0
本文作者: 木子 | 2018-06-08 14:55 |
6月7日晚,Adobe 官方發(fā)布公告,宣布緊急發(fā)布安全補(bǔ)丁,修復(fù)最新被發(fā)現(xiàn)的Flash高危漏洞,并對(duì)發(fā)現(xiàn)這一漏洞利用的360核心安全高級(jí)威脅應(yīng)對(duì)團(tuán)隊(duì)公開(kāi)致謝。
作為全球最早捕獲使用Flash 零日漏洞的APT攻擊的安全團(tuán)隊(duì),360核心安全高級(jí)威脅應(yīng)對(duì)團(tuán)隊(duì)發(fā)現(xiàn),此次進(jìn)行APT攻擊的黑客,構(gòu)造了一個(gè)利用遠(yuǎn)程加載漏洞的Office文檔,用戶(hù)只要打開(kāi)文檔,攻擊者就能夠自動(dòng)遠(yuǎn)程下發(fā)漏洞利用代碼。
圖:Adobe官方致謝360核心安全高級(jí)威脅應(yīng)對(duì)團(tuán)隊(duì)
360安全專(zhuān)家介紹,攻擊者首先偽造一個(gè)類(lèi)似工資表的文檔,十分具有誘惑性。攻擊者通過(guò)activex控件和數(shù)據(jù)嵌入了一個(gè)遠(yuǎn)程的flash文件鏈接,用戶(hù)只要打開(kāi)文檔,遠(yuǎn)程服務(wù)器腳本就會(huì)下發(fā)漏洞攻擊代碼。
用戶(hù)運(yùn)行該文檔后,會(huì)自動(dòng)下載釋放惡意文件,文件再次請(qǐng)求服務(wù)端,下載加密數(shù)據(jù)以及解密KEY,動(dòng)態(tài)執(zhí)行惡意代碼。
圖:攻擊流程圖
360核心安全高級(jí)威脅應(yīng)對(duì)團(tuán)隊(duì)通過(guò)分析攻擊者IP地址、域名注冊(cè)時(shí)間等信息發(fā)現(xiàn),此次APT攻擊至少籌備了三個(gè)月以上的時(shí)間,并且,攻擊代碼經(jīng)過(guò)高度混淆,還偽裝域名,企圖“釣魚(yú)”,是一起典型的蓄謀已久的APT攻擊。
360核心安全高級(jí)威脅應(yīng)對(duì)團(tuán)隊(duì)是全球率先捕獲此APT攻擊的安全團(tuán)隊(duì),并在攻擊樣本中成功定位到了零日漏洞攻擊代碼。這也是今年出現(xiàn)的第二波利用Flash零日漏洞的在野攻擊。
捕獲此次APT攻擊行為之后,360安全團(tuán)隊(duì)向Adobe官方反饋了漏洞與攻擊情況,因此獲得了Adobe在官方公告中的公開(kāi)致謝。作為中國(guó)最大的互聯(lián)網(wǎng)安全公司,360一直關(guān)注Flash安全研究,協(xié)助Flash修復(fù)百余個(gè)安全漏洞,這一成績(jī)?cè)趪?guó)內(nèi)外安全廠(chǎng)商中遙遙領(lǐng)先。
360安全中心提醒用戶(hù),相關(guān)單位和普通用戶(hù)都需提高安全防范意識(shí),及時(shí)更新Flash版本。該漏洞目前影響Adobe Flash Player 29.0.0.171及其以下版本。請(qǐng)勿隨意打開(kāi)未知來(lái)路的office文檔。
同時(shí),提醒各相關(guān)企、事業(yè)單位,警惕利用零日漏洞發(fā)動(dòng)的定向攻擊,使用360安全衛(wèi)士等防御可能出現(xiàn)的漏洞威脅。
雷峰網(wǎng)版權(quán)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。