扫一扫微信二维码

电话资源信息采集:首家发现使用Adobe Flash 0day漏洞的国家级网络攻击行动

2018-12-18 11:24:26

近年来,乌克兰和俄罗斯两国之间盘绕领土问题的争论不时,发作了克里米亚半岛问题、自然气争端、乌克兰东部危机等事情。随同着两国危机事情愈演愈烈之时,在网络空间中发作的平安事情可能比理想愈加剧烈。2015年圣诞节期间乌克兰国度电力部门遭到了APT组织的猛烈攻击,使乌克兰西部的 140 万名居民在严寒中遭遇了大停电的煎熬,城市堕入恐慌损失沉重,而相应的俄罗斯所遭受的APT攻击,外界却极少有披露。

2018年11月25日,乌俄两国又突发了“刻赤海峡”事情,(客户信息采集)乌克兰的数艘海军军舰在向刻赤海峡飞行期间,与俄罗斯海军发作了剧烈抵触,引发了全世界的高度关注。在2018年11月29日,“刻赤海峡”事情后稍晚时间,360高级要挟应对团队就在全球范围内第一时间发现了一同针对俄罗斯的APT攻击行动。值得留意的是此次攻击相关样原本源于乌克兰,攻击目的则指向俄罗斯总统办公室所属的医疗机构。攻击者精心准备了一份俄文内容的员工问卷文档,该文档运用了最新的Flash 0day破绽cve-2018-15982和带有自毁功用的专属木马程序停止攻击,种种技术细节标明该APT组织不惜代价要攻下目的,但同时又非常当心慎重。在发现攻击后,我们第一时间将0day破绽的细节报告了Adobe官方,Adobe官方及时响应后在12月5日加急发布了新的Flash 32.0.0.101版本修复了此次的0day破绽。

图1:破绽文档内容

依照被攻击医疗机构的网站(http://www.p2f.ru) 引见,该医疗机构成立于1965年,开创人是俄罗斯联邦总统办公室,是特地为俄罗斯联邦最高行政、立法、司法当局的工作人员、科学家和艺术家提供效劳的专业医疗机构。由于这次攻击属于360在全球范围内的初次发现,分离被攻击目的医疗机构的职能特征,我们将此次APT攻击命名为“毒针”行动。目前我们还无法肯定攻击者的动机和身份,但该医疗机构的特殊背景和效劳的敏感人群,使此次攻击表现出了明白的定向性,同时攻击发作在“刻赤海峡”危机的敏感时段,也为攻击带上了一些未知的政治企图。

图2: 该医院机构引见

攻击过程剖析

攻击者经过投递rar紧缩包发起攻击,翻开紧缩包内的诱饵文档就会中招。完好攻击流程如下:

图3: 破绽文档攻击过程

当受害者翻开员工问卷文档后,将会播放Flash 0day文件。

图4: 播放Flash 0day破绽

触发破绽后, winrar解压程序将会操作紧缩包内文件,执行最终的PE荷载backup.exe。

图5: 破绽执行进程树

0day破绽剖析

经过剖析我们发现此次股票电话资源的CVE-2018-15982 0day破绽是flash包com.adobe.tvsdk.mediacore.metadata中的一个UAF破绽。Metadata类的setObject在将String类型(属于RCObject)的对象保管到Metadata类对象的keySet成员时,没有运用DRCWB(Deferred Reference Counted, with Write Barrier)。攻击者应用这一点,经过强迫GC取得一个垂悬指针,在此根底上经过屡次UAF停止屡次类型混杂,随后借助两个自定义类的交互操作完成恣意地址读写,在此根底上泄露ByteArray的虚表指针,从而绕过ASLR,最后借助HackingTeam泄露代码中的方式绕过DEP/CFG,执行shellcode。