Was sind die zehn größten Sicherheitslücken, die von APT-Gruppen genutzt werden?

PHPz
Freigeben: 2023-05-26 14:54:17
nach vorne
1606 Leute haben es durchsucht

Übersicht

APT-Angriff (Advanced Persistent Threat, Advanced Persistent Threat) ist eine Angriffsform, die fortschrittliche Angriffsmethoden nutzt, um langfristige und anhaltende Netzwerkangriffe auf bestimmte Ziele durchzuführen. Das Prinzip von APT-Angriffen ist fortschrittlicher und fortgeschrittener als bei anderen Angriffsformen. Sein fortgeschrittener Charakter spiegelt sich hauptsächlich in der präzisen Informationserfassung, der hohen Verschleierung und der Nutzung verschiedener komplexer Zielsystem-/Anwendungsschwachstellen wider.

Um ein umfassenderes Verständnis der neuesten Ergebnisse der globalen APT-Forschung zu erhalten, hat das 360 ​​Threat Intelligence Center den wichtigsten Teil von APT-Angriffen (von APT-Organisationen genutzte Sicherheitslücken) herausgefunden, nachdem darauf verwiesen wurde Verschiedene APT-Forschungsberichte und basierend auf mehreren Indikatoren wie Forschungsergebnissen, APT-Angriffsaktivitäten oder den von APT-Organisationen am häufigsten genutzten Schwachstellen und dem Wert der Schwachstellen, kombiniert mit dem Verständnis des 360 Threat Intelligence Centers für Cyber-Kriegsführung wie APT Angriffe haben wir die von APT-Organisationen in den letzten Jahren genutzten Schwachstellen herausgesucht.

In diesem Bericht erläutert das 360 Threat Intelligence Center zunächst die Wertbewertungsstandards der von APT-Organisationen verwendeten Mainstream-Schwachstellen und die von jeder APT-Organisation am häufigsten verwendeten Schwachstellenkategorien. Dies sind die wichtigsten Standpunkte und Gründe für die Auswahl dieser 10 Hauptschwachstellen (). Kategorien). Anschließend wird die repräsentativste einzelne Schwachstelle für die 10 wichtigsten Sicherheitslücken (Kategorien) ausgewählt, die von APT-Organisationen verwendet werden. Anschließend werden der Hintergrund, die Nutzung und der Auswirkungsbereich jeder Schwachstelle, verwandte APT-Organisationen und wichtige Ereignisse vorgestellt und anschließend jeweils eine Zusammenfassung gegeben Kategorie wird Gegenmaßnahmen und Vorschläge zum Schutz vor Sicherheitslücken vorgeschlagen. Basierend auf der Analyse in den vorherigen Kapiteln fasste das 360 Threat Intelligence Center abschließend die Entwicklungstrends der von APT genutzten Schwachstellen zusammen und zog einige eigene Schlussfolgerungen.

Hauptpunkt

Die von Top-APT-Organisationen wie Equation verwendete Schwachstellenangriffstechnologie ist anderen APT-Organisationen weit voraus.

Andere APT-Organisationen liegen in Bezug auf Angriffstechnologie und Cyber ​​weit hinter Top-APT-Organisationen wie Equation zurück Kriegsdenken. APT-Angriffstechniken können in zwei Kategorien unterteilt werden: Die eine sind die Angriffstechniken von Organisationen, die durch Gleichung dargestellt werden, und die andere sind die Angriffstechniken anderer Organisationen. Dies spiegelt sich vor allem darin wider, dass Top-APT-Angriffe vor allem gezielte und präzise Angriffe durch zugrunde liegende Implantation, Angriffe auf Netzwerkinfrastrukturen wie Kernrouting/Firewalls und Angriffe auf Netzwerkserver erzielen. Andere APT-Organisationen nutzen hauptsächlich Phishing-Angriffe in Kombination mit Client-Schwachstellen, um APT-Angriffe durchzuführen. 🔜 Typ-Schwachstellen und Schwachstellen, die Client-Anwendungssoftware angreifen.

Was sind die zehn größten Sicherheitslücken, die von APT-Gruppen genutzt werden?Schwachstellen in Netzwerkinfrastruktur/Server/Diensten

Diese Art von Schwachstelle betrifft hauptsächlich die Netzwerkinfrastruktur (Routing- und Switching-Geräte, Firewalls usw.), Server und verschiedene Dienste (SMB/RPC/IIS/Remotedesktop usw.). ). Angreifer können in der Regel entsprechende Schwachstellen nutzen, um zentrale Netzwerkeinrichtungen zu kompromittieren und dann Schadcode seitlich in andere Clients einzuschleusen, was nach öffentlichen Informationen großen Schaden anrichtet. Solche Schwachstellen werden hauptsächlich von Top-APTs wie Equation genutzt die Organisation.

Sicherheitslücken in der Client-Software

Diese Art von Sicherheitslücke greift hauptsächlich durch Phishing-Angriffe an, die hauptsächlich auf Client-Anwendungssoftware wie Browser, Office-Software, PDF usw. abzielen. Der Nachteil dieser Art von Sicherheitslücke besteht darin, dass sie einen Zielbenutzer erfordert Interaktion, daher ist der Gesamtanfälligkeitswert niedriger als der Anfälligkeitswert eines Angriffs auf den Server.

Die zehn häufigsten (Kategorie-)Schwachstellen der APT-Organisation360 Threat Intelligence Center hat die zehn (Kategorie-)Schwachstellen ausgewählt, die in den letzten Jahren von APT-Organisationen am häufigsten verwendet wurden, darunter zwei Arten von serverseitigen Schwachstellen und acht Arten von clientseitigen Schwachstellen . Zu den serverseitigen Schwachstellen zählen Schwachstellen in Firewall-Geräten im Netzwerkarsenal der NSA und Schwachstellen im SMB-Protokoll, die von „Eternal Blue“ ausgenutzt werden. Zu den clientseitigen Schwachstellen gehören Schwachstellen vom Typ 2 in mobilen Android- und iOS-Geräten, Schwachstellen in Microsoft Office-Software vom Typ 4, Flash-Schwachstellen und Schwachstellen bei der Eskalation von Windows-Berechtigungen. Das

360 Threat Intelligence Center stellt den Hintergrund, die Ausnutzung von Sicherheitslücken, verwandte Sicherheitslücken und den Umfang der Auswirkungen, verwandte APT-Organisationen und -Ereignisse sowie Patches und Lösungen für jede Art von Sicherheitslücke vor.

