欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

近年来APT组织使用的10大(类)安全漏洞

来源:本站整理 作者:佚名 时间:2018-04-11 TAG: 我要投稿

概述
APT攻击(Advanced Persistent Threat,高级持续性威胁)是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在精确的信息收集、高度的隐蔽性、以及使用各种复杂的目标系统/应用程序漏洞等方面。
为了能够更加全面的了解全球APT研究的前沿成果,360威胁情报中心对APT攻击中最重要的部分(APT组织所使用的安全漏洞)进行了梳理,在参考了各类APT研究报告和研究成果、APT攻击活动或APT组织最常使用的漏洞、以及漏洞的价值等几项指标后,并结合360威胁情报中心对APT攻击这类网络战的理解,筛选出近年来APT组织所使用的10大(类)安全漏洞。
在本报告中360威胁情报中心首先会阐述APT组织使用的主流漏洞的价值评定标准和各APT组织最常用的漏洞类别,这些组成了评选这10大(类)漏洞的主要观点和理由。然后针对APT组织使用的10大(类)安全漏洞选出最具代表性的单个漏洞,并对每个漏洞的背景、利用及影响范围、相关APT组织和重要事件进行介绍,之后提出对每类漏洞的防护对策和建议。最后,基于之前章节的分析,360威胁情报中心针对APT使用的漏洞发展趋势进行了总结并提出了自己的一些结论。
主要观点
方程式一类的顶尖APT组织所使用的漏洞攻击技术远远领先其他APT组织
方程式一类的顶尖APT组织的攻击技术、网络战思维远远领先于其他APT组织。可以将方程式一类组织的APT攻击技术划分为一类,其它组织的APT攻击技术划分为另外一类。这主要体现在顶尖的APT攻击主要是通过底层植入,攻击核心路由/防火墙等网络基础设施,攻击网络服务器等来实现定点精确打击。而其它APT组织则主要通过钓鱼类攻击配合客户端漏洞来实施APT攻击。

方程式组织 Quantuminsert(量子植入)通过攻击网络基础设施实现定点打击
狭义漏洞分类
我们可以狭义的将APT组织常用的漏洞分为攻击网络基础设施/服务器/服务类的漏洞和攻击客户端应用软件类的漏洞。
网络基础设施/服务器/服务类漏洞
这类漏洞主要影响网络基础设施(路由交换设备、防火墙等)、服务器、各类服务(SMB/RPC/IIS/远程桌面等等)。攻击者通常可以通过使用相应的漏洞攻陷核心网络设施进而横向移动或者进一步向网络中的其它客户端植入恶意代码,危害巨大,从公开信息来看,这类漏洞主要为方程式一类的顶尖APT组织所使用。
客户端软件类漏洞
这类漏洞主要通过钓鱼类攻击手段实施攻击,主要针对客户端应用软件,比如浏览器、Office办公软件、PDF等等,这类漏洞的缺点是需要目标用户交互,所以漏洞价值整体低于攻击服务端的漏洞价值。
APT组织十大(类)漏洞
360威胁情报中心评选出了APT组织近年来使用的10大(类)漏洞,这其中包含了2类服务端漏洞,8类客户端漏洞。服务端漏洞中包含了NSA网络武器库中的防火墙设备漏洞和“永恒之蓝”使用的SMB协议漏洞。客户端漏洞中包含了移动端Android和iOS的2类漏洞,4类微软Office软件漏洞以及Flash类漏洞和Windows提权漏洞。
360威胁情报中心将会针对每类漏洞的背景、漏洞利用、相关漏洞及影响范围、相关APT组织及事件、补丁及解决方案等分别进行介绍。
1. 防火墙设备漏洞
防火墙作为网络边界设备,通常不属于攻击者攻击的目标,尤其在APT领域中针对防火墙设备的漏洞就更为少见,直到2016年第一批Shadow Broker泄露的工具中大量针对防火墙及路由设备的工具被曝光,方程式组织多年来直接攻击边界设备的活动才被彻底曝光,此处我们选择 CVE-2016-6366作为这类漏洞的典型代表。
而方程式组织的Quantum insert(量子植入攻击工具)则正是通过入侵边界防火墙、路由设备等来监听/识别网络内的受害者虚拟ID,进而向被攻击者的网络流量中“注入”相应应用程序(比如IE浏览器)的漏洞攻击代码进行精准的恶意代码植入。
1) 漏洞概述
2016年8月13日客组织ShadowBrokers声称攻破了为NSA开发网络武器的黑客团队Equation Group,并公开其内部使用的相关工具,EXBA-extrabacon工具,该工具基于0-day漏洞CVE-2016-6366,为Cisco防火墙SNMP服务模块的一处缓冲区溢出漏洞。
2) 漏洞详情
CVE-2016-6366(基于Cisco防火墙SNMP服务模块的一处缓冲区溢出漏洞),目标设备必须配置并启用SNMP协议,同时必须知道SNMP的通信码,漏洞执行之后可关闭防火墙对Telnet/SSH的认证,从而允许攻击者进行未授权的操作。
如下所示sub_817A5A0为对应固件中自实现的copy函数,函数内部没有检测长度,函数的调用方同样也没有对拷贝的长度进行检测,从而导致溢出。

最终可实现任意Telnet登陆:

3) 相关CVE
CVE编号
漏洞说明
CVE-2016-6366
SNMP服务模块的一处缓冲区溢出漏洞
CVE-2016-6367
远程代码执行
4) 相关APT组织
APT组织
CVE编号
Equation Group
CVE-2016-6366
Equation Group
CVE-2016-6367
5) 相关APT事件
NSA针对全球范围实施的绝密电子监听计划(棱镜计划)。
6) 补丁及解决方案
及时更新网络边界设备固件
软件厂商思科已经发布了漏洞相应的补丁
https://blogs.cisco.com/security/shadow-brokers
2. SMB通信协议漏洞
SMB(Server MessageBlock)通信协议是微软(Microsoft)和英特尔(Intel)在1987年制定的协议,主要是作为Microsoft网络的通讯协议。
2017年4月14日ShadowBrokers公布了之前泄露文档中出现的Windows相关部分的文件,该泄露资料中包含了一套针对Windows系统相关的远程代码利用框架(涉及的网络服务范围包括SMB、RDP、IIS及各种第三方的邮件服务器),其中一系列的SMB远程漏洞0day工具(EternalBlue,Eternalromance,Eternalchampoin,Eternalsynergy)之后被集成到多个蠕虫家族中,同年5月12日爆发的WanaCry当时就集成了EternalBlue。

[1] [2] [3] [4] [5] [6]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载