報(bào)告中披露過，由于專注于向政府部門及執(zhí)法機(jī)構(gòu)提供電腦入侵與監(jiān)視服務(wù)的意大利公司Hacking Team在2015年7月遭受入侵，其內(nèi)部源代碼和相關(guān)資料郵件內(nèi)容被泄露，首次披露了其具有針對(duì)該漏洞的完整攻擊利用代碼。

并且在泄露的郵件中頻繁出現(xiàn)該公司向客戶說明該漏洞的利用方法和過程。

5） 補(bǔ)丁及解決方案

Google在發(fā)布的Android4.4系統(tǒng)版本修復(fù)了上述問題。

總結(jié)

方程式一類的頂尖APT組織掌握最先進(jìn)的漏洞攻擊技術(shù)

方程式一類頂尖的APT組織掌握了最先進(jìn)的漏洞攻擊技術(shù)，這包括了其對(duì)幾乎所有互聯(lián)網(wǎng)相關(guān)設(shè)施、設(shè)備、軟件、應(yīng)用漏洞的全覆蓋，而其它APT組織依然鐘情于使用客戶端軟件的漏洞進(jìn)行釣魚攻擊。

針對(duì)Office的漏洞攻擊依然是大部分APT攻擊的焦點(diǎn)

從使用頻率上來(lái)看，Office漏洞依然是大部分APT組織最常使用的漏洞，且依然是非常有效的APT攻擊入口。

移動(dòng)端APT攻擊逐漸成為新的熱點(diǎn)

移動(dòng)設(shè)備的普及程度和市場(chǎng)占有率的大幅度提升，所以APT組織也開始將針對(duì)其目標(biāo)對(duì)象的攻擊范圍延伸至移動(dòng)設(shè)備領(lǐng)域。在過去針對(duì)移動(dòng)設(shè)備攻擊的APT活動(dòng)中，以針對(duì)iOS系統(tǒng)的三叉戟漏洞和針對(duì)Android系統(tǒng)的Hacking Team泄露的瀏覽器攻擊利用尤為出眾，并揭示了移動(dòng)定向攻擊中也同樣具備過去網(wǎng)絡(luò)攻擊中展現(xiàn)的技術(shù)高級(jí)性特點(diǎn)，也揭示了網(wǎng)絡(luò)軍火商制作和販賣針對(duì)移動(dòng)平臺(tái)的網(wǎng)絡(luò)武器的事實(shí)。

感謝大家的閱讀，以上就是“APT組織使用的10大安全漏洞分別是什么”的全部?jī)?nèi)容了，學(xué)會(huì)的朋友趕緊操作起來(lái)吧。相信億速云小編一定會(huì)給大家?guī)?lái)更優(yōu)質(zhì)的文章。謝謝大家對(duì)億速云網(wǎng)站的支持！