1. Schwachstellen bei Firewall-GerätenDa es sich um Netzwerkgrenzgeräte handelt, sind Schwachstellen, die auf Firewall-Geräte abzielen, im Jahr 2016 noch seltener In China wurden zahlreiche Tools aufgedeckt, die auf Firewalls und Routing-Geräte abzielen, und die direkten Angriffe der Equation Group auf Grenzgeräte sind seit vielen Jahren vollständig aufgedeckt. Hier wählen wir CVE-2016-6366 als typischen Vertreter dieser Art von Schwachstelle.

Der Quantum-Einsatz (Quantenimplantat-Angriffstool) der Equation Organization überwacht/identifiziert die virtuelle ID des Opfers im Netzwerk, indem er in Grenz-Firewalls, Routing-Geräte usw. eindringt, und „injiziert“ sie dann in den Netzwerkverkehr des Angreifers der entsprechenden Anwendung (z. B. IE-Browser) wird verwendet, um Schadcode präzise einzuschleusen.

1)

Schwachstellenübersicht

Am 13. August 2016 behauptete die Hackerorganisation ShadowBrokers, gegen die Equation Group, ein Hackerteam, das Cyberwaffen für die NSA entwickelt, verstoßen zu haben, und enthüllte die entsprechenden intern verwendeten Tools, das EXBA-extrabacon-Tool, das darauf basiert zur 0-Day-Schwachstelle CVE-2016-6366 ist eine Pufferüberlauf-Schwachstelle im SNMP-Servicemodul der Cisco-Firewall.

2) Details zur Sicherheitslücke

CVE-2016-6366 (eine Sicherheitslücke, die auf dem Cisco Firewall SNMP basiert Das Zielgerät muss das SNMP-Protokoll konfigurieren und aktivieren und den SNMP-Kommunikationscode kennen. Nachdem die Sicherheitslücke ausgeführt wurde, kann die Authentifizierung der Firewall für Telnet/SSH deaktiviert werden, sodass der Angreifer unautorisierte Aktionen durchführen kann Operationen.

Wie unten gezeigt, handelt es sich bei sub_817A5A0 um eine selbstimplementierte Kopierfunktion in der entsprechenden Firmware. Es gibt keine Längenerkennung innerhalb der Funktion und der Aufrufer der Funktion erkennt auch nicht die Länge der Kopie. was zu einem Überlauf führt.

Was sind die zehn größten Sicherheitslücken, die von APT-Gruppen genutzt werden?

Schließlich kann jede Telnet-Anmeldung erreicht werden:

Was sind die zehn größten Sicherheitslücken, die von APT-Gruppen genutzt werden?
# 🎜 🎜 #

3) Verwandt 🎜 ## 🎜🎜#

CVE-NummerSchwachstellenbeschreibung# 🏜 ?? 🎜 🎜# Verwandte APT-Organisation#🎜 🎜# APT OrganizationCVE-NummerCVE-2016-6366
Equation Group # 🎜🎜#

GleichungsgruppeCVE-2016-6367# 🎜 🎜 #

5)Verwandte APT-EreignisseDie streng geheime Elektronik der NSA wird weltweit implementiert Überwachungsprogramm (Projekt Prism). #? #Softwarehersteller Cisco hat einen Patch veröffentlicht, der der Sicherheitslücke entspricht2. 🎜🎜#1)Schwachstellenübersicht2)SicherheitslückendetailsDie Hauptschwachstelle in EternalBlue ist CVE-2017-0144 Wird durch den Befehl SMB_COM_TRANSACTION2 des SMB-Protokolls ausgelöst. Wenn die Länge des FEALIST-Felds größer als 10000 ist, führt dies zu einem Schreiben außerhalb der Grenzen, da die maximale Länge der FEA-LISTE des Befehls SMB_COM_TRANSACTION2 selbst FFFF ist. Hier liegt die zweite Sicherheitslücke vor, die darin besteht, dass SMB_COM_TRANSACTION2 in SMB_COM_NT_TRANSACT verwechselt werden kann. Es ist möglich, einen SMB_COM_TRANSACTION2-Befehl mit einer FEA-LIST-Feldlänge von mehr als 10.000 zu senden, ein Schreiben außerhalb der Grenzen zu erreichen und schließlich ein Speicherlayout durchzuführen Dritte Schwachstelle, um schließlich die Codeausführung zu erreichen.
https://blogs.cisco.com/security/shadow-brokersSMB (Server MessageBlock) Kommunikationsprotokoll ist ein Protokoll, das 1987 von Microsoft und Intel hauptsächlich als Kommunikationsprotokoll für Microsoft-Netzwerke entwickelt wurde. Am 14. April 2017 veröffentlichte ShadowBrokers die Windows-bezogenen Dateien, die in zuvor durchgesickerten Dokumenten auftauchten. Die durchgesickerten Informationen enthielten eine Reihe von Remote-Code-Ausnutzungs-Frameworks für Windows-Systeme (Netzwerk beteiligt). Der Serviceumfang umfasst SMB, RDP, IIS und verschiedene Mailserver von Drittanbietern). in Japan, integrierte damals EternalBlue.
Das EternalBlue-Tool nutzt drei Schwachstellen im SMB-Protokoll, darunter die main Die Sicherheitslücke beim Schreiben außerhalb der Grenzen gehört zu CVE-2017-0144 im MS17-010-Patchpaket von Microsoft. Über dieses integrierte Tool können Angreifer direkt und aus der Ferne die Kontrolle über den anfälligen Computer erlangen.

