当前位置:首页 > 芯闻号 > 充电吧
[导读]曾经一奶同胞的铁哥们儿,如今却反目成仇!俄罗斯和乌克兰都曾经是苏联的加盟国,自打2014年发生克里米亚危机后,这原本“哥俩好”的两国关系迅速降至冰点,双方曾一度剑拔弩张。这不,直到现在这俩倒霉兄弟也没

曾经一奶同胞的铁哥们儿,如今却反目成仇!

俄罗斯和乌克兰都曾经是苏联的加盟国,自打2014年发生克里米亚危机后,这原本“哥俩好”的两国关系迅速降至冰点,双方曾一度剑拔弩张。

这不,直到现在这俩倒霉兄弟也没消停着—;—;11月25日,乌克兰海军三艘军舰穿越俄罗斯边境向刻赤海峡航行。对峙期间,俄罗斯船只向乌克兰军舰开火并将其扣押,这正是轰动一时的“刻赤海峡”事件。

事发后,就在大家以为在国际压力下,两国将进行协商而平息矛盾的时候,乌克兰国却突然宣布进入全面战备状态。

死对头亮剑,俄罗斯哪能甘拜下风?随后,俄罗斯便在克里米亚半岛部署了第4个S-400“凯旋”防空导弹营,两国之战一触即发。

更有媒体猜测,此次事件似乎是乌克兰现任总理波罗申科为赢得新一届总统选举有意为之:为了让事件第一次就能炸雷,波罗申科愣是在G20峰会前几天自造“刻赤海峡事件”,使得美国总统特朗普被迫取消了原定在峰会上与普京的会晤。


美国:作,继续作,俩倒霉玩意儿~

然而......还没完!12月4日,360高级威胁应对团队于11月29日在全球范围第一时间发现了一起针对俄罗斯的APT攻击行动。值得注意的是,此次攻击相关样本来源于乌克兰,攻击目标则直指俄罗斯联邦总统事务管理局。

又作?接到消息后,赶紧找到好朋友360集团助理总裁郑文彬聊了聊,对此次APT攻击事件的来龙去脉做了个全面了解。

玩儿“自毁”的Flash 0day漏洞

此次APT(高级持续性威胁)攻击被360称作“毒针”行动,行动以一份使用了最新Flash 0day漏洞cve-2018-15982和带有自毁功能专属木马程序的俄文内容员工问卷文档为开端,攻击过程主要分为三个阶段:

1、攻击者通过投递rar压缩包发起攻击,打开压缩包内的诱饵文档就会中招;


漏洞文档攻击过程

2、当受害者打开员工问卷文档后,将会播放Flash 0day文件;


播放Flash 0day漏洞

3、触发漏洞后,winrar解压程序将会操作压缩包内文件,执行最终的PE荷载backup.exe;


漏洞执行进程树

不过,这Flash 0day漏洞究竟有何神通竟被选中对具备极高敏感度的俄罗斯联邦总统事务管理局展开攻击?

原来,此次的CVE-2018-15982 0day漏洞是flash包com.adobe.tvsdk.mediacore.metadata中的一个UAF漏洞。利用代码借助该漏洞,可以实现任意代码执行。

从最终荷载分析发现, E荷载是一个经过VMP强加密的后门程序。解密后发现,主程序主要功能为创建一个窗口消息循环,有8个主要功能线程,其中包括定时自毁线程。

也就是说,这玩意儿它带“自毁”功能。

郑文彬说,此次攻击木马的定时自毁线程可以在完成攻击任务之后将电脑中存留的木马病毒、日志以及存留的痕迹全部销毁。实际上,360安全大脑发现漏洞的过程就像在做拼图游戏,最终目的正是将极度碎片化的样本通过反推来逐渐还原。”

