欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Hacking Team卷土重来?CVE-2018-5002 Flash 0day漏洞APT攻击分析与关联

来源:本站整理 作者:佚名 时间:2018-06-13 TAG: 我要投稿

60企业安全威胁情报中心近期捕获到了一例使用Flash 0day漏洞配合微软Office文档发起的APT攻击案例,攻击使用的样本首次使用了无Flash文件内置技术(Office文档内不包含Flash实体文件)。我们在确认漏洞以后第一时间通知了厂商Adobe,成为国内第一个向厂商报告此攻击及相关漏洞的组织,Adobe在昨日发布的安全通告中致谢了360威胁情报中心。

Adobe反馈确认漏洞存在并公开致谢
整个漏洞攻击过程高度工程化:攻击者将Loader(第一阶段用于下载Exploit的Flash文件)、Exploit(第二阶段漏洞利用代码)、Payload(第三阶段ShellCode)分别部署在服务器上,只有每一阶段的攻击/检测成功才会继续下载执行下一阶段的代码,这样导致还原整个攻击流程和漏洞利用代码变得非常困难。360威胁情报中心通过样本的特殊构造分析、大数据关联、域名分析,发现本次使用的相关漏洞攻击武器疑似与Hacking Team有关。
由于此漏洞及相应的攻击代码极有可能被黑产和其他APT团伙改造以后利用来执行大规模的攻击,构成现实的威胁,因此,360威胁情报中心提醒用户采取应对措施。
相关漏洞概要
漏洞名称
Adobe Flash Player远程代码执行漏洞
威胁类型
远程代码执行
威胁等级

漏洞ID
CVE-2018-5002
利用场景
攻击者通过网页下载、电子邮件、即时通讯等渠道向受害者发送恶意构造的Office文件诱使其打开处理,可能触发漏洞在用户系统上执行任意指令获取控制。
受影响系统及应用版本
Adobe Flash Player(29.0.0.171及更早的版本)
不受影响影响系统及应用版本
Adobe Flash Player 30.0.0.113(修复后的最新版本)
修复及升级地址
https://get.adobe.com/flashplayer/
样本概况
从捕获到的攻击样本语言属性、CC服务器关联信息我们推断这是一起针对卡塔尔地区的APT攻击。样本于5月31日被上传到VirusTotal以后的几天内为0恶意检出的状态,直到6月7日也只有360公司的病毒查杀引擎将其识别为恶意代码,360威胁情报中心通过细致的分析发现了其中包含的0day漏洞的利用。

攻击分析
通过对样本执行过程的跟踪记录,我们还原的样本整体执行流程如下:

包含Flash 0day的恶意文档整体执行流程
诱饵文档
攻击者首先向相关人员发送含有Flash ActiveX对象的Excel诱饵文档,诱骗受害者打开:

Flash ActiveX控件
而诱饵文档中包含了一个FlashActiveX控件:

但该FlashActiveX对象中并不包含实体Flash文件,需要加载的Flash文件通过ActiveX对象中的URL连接地址远程加载,这样能非常好的躲避杀毒软件查杀:

通过Excel文档向远程加载的Flash传递参数,其中包含了第二阶段Flash的下载地址以及样本和CC服务器的通信地址:

第一阶段Flash
通过FlashActiveX对象中的URL连接地址下载回来一阶段的Flash文件,该Flash文件最主要的功能是继续和远程服务器通信并下载回来使用AES加密后的第二阶段Flash文件:

获取第一阶段Flash文件
第二阶段Flash 0day
由于第一阶段的Flash会落地,所以为了避免实施漏洞攻击的Flash代码被查杀或者被捕获,攻击者通过第一阶段的Flash Loader继续从服务器下载加密的攻击模块并内存加载。
从服务器返回的数据为[KEY+AES加密数据]的形式,第一阶段的Flash文件将返回的数据解密出第二阶段的Flash文件:

获取AES加密后的第二阶段Flash
解密出使用AES CBC模式加密的第二阶段的Flash文件:

接着内存加载第二阶段的Flash文件,第二阶段的Flash文件中则包含Flash0day漏洞利用代码:

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载