3) Verwandtes CVE

ShadowBrokers hat ein SMB-Angriffstool durchgesickert, das mit dem MS17-010-Patch gepatcht wurde deckt fünf Schwachstellen ab: CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146 und CVE-2017-0148. Es enthält mehrere Schwachstellen im SMB-Protokoll, die durch die Kombination mit entstehen Die Eternal-Reihe von Waffen, die auf das SMB-Protokoll im Leak-Tool Shadow Brokers abzielen, wurde enthüllt. #🎜🎜 ##### 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜#CVE-Nummer

🎜🎜

# 🎜🎜 ## 🎜🎜#Verwundbarkeit Beschreibung

#🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜#CVE-2017-0143 CVE-2017-0144 CVE- 2017-0145 CVE-2017-0146 CVE-2017-0148Sicherheitslücke im SMB-Protokoll

4) Verwandte Organisationen

Das durchgesickerte Tool selbst stammt von der EquationGroup, einer Hacker-Organisation der NSA. Nachdem die zugehörigen Tools durchgesickert waren, wurden sie von einer großen Anzahl von Ransomware und Würmern verwendet. „Verwandte APT-Organisationen“

Verdacht auf LazarusEnternalblueVerwandte Ereignisse6)Patch-Lösunghttps://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010
5) Am 12. Mai 2017 kam es weltweit zu einem groß angelegten Wanacry-Ransomware-Vorfall, der später nachweislich mit Lazarus in Zusammenhang stand.
Aktualisieren Sie Betriebssystem-Patches rechtzeitig. Der Softwarehersteller Microsoft hat einen Patch veröffentlicht, der die Sicherheitslücke behebt:
3. Office OLE2Link-Logik-Schwachstelle

Office OLE2Link ist eine wichtige Funktion in der Microsoft Office-Software (Office). Sie ermöglicht es Office-Dokumenten, mithilfe der Objektverknüpfungstechnologie Remote-Objekte in das Dokument einzufügen und das Dokument beim Öffnen automatisch zu laden und zu verarbeiten. Aufgrund eines fehlerhaften Designs traten während dieses Verarbeitungsprozesses schwerwiegende logische Schwachstellen auf, und wir haben CVE-2017-0199 als typischen Vertreter dieser Art von Schwachstelle ausgewählt. 1)

Schwachstellenübersicht

Was sind die zehn größten Sicherheitslücken, die von APT-Gruppen genutzt werden?Am 7. April 2017 enthüllten Forscher von McAfee und FireEye die Details einer 0-Tage-Schwachstelle in Microsoft Office Word (CVE-2017-0199). Ein Angreifer kann ein schädliches Dokument mit einem OLE2link-Objektanhang an das Opfer senden und den Benutzer dazu verleiten, es zu öffnen. Wenn ein Benutzer ein schädliches Dokument öffnet, berücksichtigt der Office OLE2Link-Mechanismus die entsprechenden Sicherheitsrisiken bei der Verarbeitung des Zielobjekts nicht und lädt so die schädliche HTML-Anwendungsdatei (HTA) herunter und führt sie aus.

2) Details zur Sicherheitslücke

CVE-2017-0199 verwendet die OfficeOLE2Link-Objektverknüpfungstechnologie, um bösartige Linkobjekte in Dokumente einzubetten, und ruft dann URL Moniker auf, um die HTA-Datei im bösartigen Link herunterzuladen, um den lokalen URLMoniker weiterzuleiten Identifizieren Sie das Inhaltstypfeld im Antwortheader und rufen Sie schließlich mshta.exe auf, um den Angriffscode in der HTA-Datei auszuführen.

In Bezug auf die Auswirkungen betrifft CVE-2017-0199 fast alle Versionen von Office-Software. Es handelt sich um eine der Schwachstellen mit den größten Auswirkungen in der Geschichte der Office-Schwachstellen. Sie ist einfach zu erstellen und löst stabil aus beliebteste Schwachstelle im Black Hat 2017. Auf der Black Hat-Konferenz zur besten clientseitigen Sicherheitslücke gekürt. ( das „htafile“-Objekt) und {06290BD3-48AA-11D2-8432-006008C3FBFC} (das „script“-Objekt). CVE-2017-8570 verwendet ein anderes Objekt: „ScriptletFile“, die CLSID ist „{06290BD2-48AA-11D2-8432-006008C3FBFC}“, wodurch der Patch von CVE-2017-0199 umgangen wird.

CVE-Nummer: Ausführungsschwachstelle

CVE-2017-8570

Office OLE2Link-Sicherheitsanfälligkeit bezüglich Remotecodeausführung

4)

Ähnliche APT-Organisationen

Die Sicherheitsanfälligkeit bezüglich der OfficeOLE2Link-Logik ist im Prinzip einfach, leicht zu konstruieren und wird von APT-Organisationen bevorzugt ausgelöst und wurde in den Angriff einbezogen Arsenal der meisten APT-Organisationen.

Zugehörige APT-OrganisationCVE-NummerCVE-2017-0199
Maha Grass, APT37
Mahagras CVE-2017 -8570

5) Verwandte APT-Vorfälle

Im Juni 2017 kam es in der Ukraine und anderen Ländern zu groß angelegten Ransomware-Angriffen der Petya-Variante. Die Angreifer nutzten die Microsoft Office-Sicherheitslücke zur Remotecodeausführung (CVE-2017-0199), um per E-Mail zu versenden . Nach erfolgreicher Infektion nutzt es die Eternal Blue-Schwachstelle zur Verbreitung.

Im März 2018 veröffentlichte das 360 ​​Threat Intelligence Center einen Bericht mit dem Titel „Analyse der neuesten Cyber-Angriffsaktivitäten der Mahacao APT-Organisation, die auf sensible Institutionen meines Landes abzielen“, in dem es heißt, dass die Mahacao-Organisation (APT-C-09) gezielt angegriffen wurde Die sensiblen Institutionen meines Landes nutzen eine Schwachstelle mit CVE – Gezielter Angriff mit Harpunen-E-Mails für die Schwachstelle 2017-8570: Sie können auch Antivirenprogramme wie 360 ​​Security Guard verwenden. Die Software scannt das Dokument vor dem Öffnen, um das Risiko so weit wie möglich zu reduzieren. Versuchen Sie nach Möglichkeit, eine virtuelle Maschine zum Öffnen unbekannter Dokumente zu verwenden.

