“哥倆好”的兩國關(guān)系降至冰點(diǎn)，烏克蘭對俄羅斯使出了自爆的0day漏洞！

曾經(jīng)一奶同胞的鐵哥們兒，如今卻反目成仇！

俄羅斯和烏克蘭都曾經(jīng)是蘇聯(lián)的加盟國，自打2014年發(fā)生克里米亞危機(jī)后，這原本“哥倆好”的兩國關(guān)系迅速降至冰點(diǎn)，雙方曾一度劍拔弩張。

這不，直到現(xiàn)在這倆倒霉兄弟也沒消停著—;—;11月25日，烏克蘭海軍三艘軍艦穿越俄羅斯邊境向刻赤海峽航行。對峙期間，俄羅斯船只向?yàn)蹩颂m軍艦開火并將其扣押，這正是轟動(dòng)一時(shí)的“刻赤海峽”事件。

事發(fā)后，就在大家以為在國際壓力下，兩國將進(jìn)行協(xié)商而平息矛盾的時(shí)候，烏克蘭國卻突然宣布進(jìn)入全面戰(zhàn)備狀態(tài)。

死對頭亮劍，俄羅斯哪能甘拜下風(fēng)？隨后，俄羅斯便在克里米亞半島部署了第4個(gè)S-400“凱旋”防空導(dǎo)彈營，兩國之戰(zhàn)一觸即發(fā)。

更有媒體猜測，此次事件似乎是烏克蘭現(xiàn)任總理波羅申科為贏得新一屆總統(tǒng)選舉有意為之：為了讓事件第一次就能炸雷，波羅申科愣是在G20峰會前幾天自造“刻赤海峽事件”，使得美國總統(tǒng)特朗普被迫取消了原定在峰會上與普京的會晤。

美國：作，繼續(xù)作，倆倒霉玩意兒~

然而......還沒完！12月4日，360高級威脅應(yīng)對團(tuán)隊(duì)于11月29日在全球范圍第一時(shí)間發(fā)現(xiàn)了一起針對俄羅斯的APT攻擊行動(dòng)。值得注意的是，此次攻擊相關(guān)樣本來源于烏克蘭，攻擊目標(biāo)則直指俄羅斯聯(lián)邦總統(tǒng)事務(wù)管理局。

又作？接到消息后，趕緊找到好朋友360集團(tuán)助理總裁鄭文彬聊了聊，對此次APT攻擊事件的來龍去脈做了個(gè)全面了解。

玩兒“自毀”的Flash 0day漏洞

此次APT（高級持續(xù)性威脅）攻擊被360稱作“毒針”行動(dòng)，行動(dòng)以一份使用了最新Flash 0day漏洞cve-2018-15982和帶有自毀功能專屬木馬程序的俄文內(nèi)容員工問卷文檔為開端，攻擊過程主要分為三個(gè)階段：

1、攻擊者通過投遞rar壓縮包發(fā)起攻擊，打開壓縮包內(nèi)的誘餌文檔就會中招；

漏洞文檔攻擊過程

2、當(dāng)受害者打開員工問卷文檔后，將會播放Flash 0day文件；

播放Flash 0day漏洞

3、觸發(fā)漏洞后，winrar解壓程序?qū)僮鲏嚎s包內(nèi)文件，執(zhí)行最終的PE荷載backup.exe；

漏洞執(zhí)行進(jìn)程樹

不過，這Flash 0day漏洞究竟有何神通竟被選中對具備極高敏感度的俄羅斯聯(lián)邦總統(tǒng)事務(wù)管理局展開攻擊？

原來，此次的CVE-2018-15982 0day漏洞是flash包c(diǎn)om.adobe.tvsdk.mediacore.metadata中的一個(gè)UAF漏洞。利用代碼借助該漏洞，可以實(shí)現(xiàn)任意代碼執(zhí)行。

從最終荷載分析發(fā)現(xiàn)， E荷載是一個(gè)經(jīng)過VMP強(qiáng)加密的后門程序。解密后發(fā)現(xiàn)，主程序主要功能為創(chuàng)建一個(gè)窗口消息循環(huán)，有8個(gè)主要功能線程，其中包括定時(shí)自毀線程。

也就是說，這玩意兒它帶“自毀”功能。

鄭文彬說，此次攻擊木馬的定時(shí)自毀線程可以在完成攻擊任務(wù)之后將電腦中存留的木馬病毒、日志以及存留的痕跡全部銷毀。實(shí)際上，360安全大腦發(fā)現(xiàn)漏洞的過程就像在做拼圖游戲，最終目的正是將極度碎片化的樣本通過反推來逐漸還原?！?/p>

由此來看，由于攻擊本身具備自毀屬性，此次360安全大腦在發(fā)現(xiàn)漏洞的過程中其操作難度自然也會增加不少。

不是首次？APT攻擊早有源頭

11月29日下午，360安全大腦所屬Q(mào)EX團(tuán)隊(duì)和高級威脅沙箱團(tuán)隊(duì)分別通過應(yīng)對高級威脅的探針技術(shù)，云端沙箱首次探測到Flash 0Day漏洞。

