6月7日晚，Adobe 官方發(fā)布公告，宣布緊急發(fā)布安全補(bǔ)丁，修復(fù)最新被發(fā)現(xiàn)的Flash高危漏洞，并對(duì)發(fā)現(xiàn)這一漏洞利用的360核心安全高級(jí)威脅應(yīng)對(duì)團(tuán)隊(duì)公開(kāi)致謝。

作為全球最早捕獲使用Flash 零日漏洞的APT攻擊的安全團(tuán)隊(duì)，360核心安全高級(jí)威脅應(yīng)對(duì)團(tuán)隊(duì)發(fā)現(xiàn)，此次進(jìn)行APT攻擊的黑客，構(gòu)造了一個(gè)利用遠(yuǎn)程加載漏洞的Office文檔，用戶(hù)只要打開(kāi)文檔，攻擊者就能夠自動(dòng)遠(yuǎn)程下發(fā)漏洞利用代碼。

 

圖：Adobe官方致謝360核心安全高級(jí)威脅應(yīng)對(duì)團(tuán)隊(duì)

360安全專(zhuān)家介紹，攻擊者首先偽造一個(gè)類(lèi)似工資表的文檔，十分具有誘惑性。攻擊者通過(guò)activex控件和數(shù)據(jù)嵌入了一個(gè)遠(yuǎn)程的flash文件鏈接，用戶(hù)只要打開(kāi)文檔，遠(yuǎn)程服務(wù)器腳本就會(huì)下發(fā)漏洞攻擊代碼。

用戶(hù)運(yùn)行該文檔后，會(huì)自動(dòng)下載釋放惡意文件，文件再次請(qǐng)求服務(wù)端，下載加密數(shù)據(jù)以及解密KEY，動(dòng)態(tài)執(zhí)行惡意代碼。

圖：攻擊流程圖

360核心安全高級(jí)威脅應(yīng)對(duì)團(tuán)隊(duì)通過(guò)分析攻擊者IP地址、域名注冊(cè)時(shí)間等信息發(fā)現(xiàn)，此次APT攻擊至少籌備了三個(gè)月以上的時(shí)間，并且，攻擊代碼經(jīng)過(guò)高度混淆，還偽裝域名，企圖“釣魚(yú)”，是一起典型的蓄謀已久的APT攻擊。

360核心安全高級(jí)威脅應(yīng)對(duì)團(tuán)隊(duì)是全球率先捕獲此APT攻擊的安全團(tuán)隊(duì)，并在攻擊樣本中成功定位到了零日漏洞攻擊代碼。這也是今年出現(xiàn)的第二波利用Flash零日漏洞的在野攻擊。

捕獲此次APT攻擊行為之后，360安全團(tuán)隊(duì)向Adobe官方反饋了漏洞與攻擊情況，因此獲得了Adobe在官方公告中的公開(kāi)致謝。作為中國(guó)最大的互聯(lián)網(wǎng)安全公司，360一直關(guān)注Flash安全研究，協(xié)助Flash修復(fù)百余個(gè)安全漏洞，這一成績(jī)?cè)趪?guó)內(nèi)外安全廠(chǎng)商中遙遙領(lǐng)先。

360安全中心提醒用戶(hù)，相關(guān)單位和普通用戶(hù)都需提高安全防范意識(shí)，及時(shí)更新Flash版本。該漏洞目前影響Adobe Flash Player 29.0.0.171及其以下版本。請(qǐng)勿隨意打開(kāi)未知來(lái)路的office文檔。

同時(shí)，提醒各相關(guān)企、事業(yè)單位，警惕利用零日漏洞發(fā)動(dòng)的定向攻擊，使用360安全衛(wèi)士等防御可能出現(xiàn)的漏洞威脅。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。