Der Softwarehersteller Microsoft hat einen Patch veröffentlicht, der der Schwachstelle entspricht: Was sind die zehn größten Sicherheitslücken, die von APT-Gruppen genutzt werden?
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

https://portal .msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-85704. Sicherheitslücke im Office-GleichungseditorEQNEDT32.EXE (Microsoft-Gleichungseditor), diese Komponente erschien erstmals in Microsoft Office 2000 und Microsoft 2003 zum Einfügen und Bearbeiten von Gleichungen in Dokumente. Obwohl sich die gleichungsbezogene Bearbeitung seit Office 2007 geändert hat, wurde EQNEDT32.EXE selbst nicht aus der Office-Suite entfernt, um die Versionskompatibilität aufrechtzuerhalten. Die Suite wurde seit ihrer Kompilierung vor 17 Jahren nie verändert, das heißt, sie verfügt über keine Sicherheitsmechanismen (ASLR, DEP, GS-Cookies...). Und da der EQNEDT32.EXE-Prozess DCOM zum Starten verwendet und vom Office-Prozess unabhängig ist, ist er nicht durch die Sandbox höherer Office-Versionen geschützt. Daher hat diese Art von Sicherheitslücke die Eigenschaft, den Sandbox-Schutz zu „umgehen“. äußerst schädlich. Wir werden die erste in dieser Komponente gefundene Schwachstelle, CVE-2017-11882, auswählen, um diese Art von Schwachstelle in typischer Form darzustellen.

1)

Schwachstellenübersicht

Am 14. November 2017 veröffentlichte Embedi einen Blog-Beitrag „Skelett im Schrank“, von dem Sie nichts wussten. Der Artikel handelte von CVE-2017-11882, der in EQNEDT32 erschien .EXE. Die Entdeckung und Ausnutzung der Schwachstelle CVE-2017-11882 ist eine Pufferüberlauf-Schwachstelle beim Parsen des Formel-Schriftartnamenfelds, die zur Codeausführung führen kann.

2)

Sicherheitslückendetails

CVE-2017-11882 ist eine Stapelüberlauf-Schwachstelle. Wie unten gezeigt, führt das Feld „Schriftartname“ im roten Feld schließlich zu einem Stapelüberlauf. Die Rücksprungadresse wird als 00430c12 überschrieben. der auf die WinExe-Funktion verweist, zeigt der erste Parameter der übergeordneten Funktion nur auf das Konstruktionszeichen, wodurch WinExe den Befehl im Konstruktionszeichen ausführt.

3) Verwandte CVE

Seit dem 14. November 2017 wurden zwei Schwachstellen im Zusammenhang mit EQNEDT32.EXE, CVE-2018-0802/CVE-2018-0798, entdeckt.

Was sind die zehn größten Sicherheitslücken, die von APT-Gruppen genutzt werden?

CVE-Nummer

SchwachstellenbeschreibunglfFaceName-Feldüberlauf 🔜 Zugehörige APT-OrganisationAPT34CVE-2017-11882MahagrasCVE-2017-11882
CVE-2017-11882Schriftartname-Feld flow CVE-2018-0802
CVE-Nummer

5) Verwandte APT-Vorfälle

APT34 versendet Harpunen-E-Mails über CVE-2017-11882, um Finanz- und Regierungsinstitutionen in vielen Ländern im Nahen Osten anzugreifen.

6) Patch und Lösung

Einzelne Benutzer müssen beim Herunterladen und Öffnen von Dokumenten aus unbekannten Quellen sehr vorsichtig sein. Verwenden Sie zum Scannen Antiviren-, Trojaner- und betrügerische Softwaretools, um das Risiko zu verringern Wenn möglich, versuchen Sie, unbekannte Dokumente mit einer virtuellen Maschine zu öffnen.

Der Softwarehersteller Microsoft hat einen Patch veröffentlicht, der der Schwachstelle entspricht:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882

https://portal . msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0802

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018- 0798

5. OOXML Type Confusion Vulnerability

OOXML ist eine von Microsoft für Office2007-Produkte entwickelte technische Spezifikation. Sie ist mittlerweile zu einem internationalen Dokumentformatstandard geworden und mit dem früheren internationalen Standard Open Document Format und dem chinesischen Dokumentstandard „Biaowentong“ kompatibel ". In Office Rich Text Es enthält eine große Anzahl von XML-Dateien. Aufgrund eines falschen Designs traten bei der Verarbeitung der XML-Dateien schwerwiegende Verwirrungslücken auf. Zu den typischsten gehören CVE-2015-1641 und CVE-2017-11826. Hier wählen wir Nehmen Sie als typischen Vertreter die beliebteste OOXML-Typ-Verwechslungsschwachstelle CVE-2015-1641.

1) Übersicht über Sicherheitslücken

Im April 2015 hat Microsoft eine Sicherheitslücke bezüglich Office Word-Typverwechslung mit der CVE-Nummer CVE-2015-1641 behoben. OfficeWord hat das customXML-Objekt beim Parsen des displacedByCustomXML-Attributs des Docx-Dokuments nicht überprüft, was zu Typverwechslungen und willkürlichem Speicherschreiben führte. Schließlich können sorgfältig erstellte Tags und entsprechende Attributwerte zur Remote-Ausführung von beliebigem Code führen. Hierbei handelt es sich um eine Verschleierungsschwachstelle vom Typ OOXML mit einer sehr hohen Erfolgsquote, die häufig von APT-Organisationen genutzt wird.

2) Details zur Sicherheitslücke

In CVE-2015-1641 können Objekte wie SmartTag übergeben werden, da OfficeWord das eingehende benutzerdefinierte XML-Objekt nicht streng überprüft. Die Verarbeitung des SmartTag-Objekts erfolgt jedoch nicht dasselbe wie customXML. Wenn das customXML-Tag auf irgendeine Weise vom smartTag-Tag verwechselt und analysiert wird, wird der Elementattributwert im smartTag-Tag als Adresse betrachtet und dann durch einfache Berechnung eine andere Adresse erhalten. Bei der nachfolgenden Verarbeitung wird die zuvor berechnete Adresse mit dem ID-Wert (von moveFromRangeEnd) überschrieben, was zu unvorhersehbaren Ergebnissen beim Schreiben in den Speicher führt. Durch das Schreiben steuerbarer Funktionszeiger und den sorgfältigen Aufbau des Speicherlayouts mithilfe von Heap Spray kommt es schließlich zur Codeausführung: Ein In-the-Wild-Angriff, der die Office-0day-Schwachstelle (CVE-2017-11826) ausnutzt. Diese Schwachstelle betrifft fast alle Office-Versionen, die derzeit von Microsoft unterstützt werden. In-the-Wild-Angriffe zielen nur auf bestimmte Office-Versionen ab. Der Angriff erfolgt in Form von schädlichen Docx-Inhalten, die in ein RTF-Dokument eingebettet sind.

Was sind die zehn größten Sicherheitslücken, die von APT-Gruppen genutzt werden?