隨后，追日團(tuán)隊(duì)對該樣本漏洞進(jìn)行了分析溯源并還原了攻擊全貌，最終將其確定為一起針對俄羅斯的APT攻擊行動(dòng)。

漏洞文檔內(nèi)容

據(jù)鄭文彬分析，利用UAF漏洞，攻擊者通過強(qiáng)制GC獲得一個(gè)垂懸指針進(jìn)行多次UAF實(shí)現(xiàn)任意地址讀寫繞過ASLR，最后借助HackingTeam泄露代碼中的方式繞過DEP/CFG，執(zhí)行shellcode。

也就是說，此次發(fā)起APT攻擊的攻擊者很可能是個(gè)“慣犯”，而上一次遭殃的正是這家名為HackingTeam的意大利軍火商。

作為為數(shù)不多的幾家向全世界執(zhí)法機(jī)構(gòu)出售監(jiān)控工具的公司之一，Hacking Team幫助政府針對新聞?dòng)浾摺⒓みM(jìn)分子、政府中的反對派以及其他對政府可能造成的威脅因素進(jìn)行入侵和監(jiān)控。

2015年7月，該公司遭黑客攻擊，旗下大量網(wǎng)絡(luò)武器和攻擊工具泄露，黑客利用其flash漏洞進(jìn)行大規(guī)模掛馬傳播，總傳播量上百萬，對整個(gè)互聯(lián)網(wǎng)安全構(gòu)成嚴(yán)重威脅。

Hacking Team被攻擊 大量信息遭泄露

鄭文彬說0此類攻擊的目標(biāo)很少，一般集中在國家機(jī)構(gòu)，但引起的危害就如同蝴蝶效應(yīng)一般，會引發(fā)巨大風(fēng)暴。

舉個(gè)例子，2015年圣誕節(jié)期間，烏克蘭國家電力部門遭受了APT攻擊，烏克蘭西部140萬名居民在嚴(yán)冬遭遇大規(guī)模停電事故，城市陷入一片恐慌。

可見，跨國APT攻擊事件若沒有被及時(shí)發(fā)現(xiàn)并制止，其后果不堪設(shè)想。

那么，此次APT攻擊事件的背后，攻擊者的目的又是什么呢？

據(jù)該機(jī)構(gòu)的官網(wǎng)信息顯示，被攻擊機(jī)構(gòu)所屬俄羅斯聯(lián)邦總統(tǒng)事務(wù)管理局，是專門為俄羅斯聯(lián)邦最高行政、立法、司法當(dāng)局的工作人員、科學(xué)家和藝術(shù)家提供服務(wù)的專業(yè)醫(yī)療機(jī)構(gòu)。

雖然目前還無法確定攻擊者的動(dòng)機(jī)和身份，但考慮到該醫(yī)療機(jī)構(gòu)的特殊背景和服務(wù)的敏感人群，這也使此次攻擊表現(xiàn)出了一些定向性。

該醫(yī)院機(jī)構(gòu)介紹

值得慶幸的是，攻擊事件發(fā)生后，360第一時(shí)間將0day漏洞的細(xì)節(jié)報(bào)告了Adobe官方。12月5日，Adobe官方加急發(fā)布了Flash 32.0.0.101版本修復(fù)了此次的0day漏洞并致謝360團(tuán)隊(duì)。

網(wǎng)友：忙幫了，Adobe不給點(diǎn)獎(jiǎng)勵(lì)？

發(fā)現(xiàn)漏洞后，360選擇最先在微博上公開此次監(jiān)測的詳細(xì)過程。截止今日，已經(jīng)有大批網(wǎng)友留言評論，其內(nèi)容可謂是腦洞大開。

而采訪過程中也從中挑選出兩條問題來詢問了鄭文彬：

微博昵稱為@鋼冰水火的網(wǎng)友：“忙也幫了，Adobe 就不考慮給點(diǎn)兒獎(jiǎng)勵(lì)嗎？”

鄭文彬：我覺得這是分兩面的，首先360自己會發(fā)現(xiàn)很多漏洞去反饋給廠商，各別廠商會設(shè)立相應(yīng)獎(jiǎng)勵(lì)計(jì)劃；另外，如果漏洞已被黑客利用，這種情況屬于0Day漏洞已被攻擊，危險(xiǎn)等級也會提高，一經(jīng)發(fā)現(xiàn)廠商將更加重視；

微博昵稱為@不返之六號歸復(fù)者：“美國的兩線進(jìn)攻？我猜老美背后操刀的可能性有85%?！?/p>

鄭文彬：對于沒有數(shù)據(jù)支撐的個(gè)人推測是不可信的，360完全通過現(xiàn)有樣本來分析相關(guān)證據(jù)，進(jìn)而確定此次APT攻擊事件的指向，目前尚不能確定具體的攻擊者身份或者攻擊者的明確意圖。

實(shí)際上，漏洞被發(fā)現(xiàn)并曝光之后不光對廠商起到了預(yù)警效果，同時(shí)也會使得攻擊計(jì)劃暫時(shí)擱淺或者不再執(zhí)行，這也為阻止APT攻擊事件持續(xù)發(fā)酵起到了積極作用。

“以人工智能技術(shù)為支撐，360安全大腦已經(jīng)實(shí)現(xiàn)在百億級樣本中追蹤高級威脅攻擊，這將為復(fù)雜的網(wǎng)絡(luò)系統(tǒng)鑄造一堵攻不破的“防火墻”?！?/p>

你認(rèn)為此次APT攻擊是否與“刻赤海峽”事件有著必然聯(lián)系呢？對于此次APT攻擊行動(dòng)你又有怎樣的獨(dú)到見解呢？快在文末留言分享給大家吧！