由此来看,由于攻击本身具备自毁属性,此次360安全大脑在发现漏洞的过程中其操作难度自然也会增加不少。

不是首次?APT攻击早有源头

11月29日下午,360安全大脑所属QEX团队和高级威胁沙箱团队分别通过应对高级威胁的探针技术,云端沙箱首次探测到Flash 0Day漏洞。

随后,追日团队对该样本漏洞进行了分析溯源并还原了攻击全貌,最终将其确定为一起针对俄罗斯的APT攻击行动。


漏洞文档内容

据郑文彬分析,利用UAF漏洞,攻击者通过强制GC获得一个垂悬指针进行多次UAF实现任意地址读写绕过ASLR,最后借助HackingTeam泄露代码中的方式绕过DEP/CFG,执行shellcode。

也就是说,此次发起APT攻击的攻击者很可能是个“惯犯”,而上一次遭殃的正是这家名为HackingTeam的意大利军火商。

作为为数不多的几家向全世界执法机构出售监控工具的公司之一,Hacking Team帮助政府针对新闻记者、激进分子、政府中的反对派以及其他对政府可能造成的威胁因素进行入侵和监控。

2015年7月,该公司遭黑客攻击,旗下大量网络武器和攻击工具泄露,黑客利用其flash漏洞进行大规模挂马传播,总传播量上百万,对整个互联网安全构成严重威胁。


Hacking Team被攻击 大量信息遭泄露

郑文彬说0此类攻击的目标很少,一般集中在国家机构,但引起的危害就如同蝴蝶效应一般,会引发巨大风暴。

举个例子,2015年圣诞节期间,乌克兰国家电力部门遭受了APT攻击,乌克兰西部140万名居民在严冬遭遇大规模停电事故,城市陷入一片恐慌。

可见,跨国APT攻击事件若没有被及时发现并制止,其后果不堪设想。

那么,此次APT攻击事件的背后,攻击者的目的又是什么呢?

据该机构的官网信息显示,被攻击机构所属俄罗斯联邦总统事务管理局,是专门为俄罗斯联邦最高行政、立法、司法当局的工作人员、科学家和艺术家提供服务的专业医疗机构。

虽然目前还无法确定攻击者的动机和身份,但考虑到该医疗机构的特殊背景和服务的敏感人群,这也使此次攻击表现出了一些定向性。


该医院机构介绍

值得庆幸的是,攻击事件发生后,360第一时间将0day漏洞的细节报告了Adobe官方。12月5日,Adobe官方加急发布了Flash 32.0.0.101版本修复了此次的0day漏洞并致谢360团队。

网友:忙帮了,Adobe不给点奖励?

发现漏洞后,360选择最先在微博上公开此次监测的详细过程。截止今日,已经有大批网友留言评论,其内容可谓是脑洞大开。

而采访过程中也从中挑选出两条问题来询问了郑文彬:

微博昵称为@钢冰水火的网友:“忙也帮了,Adobe 就不考虑给点儿奖励吗?”

郑文彬:我觉得这是分两面的,首先360自己会发现很多漏洞去反馈给厂商,各别厂商会设立相应奖励计划;另外,如果漏洞已被黑客利用,这种情况属于0Day漏洞已被攻击,危险等级也会提高,一经发现厂商将更加重视;

微博昵称为@不返之六号归复者:“美国的两线进攻?我猜老美背后操刀的可能性有85%。”

郑文彬:对于没有数据支撑的个人推测是不可信的,360完全通过现有样本来分析相关证据,进而确定此次APT攻击事件的指向,目前尚不能确定具体的攻击者身份或者攻击者的明确意图。

实际上,漏洞被发现并曝光之后不光对厂商起到了预警效果,同时也会使得攻击计划暂时搁浅或者不再执行,这也为阻止APT攻击事件持续发酵起到了积极作用。

“以人工智能技术为支撑,360安全大脑已经实现在百亿级样本中追踪高级威胁攻击,这将为复杂的网络系统铸造一堵攻不破的“防火墙”。”

你认为此次APT攻击是否与“刻赤海峡”事件有着必然联系呢?对于此次APT攻击行动你又有怎样的独到见解呢?快在文末留言分享给大家吧!

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