CVE-Nummer

Schwachstellenbeschreibungin XML-IDmap Tag-Berechnungsfehler führen zu VerwirrungVerwandte APT-OrganisationenCVE-2015-1641-bezogene Ausnutzungstechnologie ist seit langem bekannt, und die Erfolgsquote bei der Ausnutzung dieser Schwachstelle ist sehr hoch, daher ist diese Schwachstelle befindet sich in Office OLE2Link Bevor logische Schwachstellen populär wurden, gehörten sie zu den am häufigsten genutzten Office-Schwachstellen bei großen APT-Organisationen.
CVE-2015-1641Verwirrung des benutzerdefinierten XML-Objekttyps CVE-2017-11826
4)

Zugehörige APT-Organisation

CVE-Nummer CVE -2017-11826
Maha Grass, APT28CVE-2015-1641 Eine unbekannte APT-Organisation in Ostasien

5) Verwandte APT-Vorfälle

Die Mahagrass APT-Organisation hat seit 2016 bei mehreren Angriffen gegen mein Land eine große Anzahl von Schwachstellendokumenten mit CVE-2015-1641 verwendet.

6) Patch und Lösung

Einzelne Benutzer müssen beim Herunterladen und Öffnen von Dokumenten aus unbekannten Quellen sehr vorsichtig sein. Verwenden Sie zum Scannen Antiviren-, Trojaner- und betrügerische Softwaretools, um das Risiko zu verringern Wenn möglich, versuchen Sie, unbekannte Dokumente mit einer virtuellen Maschine zu öffnen.

Der Softwarehersteller Microsoft hat einen Patch veröffentlicht, der der Schwachstelle entspricht:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8570

6. EPS (EncapsulatedPost Script) Script-Parsing-Schwachstelle

EPS steht für EncapsulatedPost Script, eine Erweiterung von PostScript und eignet sich für die farbgenaue Bitmap- und Vektorausgabe auf mehreren Plattformen und hochauflösenden Ausgabegeräten. Daher wurde auch in Office eine entsprechende Unterstützung eingeführt Seit 2015 wurden jedoch mehrere EPS-bezogene Schwachstellen in Office ausgenutzt, darunter CVE-2015-2545, CVE-2017-0261 und CVE-2017-0262, was letztendlich dazu führte, dass Microsoft die EPS-Komponente in Office deaktivieren musste Als typischen Vertreter wählen wir CVE-2017-0262.

1) Schwachstellenübersicht

Am 7. Mai 2017 haben FireEye-Forscher im Artikel „EPSProcessing Zero-Days Exploited by Multiple Threat Actors, einschließlich CVE-2017“ die Nutzung mehrerer EPS0-Day-Schwachstellen offengelegt – 0262, CVE-2017-0262 ist eine Schwachstelle in der Forall-Anweisung in ESP. Die Forall-Anweisung überprüft Parameter nicht ordnungsgemäß, was zur Codeausführung führt.

2) Details zur Sicherheitslücke

Das Exploit-Beispiel von CVE-2017-0262 führt zunächst eine Vier-Byte-XOR-Kodierung auf dem eigentlichen EXP durch, und der Schlüssel ist c45d6491:

Was sind die zehn größten Sicherheitslücken, die von APT-Gruppen genutzt werden? Der entscheidende Punkt der Sicherheitslücke ist, dass im In der folgenden Codezeile führt die forall-Anweisung in EPS die Verarbeitungsfunktion proc (d. h. den zweiten Parameter) für jedes Objekt im ersten Parameter aus. Hier ist die Typbeurteilung des zweiten Parameters nicht streng, was zu 0xD80D020 führt Die zuvor vom Angreifer durch Heap-Spraying kontrollierte Speicheradresse wurde als Adresse der Verarbeitungsfunktion verwendet, sodass der ESP-Stack gesteuert wurde, wodurch der endgültige Code ausgeführt wurde:

Was sind die zehn größten Sicherheitslücken, die von APT-Gruppen genutzt werden?
3)

Verwandter CVE

CVE-NummerCVE-2015-2545UAF CVE-2017-0261 UAF-Schwachstelle beim Speichern und Wiederherstellungsanweisungen CVE-2017-0262Die Überprüfung des Parametertyps für alle ist nicht streng, was zur Codeausführung führt4)
Schwachstellenbeschreibung

Verwandte APT-OrganisationenAufgrund der Schwierigkeit, die EPS-Sicherheitsanfälligkeit auszunutzen selbst und EPS befinden sich seit Office 2010 in einem Zustand. Die isolierte Ausführung in einer Sandbox erfordert häufig die Unterstützung von Sicherheitslücken zur Rechteausweitung. Daher sind Benutzer dieser Reihe von Sicherheitslücken häufig bekannte große APT-Organisationen.

Zugehörige APT-OrganisationNicht offengelegtCVE-2015-2545 TurlaCVE-2017-0261 APT28CVE-2017-0262

5) Ähnliche APT-Vorfälle

Die Organisation APT28 beeinflusste die französischen Wahlen durch das Versenden von Harpunen-E-Mails (CVE-2017-0262/CVE-2017-0263). Die E-Mail enthält einen Anhang mit dem Namen Trump's_Attack_on_Syria_English.docx Office-Dateien, Dies führte dazu, dass bis zu 9 GB Daten des Macron-Kampagnenteams ins Internet hochgeladen wurden.

Was sind die zehn größten Sicherheitslücken, die von APT-Gruppen genutzt werden?

6) Patch und Lösung

Einzelne Benutzer müssen beim Herunterladen und Öffnen von Dokumenten aus unbekannten Quellen sehr vorsichtig sein und Antiviren-, Trojaner- und betrügerische Softwaretools wie 360 ​​Security Guard verwenden Scannen Sie, um das Risiko so weit wie möglich zu reduzieren. Versuchen Sie, wenn möglich, eine virtuelle Maschine zum Öffnen unbekannter Dokumente zu verwenden.

Der Softwarehersteller Microsoft hat einen Patch veröffentlicht, der der Schwachstelle entspricht:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-2545

https://portal . msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0261

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017- 0262

7. Windows Privilege Elevation Vulnerability

In den letzten Jahren gab es eine zunehmende Anzahl von Schwachstellenangriffen auf Windows-Clients, was große Hersteller direkt dazu veranlasste, „Sandbox“-Schutztechnologie in ihre Client-Software einzuführen Das Programm wird in einer isolierten Umgebung ausgeführt. Die Sandbox kann auch als virtueller Container betrachtet werden, sodass unsichere Programme auch dann ausgeführt werden können, wenn die Client-Software angegriffen wird stellen keine tatsächliche Bedrohung für das Computersystem des Benutzers dar.

Zu den gängigen Client-Programmen, die den „Sandbox“-Schutz eingeführt haben, gehören: IE/Edge-Browser, Chrome-Browser, Adobe Reader, Microsoft Office-Software usw. Wenn eine Schwachstelle in einem clientseitigen Programm mit einer Schwachstelle in Bezug auf die Eskalation von Windows-Berechtigungen kombiniert wird, kann der „Sandbox“-Schutz einer Anwendung umgangen werden.

1) Schwachstellenübersicht

Während des Schwachstellenangriffs auf die EPS-Komponente (EncapsulatedPost Script) der Office-Software ist der EPS-Skriptfilterprozess fltldr.exe in Office 2010 und höheren Versionen in einer Sandbox mit geringen Berechtigungen geschützt Um die Sandbox-Schutzmaßnahmen mit geringen Berechtigungen zu durchbrechen, muss ein Angreifer eine Schwachstelle zur Remotecodeausführung und eine Schwachstelle zur Eskalation von Kernel-Berechtigungen ausnutzen, um einen kombinierten Angriff durchzuführen. Daher wählen wir als typischen Vertreter die lokale Sicherheitsanfälligkeit bezüglich Eskalation von Berechtigungen in Win32k.sys (CVE-2017-0263), die mit der Sicherheitsanfälligkeit hinsichtlich EPS-Typverwirrung (CVE-2017-0262) kombiniert wird.

2) Details zur Sicherheitslücke

Der Code, der die Sicherheitslücke CVE-2017-0263 ausnutzt, erstellt zunächst drei PopupMenus und fügt entsprechende Menüelemente hinzu. Da die UAF-Schwachstelle im WM_NCDESTROY-Ereignis des Kernels auftritt und die tagWnd-Struktur von wnd2 überschreibt, kann das bServerSideWindowProc-Flag gesetzt werden. Sobald bServerSideWindowProc festgelegt ist, wird die WndProc-Prozedur im Benutzermodus als Kernel-Rückruffunktion behandelt und daher aus dem Kernelkontext aufgerufen. Zu diesem Zeitpunkt wurde WndProc vom Angreifer durch den Kernel-ShellCode ersetzt und der Privilegien-Eskalationsangriff wurde schließlich abgeschlossen.

3) Zugehörige CVE

CVE-Nummer
CVE-2016-7255 17-0263
CVE-Nummer Schwachstellenbeschreibung.
C VE-2015-2546 Win32k-Speicherbeschädigung Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen
Win32k-Nutzung nach einer Sicherheitslücke bezüglich der Erhöhung von Berechtigungen
4) Verwandte APT-Organisationen

Verwandte APT-Organisationen CVE-Nummer

UnbekanntAPT28

5) Verwandte APT-Ereignisse

APT-Angriffe gegen Japan und Taiwan und APT28-Angriffe gegen die französischen Wahlen.

6) Patch und Lösung

Einzelne Benutzer müssen beim Herunterladen und Öffnen von Dokumenten von sehr vorsichtig sein Verwenden Sie zum Scannen Antiviren-, Trojaner- und Schadsoftware-Tools wie 360 ​​Security Guard, um das Risiko so weit wie möglich zu reduzieren. Versuchen Sie, unbekannte Dokumente nach Möglichkeit mit einer virtuellen Maschine zu öffnen.

Softwarehersteller Microsoft hat einen Patch veröffentlicht, der der Schwachstelle entspricht:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ CVE -2015-2546

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2016-7255

https: / /portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0001

https://portal.msrc.microsoft.com/en-US/security - Anleitung/Beratung/CVE-2017-0263

8. Flash-Sicherheitslücke

Flashplayer ist seit 2014 das Anliegen verschiedener APT-Organisationen. Flash-Schwachstellen begannen zu explodieren, insbesondere im Jahr 2015, als HackingTeam zwei 0-Tage-Schwachstellen, CVE-2015-5122/CVE-2015-5199, durchsickerte und die Ausnutzungstechnologie im Zusammenhang mit Flash-Schwachstellen öffentlich wurde, wurde zum neuen Favoriten Obwohl Adobe und Google zusammengearbeitet haben, wurden nacheinander mehrere Flash-Sicherheitsmechanismen veröffentlicht (z. B. Isolations-Heap, Vektorlängenerkennung), was die Schwelle für die Ausnutzung von Flash-Schwachstellen erheblich erhöhte verwirrte Schwachstellen wie CVE-2015-7645. Als typischen Vertreter dieser Art von Schwachstelle wählen wir hier den vor Kurzem entdeckten 0-day in the wild CVE-2018-4878 aus.

1) Schwachstellenübersicht

Am 31. Januar 2018 veröffentlichte das südkoreanische CERT eine Ankündigung, in der es heißt Flash0day wurde entdeckt. Um die Sicherheitslücke (CVE-2018-4878) auszunutzen, greift ein Angreifer ein bestimmtes Ziel an, indem er einen Office Word-Anhang sendet, der ein schädliches Flash-Objekt enthält.

2) Sicherheitslückendetails

CVE-2018-4878 über Flash om.adobe.tvsdk Paket DRMManager Anzugreifendes Objekt: Erstellen Sie, wie im folgenden Code gezeigt, eine MyListener-Objektinstanz in der Triggeruaf-Funktion, initialisieren Sie sie über initialize und setzen Sie die Instanz auf null. Die erste LocalConnection().connect()-Anweisung führt dazu, dass gc das Objekt wiederverwendet Instanzspeicher: Bei der zweiten Verwendung von LocalConnection().connect() wird während der Ausnahmebehandlung eine neue MyListener-Instanz erstellt. Der Speichermanager weist dem neuen Objekt den Speicher der vorherigen MyListener-Objektinstanz zu , der hier der Danglingpointer ist, stellen Sie den Timer ein und erkennen Sie, ob uaf in seiner Rückruffunktion ausgelöst wird. Bei Erfolg wird die Position durch Mem_Arr bestimmt:

Was sind die zehn größten Sicherheitslücken, die von APT-Gruppen genutzt werden? #🎜🎜 ## 🎜🎜 ## 🎜🎜#3)

verwandte CVE#🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜 🎜 ## 🎜 🎜#

Was sind die zehn größten Sicherheitslücken, die von APT-Gruppen genutzt werden?

CVE-Nummer

Schwachstellenbeschreibung

#🎜🎜 #
CVE-2015-2546 TurlaCVE-2016-7255, CVE-2017-0001
CVE-2017-0263
CVE-2017-11292UAFUAF4)Verwandte APT-Organisation#🎜 🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜#Verwandte APT -Organisation#🎜 🎜##🎜 🎜#CVE-Nummer # 🎜🎜 #CVE -2017-11292, CVE-2018-4878#🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜#Gruppe 123#🎜🎜 ## 🎜🎜#CVE-2018-4878#🎜🎜 ## 🎜🎜 ## 🎜🎜#

5) Verwandter APT-Vorfall

Gruppe 123 nutzte CVE-2018-4878, um sensible Abteilungen in Südkorea anzugreifen.

6) Patch und Lösung

Einzelne Benutzer müssen beim Herunterladen und Öffnen von Dokumenten von sehr vorsichtig sein Verwenden Sie zum Scannen Antiviren-, Trojaner- und Schadsoftware-Tools wie 360 ​​Security Guard, um das Risiko so weit wie möglich zu reduzieren. Versuchen Sie, unbekannte Dokumente nach Möglichkeit mit einer virtuellen Maschine zu öffnen.

Der Softwarehersteller Adobe hat einen Patch veröffentlicht, der die Schwachstelle behebt:

https://helpx.adobe.com/security/products/flash-player/apsb18-03. html

https://helpx.adobe.com/security/products/flash-player/apsb17-32.html

9. iOS Trident-Sicherheitslücke

# 🎜🎜#iOSTrident-Schwachstelle ist derzeit die einzige öffentlich bekannte Remote-Angriffsinstanz, die auf iOS-Systembrowser abzielt, und wird tatsächlich bei APT-Angriffen verwendet, die auf bestimmte Ziele abzielen.

1)

Sicherheitslückenübersicht

Die iOS-Trident-Sicherheitslücke bezieht sich auf eine Reihe von 0-Tage-Sicherheitslücken, die auf iOS-Systeme vor iOS9.3.5 abzielten drei Zero-Day-Schwachstellen, darunter eine WebKit-Schwachstelle, eine Schwachstelle zur Offenlegung von Kernel-Adressen und eine Schwachstelle zur Rechteausweitung. Eine Kombination aus drei Zero-Day-Schwachstellen kann dazu genutzt werden, ein iOS-Gerät aus der Ferne zu jailbreaken und beliebigen Schadcode zu installieren und auszuführen.

2)

Details zur Sicherheitslücke

Die Nutzlast des iOS Trident-Exploits kann durch Zugriff auf eine bestimmte URL ausgelöst werden, sodass sie per SMS oder E-Mail ausgelöst werden kann , soziale Medien Schädliche Links werden über das Internet oder in Instant Messaging gesendet, um Zielpersonen dazu zu bringen, auf den Link zu klicken und ihn zu öffnen, um die Sicherheitslücke auszulösen. Aufgrund der Sicherheitslücke bezüglich der Ausführung willkürlichen Codes in der WebKit-JavaScriptCore-Bibliothek gelangt der Exploit-Code in den Safari-WebContent-Prozessbereich, wenn der Safari-Browser auf einen schädlichen Link zugreift und die Ausführung einer schädlichen JavaScript-Nutzlast auslöst. Anschließend wurden zwei weitere Schwachstellen ausgenutzt, um die Berechtigungen zu erweitern und das iOS-Gerät zu jailbreaken. Schließlich ermöglicht die Trident-Schwachstelle das Herunterladen und Ausführen schädlicher Module, die zur Persistenzkontrolle verwendet werden.

          Was sind die zehn größten Sicherheitslücken, die von APT-Gruppen genutzt werden?

Bildquelle[3]

3) # 🎜 🎜 #verwandteCVEDie iOS-Trident-Schwachstelle umfasst drei 0-Tage-Schwachstellen. Die CVE-Nummern und zugehörigen Informationen sind in der folgenden Tabelle aufgeführt:

#🎜🎜 ## 🎜🎜#

#🎜 🎜#CVE-2018 - 4878
APT28
CVE-NummerCVE-2016-4655Kernel-Informationsverlust# 🎜🎜 ## 🎜🎜#CVE-2016-4656Erhöhung von PrivilegienCVE-2016-4657

4) Verwandte APT-Organisationen und Veranstaltungen

Die erste Entdeckung der Trident-Schwachstelle war einem wichtigen Menschenrechtsverteidiger zu verdanken in den VAE Der Reporter Ahmed Mansoor erhielt am 10. und 11. August 2016 zwei Textnachrichten auf seinem iPhone. Der Inhalt bestand darin, dass er auf den Link klicken konnte, um geheime Inhalte über die Folter von Gefangenen in Gefängnissen der VAE anzuzeigen. Anschließend wurde der Textnachrichteninhalt an Citizen Lab weitergeleitet, das von Citizen Lab und dem Sicherheitsunternehmen Lookout gemeinsam analysiert und entdeckt wurde. Schließlich wurde festgestellt, dass die Trident-Schwachstelle und die damit verbundenen bösartigen Nutzlasten mit dem bekannten israelischen Spyware-Überwachungsunternehmen NSO in Zusammenhang standen Gruppe.

Was sind die zehn größten Sicherheitslücken, die von APT-Gruppen genutzt werden?          

Bildquelle[1]

5) # 🎜 🎜 #Patches und Lösungen

Apple veröffentlichte daraufhin am 25. August 2016 iOS 9.3.5, das die Trident-Schwachstelle [2] behebt.

10. Remote2local-Exploit für den Android-Browser

Das Durchsickern des Android-Browser-Exploit-Codes ergab, dass Cyber-Waffenhändler sowie Regierungs- und Strafverfolgungsbehörden Sicherheitslücken für Remote-Angriffe nutzen, um gezielt Android-Benutzer anzugreifen und Überwachung, und der Prozess zur Ausnutzung von Schwachstellen ist nahezu perfekt, was auch die künstlerischen Merkmale der Technologie zur Ausnutzung von Schwachstellen widerspiegelt.

Der Exploit-Code kann fast die meisten gängigen Android-Geräte und Systemversionen zu diesem Zeitpunkt beeinträchtigen.

1) Sicherheitslückenübersicht

Das Hacking-Team wurde im Juli 2015 von der Sicherheitslücke remote2local im Android-Browser betroffen Nach dem Eindringen und Durchsickern interner Quellcodeinformationen enthielt der durchgesickerte Quellcode Angriffs-Exploit-Code für Browser der Android 4.0.x-4.3.x-Systemversionen, der eine Remote-Codeausführung erreichen und Privilegieneskalationscode auf Root-Rechte ausführen kann, und schließlich den Zweck erreichen, Schadprogramme unbemerkt zu installieren.

Dieser Schwachstellen-Exploit kombiniert drei N-Day-Schwachstellen von Google Chrome und eine Schwachstelle zur Privilegieneskalation für das Android-System, um den gesamten Exploit-Angriffsprozess abzuschließen.

            Was sind die zehn größten Sicherheitslücken, die von APT-Gruppen genutzt werden?

2) Sicherheitslückendetails# 🎜🎜## 🎜 🎜#Die Sicherheitslücke im Android-Browser wird hauptsächlich aufgrund der libxslt-Bibliothek in WebKit für das Parsen der XML-Sprache und die XSLT-Konvertierung ausgenutzt. Der Ausnutzungsprozess basiert tatsächlich auf einer Kombination mehrerer Sicherheitslücken. Es nutzt zunächst eine Informationsleck-Schwachstelle aus, um speicheradressenbezogene Informationen zu erhalten, und nutzt dann willkürliches Lesen und Schreiben des Speichers, um einen ROP-Angriff zu konstruieren, um letztendlich den Zweck der Ausführung willkürlichen Codes zu erreichen. Es führt schließlich den Privilegien-Eskalationscode aus, der bei dieser Schwachstellenausnutzung verwendet wird und aus dem Futex-Systemaufruf des Kernels generiert wird. Nachdem die Berechtigungen erhöht wurden, um Root-Rechte zu erhalten, wird die schädliche APK-Anwendung stillschweigend installiert.

3)

Ähnliches CVEDas remote2local Exploit-Tool von Hacking Team für Android-Browser kombiniert 3 browserspezifische Schwachstellen und 2 Schwachstellen für die Rechteausweitung. #🎜🎜 ##### 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜#CVE-Nummer🎜🎜

# 🎜🎜 ###Erklärung der Sicherheitslücke

#🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜#CVE -2011-1202#🎜🎜 ## 🎜🎜 #InformationLeakage

# 🎜🎜 ##?
Schwachstellenbeschreibung# 🎜 🎜 #
#🎜 🎜 #WebKit Remote Code Execution
HeapOverflowCVE-2014-3153Sicherheitslücke bezüglich der Erhöhung von Berechtigungen#🎜. 🎜#Kernel lesen und schreiben an jeder Adresse

4) Verwandte APT-Organisationen und Vorfälle

Die entsprechende Ausnutzung dieser Schwachstelle wurde in historischen öffentlichen Vorfallberichten nicht offengelegt Allerdings wurde Hacking Team, ein italienisches Unternehmen, das sich auf die Bereitstellung von Computereinbruchs- und Überwachungsdiensten für Regierungsbehörden und Strafverfolgungsbehörden spezialisiert hat, im Juli 2015 gehackt. Sein interner Quellcode sowie zugehörige Daten und E-Mail-Inhalte wurden durchgesickert, was zum ersten Mal die Offenlegung seiner Daten zur Folge hatte Möglichkeit, diese Schwachstelle gezielt auszunutzen.

Und das Unternehmen erscheint häufig in den durchgesickerten E-Mails, um Kunden die Methode und den Prozess der Ausnutzung der Sicherheitslücke zu erklären.

Was sind die zehn größten Sicherheitslücken, die von APT-Gruppen genutzt werden?                                                                  hat die oben genannten Probleme in der von Google veröffentlichten Systemversion Android 4.4 behoben.

Zusammenfassung

Die Top-APT-Organisation der Equation One-Klasse beherrscht die fortschrittlichste Schwachstellenangriffstechnologie

Formel Eins Klasse Die führenden APT-Organisationen beherrschen die fortschrittlichste Schwachstellenangriffstechnologie, die eine vollständige Abdeckung von Schwachstellen in fast allen internetbezogenen Einrichtungen, Geräten, Software und Anwendungen umfasst. Andere APT-Organisationen bevorzugen jedoch immer noch die Nutzung von Schwachstellen in Client-Software Phishing-Angriffe.

Schwachstellenangriffe gegen Office stehen immer noch im Fokus der meisten APT-Angriffe

Aus Sicht der Nutzungshäufigkeit stehen Office-Schwachstellen immer noch im Mittelpunkt der meisten APT-Angriffe Es ist die von Unternehmen am häufigsten genutzte Schwachstelle und bleibt ein sehr effektiver Einstiegspunkt für APT-Angriffe.

Mobile APT-Angriffe haben sich nach und nach zu einem neuen Hotspot entwickelt.

Die Beliebtheit und der Marktanteil mobiler Geräte haben erheblich zugenommen, so dass APT-Organisationen dies tun hat auch damit begonnen, den Umfang der Angriffe auf seine Zielobjekte auf den Bereich mobiler Geräte auszudehnen. Bei früheren APT-Aktivitäten, die auf Angriffe auf mobile Geräte abzielten, waren die durch die Trident-Schwachstelle für iOS-Systeme und Hacking Team für Android-Systeme durchgesickerten Browser-Angriffs-Exploits besonders hervorzuheben und zeigten, dass gezielte mobile Angriffe auch die gleichen Merkmale aufweisen wie frühere Netzwerkangriffe. Die fortschrittlichen technischen Merkmale verdeutlichen auch die Tatsache, dass Online-Waffenhändler Cyberwaffen produzieren und verkaufen, die auf mobile Plattformen abzielen.

#🎜 🎜# CVE-2013-6282

Das obige ist der detaillierte Inhalt vonWas sind die zehn größten Sicherheitslücken, die von APT-Gruppen genutzt werden?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Verwandte Etiketten:
apt
Quelle:yisu.com
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage