Présentation
L'attaque APT (Advanced Persistent Threat, Advanced Persistent Threat) est une forme d'attaque qui utilise des méthodes d'attaque avancées pour mener des attaques réseau persistantes et à long terme sur des cibles spécifiques. Le principe des attaques APT est plus avancé et avancé que les autres formes d'attaque. Sa nature avancée se reflète principalement dans la collecte précise d'informations, une dissimulation élevée et l'utilisation de diverses vulnérabilités complexes du système/application cible.
Afin d'avoir une compréhension plus complète des résultats de pointe de la recherche mondiale sur les APT, le 360 Threat Intelligence Center a trié la partie la plus importante des attaques APT (vulnérabilités de sécurité utilisées par les organisations APT), après s'être référé à divers rapports de recherche APT et basés sur plusieurs indicateurs tels que les résultats de recherche, les activités d'attaque APT ou les vulnérabilités les plus couramment utilisées par les organisations APT, et la valeur des vulnérabilités, combinés avec la compréhension du 360 Threat Intelligence Center de la cyberguerre telle que APT attaques, nous avons éliminé les vulnérabilités utilisées par les organisations APT au cours des dernières années.
Dans ce rapport, 360 Threat Intelligence Center expliquera d'abord les normes d'évaluation de la valeur des vulnérabilités principales utilisées par les organisations APT et les catégories de vulnérabilités les plus couramment utilisées par chaque organisation APT. Celles-ci constituent les principaux points de vue et raisons de la sélection de ces 10 vulnérabilités majeures (. catégories). Ensuite, la vulnérabilité la plus représentative est sélectionnée pour les 10 principales vulnérabilités de sécurité (catégories) utilisées par les organisations APT, et l'historique, l'utilisation et la portée de l'impact de chaque vulnérabilité, les organisations APT associées et les événements importants sont présentés, puis un résumé de chaque vulnérabilité. Des contre-mesures et des suggestions de protection contre les vulnérabilités sont proposées. Enfin, sur la base de l'analyse des chapitres précédents, le 360 Threat Intelligence Center a résumé les tendances de développement des vulnérabilités utilisées par APT et a avancé certaines de ses propres conclusions.
Point principal
La technologie d'attaque de vulnérabilité utilisée par les principales organisations APT telles que Equation est bien en avance sur les autres organisations APT
D'autres organisations APT sont loin derrière les principales organisations APT, telles que Equation, en termes de technologie d'attaque et de cybersécurité. pensée de guerre. Les techniques d'attaque APT peuvent être divisées en deux catégories : l'une est constituée des techniques d'attaque des organisations représentées par Equation, et l'autre est constituée des techniques d'attaque d'autres organisations. Cela se reflète principalement dans le fait que les principales attaques APT réalisent principalement des attaques ciblées et précises grâce à une implantation sous-jacente, attaquant l'infrastructure réseau telle que le routage principal/les pare-feu et attaquant les serveurs réseau. D'autres organisations APT utilisent principalement des attaques de phishing combinées aux vulnérabilités des clients pour mener des attaques APT.
L'Equation Organization Quantuminsert (implant quantique) réalise des attaques ciblées en attaquant l'infrastructure réseau
Classification étroite des vulnérabilités
Nous pouvons classer étroitement les vulnérabilités couramment utilisées par les organisations APT en attaquant l'infrastructure réseau/le serveur/le service- tapez les vulnérabilités et les vulnérabilités qui attaquent les logiciels d’application client.
Vulnérabilités infrastructure réseau/serveur/service
Ce type de vulnérabilité affecte principalement l'infrastructure réseau (équipements de routage et de commutation, pare-feu, etc.), les serveurs et divers services (SMB/RPC/IIS/Remote Desktop, etc. ). Les attaquants peuvent généralement utiliser les vulnérabilités correspondantes pour compromettre les installations du réseau central, puis déplacer latéralement ou implanter davantage du code malveillant sur d'autres clients du réseau, causant ainsi d'énormes dommages. À en juger par les informations publiques, ces vulnérabilités sont principalement utilisées par les principales APT utilisées par Equation. l'organisation.
Vulnérabilités des logiciels clients
Ce type de vulnérabilité attaque principalement via des attaques de phishing, ciblant principalement les logiciels d'application client, tels que les navigateurs, les logiciels Office, PDF, etc. L'inconvénient de ce type de vulnérabilité est qu'il nécessite un utilisateur cible interaction, de sorte que la valeur de vulnérabilité globale est inférieure à la valeur de vulnérabilité d'attaque du serveur.
Les dix principales vulnérabilités (catégorie) de l'organisation APT
360 Threat Intelligence Center a sélectionné les dix principales vulnérabilités (catégorie) utilisées par les organisations APT ces dernières années, qui comprennent 2 types de vulnérabilités côté serveur et 8 types de vulnérabilités côté client. . Les vulnérabilités côté serveur incluent les vulnérabilités des dispositifs de pare-feu dans l'arsenal réseau de la NSA et les vulnérabilités du protocole SMB exploitées par « Eternal Blue ». Les vulnérabilités côté client incluent les vulnérabilités de type 2 dans les appareils mobiles Android et iOS, les vulnérabilités du logiciel Microsoft Office de type 4, les vulnérabilités Flash et les vulnérabilités d'élévation de privilèges Windows.
360 Threat Intelligence Center présentera le contexte, l'exploitation des vulnérabilités, les vulnérabilités associées et la portée de leur impact, les organisations et événements APT associés, les correctifs et les solutions pour chaque type de vulnérabilité.
1. Vulnérabilités des périphériques de pare-feu
En tant que périphérique de bordure du réseau, les pare-feu ne sont généralement pas la cible des attaquants. Surtout dans le domaine des APT, les vulnérabilités ciblant les périphériques de pare-feu sont encore plus rares jusqu'à la fuite du premier lot d'outils Shadow Broker en 2016. Un grand nombre d'outils ciblant les pare-feu et les dispositifs de routage ont été exposés en Chine, et les attaques directes d'Equation Group contre les appareils frontaliers sont pleinement exposées depuis de nombreuses années. Nous choisissons ici CVE-2016-6366 comme représentant typique de ce type de vulnérabilité.
L'insert Quantum d'Equation Organization (outil d'attaque d'implant quantique) surveille/identifie l'identifiant virtuel de la victime dans le réseau en envahissant les pare-feu frontaliers, les dispositifs de routage, etc., puis « l'injecte » dans le trafic réseau de l'attaquant. de l'application correspondante (telle que le navigateur IE) est utilisée pour implanter avec précision le code malveillant.
1) Aperçu de la vulnérabilité
Le 13 août 2016, l'organisation de hackers ShadowBrokers a affirmé avoir violé le groupe Equation, une équipe de hackers qui développe des cyber-armes pour la NSA, et a divulgué les outils associés utilisés en interne, l'outil EXBA-extrabacon, basé sur le 0 -day vulnérabilité CVE-2016-6366 , une vulnérabilité de débordement de tampon dans le module de service SNMP du pare-feu Cisco.
2) Détails de la vulnérabilité
CVE-2016-6366 (une vulnérabilité de dépassement de tampon basée sur le module de service SNMP du pare-feu Cisco Le périphérique cible doit configurer et activer le protocole SNMP, et doit connaître le SNMP). code de communication. Une fois la vulnérabilité exécutée, l'authentification du pare-feu pour Telnet/SSH peut être désactivée, permettant à l'attaquant d'effectuer des opérations non autorisées.
Comme indiqué ci-dessous, sub_817A5A0 est une fonction de copie auto-implémentée dans le firmware correspondant. Il n'y a pas de détection de longueur à l'intérieur de la fonction, et l'appelant de la fonction ne détecte pas non plus la longueur de la copie, ce qui entraîne un débordement.
Enfin, toute connexion Telnet peut être réalisée :
3) CVE associé
| Numéro CVE |
Description de la vulnérabilité |
| CVE-2016-6366 |
Une vulnérabilité de débordement de tampon dans le module de service SNMP |
| CVE-2016-6367 |
Exécution de code à distance |
4) Organisations APT associées
|
Organisation APT |
Numéro CVE |
| Groupe Équation |
CVE-2016-6366 |
| Groupe Équation |
CVE-2016-6367 |
5) Incidents APT liés
Programme de surveillance électronique top secret de la NSA (Project Prism) mis en œuvre à l'échelle mondiale.
6) Patchs et solutions
Mise à jour en temps opportun du micrologiciel des périphériques de bordure de réseau
Le fabricant de logiciels Cisco a publié des correctifs correspondant à la vulnérabilité
https://blogs.cisco.com/security/shadow-brokers
2. Vulnérabilité du protocole de communication SMB
Le protocole de communication SMB (Server MessageBlock) est un protocole développé par Microsoft et Intel en 1987, principalement comme protocole de communication pour les réseaux Microsoft.
Le 14 avril 2017, ShadowBrokers a publié les fichiers liés à Windows qui figuraient dans des documents précédemment divulgués. Les informations divulguées contenaient un ensemble de cadres d'exploitation de code à distance pour les systèmes Windows (les services réseau impliqués incluent SMB, RDP, IIS et divers tiers). -serveurs de messagerie tiers), parmi lesquels une série d'outils 0day de vulnérabilité à distance pour PME (EternalBlue, Eternalromance, Eternalchampoin, Eternalsynergy) ont ensuite été intégrés dans plusieurs familles de vers. L'épidémie de WanaCry du 12 mai de la même année a été intégrée à EternalBlue.
1) Présentation des vulnérabilités
L'outil EternalBlue utilise trois vulnérabilités dans le protocole SMB. Parmi elles, la principale vulnérabilité d'écriture de mémoire hors limites appartient à CVE-2017-0144 dans le correctif Microsoft MS17-010. Grâce à cette intégration, cet outil permet aux attaquants de prendre directement et à distance le contrôle de la machine vulnérable.
2) Détails de la vulnérabilité
La vulnérabilité principale d'EternalBlue est CVE-2017-0144. Cette vulnérabilité est déclenchée par la commande SMB_COM_TRANSACTION2 du protocole SMB lorsque la longueur du champ FEALIST est supérieure à 10000. entraînera une écriture hors limites de la mémoire. Étant donné que la longueur maximale de la FEA LIST de la commande SMB_COM_TRANSACTION2 elle-même est FFFF, la deuxième vulnérabilité est impliquée ici, c'est-à-dire que SMB_COM_TRANSACTION2 peut être confondu avec SMB_COM_NT_TRANSACT, envoyant ainsi une commande SMB_COM_TRANSACTION2 avec un Longueur du champ FEA LIST supérieure à 10 000, réalisation d'une écriture hors limites et enfin passage de la troisième vulnérabilité à la disposition de la mémoire et finalement à l'exécution du code.
3) CVE associé
ShadowBrokers a divulgué l'outil d'attaque SMB, corrigé par le correctif MS17-010, qui couvre CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017 -0146 , CVE-2017-0148, cinq vulnérabilités, dont plusieurs failles dans le protocole SMB, se combinent entre elles pour former une éternelle série d'armes contre le protocole SMB dans l'outil de fuite Shadow Brokers.
|
Numéro CVE |
Description de la vulnérabilité |
| CVE-2017-0143 CVE-2017-0144 017-0 145 CVE-2017-0146 CVE-2017- 0148 |
Vulnérabilité du protocole SMB |
4) Organisations associées
L'outil divulgué lui-même provient d'EquationGroup, une organisation de hackers relevant de la NSA. Après la fuite des outils associés, ils ont été utilisés par un grand nombre de ransomwares et de vers.
|
Organisations APT associées |
Vulnérabilités associées |
| Groupe d'équations |
Série interne | 🜜
Lazare suspecté | Enternalblue |
5) Événements connexes
Le 12 mai 2017, un incident à grande échelle du ransomware Wanacry a éclaté dans le monde entier, dont il a ensuite été prouvé qu'il était lié à Lazarus.
6) Solution de correctifs
Mettez à jour les correctifs du système d'exploitation en temps opportun.
Le fabricant de logiciels Microsoft a publié un correctif correspondant à la vulnérabilité :
https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010
3 Vulnérabilité logique Office OLE2Link
.
Office OLE2Link est une fonctionnalité importante du logiciel Microsoft Office (Office). Il permet aux documents Office d'insérer des objets distants dans le document via la technologie de liaison d'objets, et de charger et traiter automatiquement le document lorsqu'il est ouvert. En raison d'une mauvaise conception, de graves vulnérabilités logiques se sont produites au cours de ce processus de traitement, et nous avons sélectionné CVE-2017-0199 comme représentant typique de ce type de vulnérabilité.
1) Vulnérabilité Aperçu
Le 7 avril 2017, des chercheurs de McAfee et FireEye ont révélé les détails d'une vulnérabilité de 0 jour dans Microsoft Office Word (CVE-2017-0199). Un attaquant peut envoyer un document malveillant avec une pièce jointe d'objet OLE2link à la victime et inciter l'utilisateur à l'ouvrir. Lorsqu'un utilisateur ouvre un document malveillant, le mécanisme Office OLE2Link ne prend pas en compte les risques de sécurité correspondants lors du traitement de l'objet cible, téléchargeant et exécutant ainsi le fichier d'application HTML (HTA) malveillant.
2) Détails de la vulnérabilité
CVE-2017-0199 utilise la technologie de lien d'objet OfficeOLE2Link pour intégrer des objets de lien malveillants dans des documents, puis appelle URL Moniker pour télécharger le fichier HTA dans le lien malveillant vers le local, URLMoniker passe Identifiez le champ de type de contenu dans l'en-tête de réponse et appelez enfin mshta.exe pour exécuter le code d'attaque dans le fichier HTA.
En termes d'impact, CVE-2017-0199 affecte presque toutes les versions des logiciels Office. Il s'agit de l'une des vulnérabilités ayant l'impact le plus important dans l'histoire des vulnérabilités Office. Elle est facile à construire et se déclenche de manière stable, ce qui en fait la plus importante. vulnérabilité la plus populaire lors de la conférence Black Hat 2017. Nommée meilleure vulnérabilité de sécurité côté client lors de la conférence Black Hat.
3) CVE associé
Pour CVE-2017-0199, Microsoft a adopté un mécanisme appelé "COMActivation Filter", et le correctif a directement bloqué deux CLSID dangereux, {3050F4D8-98B5-11CF-BB82-00AA00BDCE0B} ( l'objet "htafile") et {06290BD3-48AA-11D2-8432-006008C3FBFC} (l'objet "script"). CVE-2017-8570 utilise un autre objet : "ScriptletFile", le CLSID est "{06290BD2-48AA-11D2-8432-006008C3FBFC}", contournant ainsi le correctif de CVE-2017-0199.
| Numéro CVE
|
Description de la vulnérabilité
|
CVE-2017-0199 | Code à distance Office OLE2Link Ex Vulnérabilité d'exécution |
CVE-2017-8570 | Office Vulnérabilité d'exécution de code à distance OLE2Link |
4) Organisations APT associées
OfficeLa vulnérabilité logique OLE2Link est simple en principe, facile à construire et se déclenche de manière stable. Elle est favorisée par les organisations APT et a été incluse dans l'attaque. arsenal de la plupart des organisations APT.
| Organisation APT associée
|
Numéro CVE
|
Maha grass APT37 | CVE-2017-019, 9 |
Herbe Maha | CVE-2017 -8570 |
5) Événements APT liés
En juin 2017, l'Ukraine et d'autres pays ont été victimes d'attaques à grande échelle du ransomware variante Petya . L'attaquant utilise la vulnérabilité d'exécution de code à distance de Microsoft Office (CVE-2017-0199) pour le transmettre par courrier électronique. Une fois l'infection réussie, il utilise la vulnérabilité Eternal Blue pour se propager.
En mars 2018, le 360 Threat Intelligence Center a publié un rapport « Analyse des dernières activités de cyberattaques de l'organisation APT de Mahacao ciblant les institutions sensibles de mon pays » indiquant que l'organisation de Mahacao (APT -C-09) cible les institutions sensibles de mon pays. L'organisation a utilisé des courriels harpons présentant une vulnérabilité CVE-2017-8570 pour mener des attaques ciblées :
#🎜. 🎜#6)# 🎜🎜# Patch et solution Essayez de ne pas ouvrir de documents provenant de sources inconnues. Vous pouvez également utiliser un logiciel antivirus tel que. 360 Security Guard pour analyser le document avant de l'ouvrir. Pour réduire autant que possible le risque, essayez d'utiliser une machine virtuelle pour ouvrir des documents inconnus si possible.
L'éditeur de logiciels Microsoft a publié un patch correspondant à la vulnérabilité :
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ CVE -2017-0199
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8570
4. Vulnérabilité de l'éditeur d'équations Office
EQNEDT32.EXE (éditeur d'équations Microsoft), ce composant a été introduit pour la première fois dans Microsoft Office 2000 et Microsoft 2003 et est utilisé pour insérer et modifier des équations dans des documents, bien qu'à partir d'Office 2007 , les équations sont liées L'éditeur a changé, mais pour maintenir la compatibilité des versions, EQNEDT32.EXE lui-même n'a pas été supprimé de la suite Office. La suite n'a jamais été modifiée depuis sa compilation il y a 17 ans, ce qui signifie qu'elle ne dispose d'aucun mécanisme de sécurité (cookies ASLR, DEP, GS...). Et comme le processus EQNEDT32.EXE utilise DCOM pour démarrer et est indépendant du processus Office, il n'est pas protégé par le bac à sable des versions supérieures d'Office. Ce type de vulnérabilité a donc la propriété de « contourner » la protection du bac à sable et l'est. extrêmement nocif. Nous sélectionnerons la première vulnérabilité trouvée dans ce composant, CVE-2017-11882, pour présenter ce type de vulnérabilité sous une forme typique.
1) Présentation de la vulnérabilitéLe 14 novembre 2017, Embedi a publié un article de blog Skeletonin the placard . Vulnérabilité MS Office que vous ne connaissiez pas. Cet article analyse la découverte et l'exploitation de la vulnérabilité CVE-2017-11882 qui apparaît dans EQNEDT32.EXE est une vulnérabilité de dépassement de tampon lors de l'analyse du champ Nom de la police de formule. , ce qui peut conduire à l'exécution de code en construisant des documents Doc/RTF avec des formules illégales.
2) Détails de la vulnérabilitéCVE-2017-11882 est une vulnérabilité de débordement de pile, comme suit. Le champ Nom de la police dans la zone rouge finira par provoquer un débordement de pile et l'adresse de retour sera remplacée par 00430c12, ce qui pointe vers la fonction WinExe. Le premier paramètre de la fonction parent pointe simplement vers le caractère de construction, ce qui obligera WinExe à exécuter la commande dans. le caractère constructif. # 🎜🎜 ## 🎜🎜 ## 🎜🎜 # # 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 # 3) 🎜#Depuis le 14 novembre 2017, deux vulnérabilités liées à EQNEDT32.EXE, CVE-2018-0802/CVE-2018-0798, ont été découvertes l'une après l'autre. #🎜🎜 ##### 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜#Numéro CVE
🎜🎜 # 🎜🎜 ## 🎜🎜 # Description de la vulnérabilité # 🎜🎜 # # 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 # CVE-2017-11882 # 🎜🎜 ## 🎜 🎜 🎜 #font Nom Overflow de champ # 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 # CVE-2018-0802 # 🎜🎜 ## 🎜🎜 # # lffacename Field Overflow # 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 # # CVE-2018-0798
débordement de pile d'analyse des enregistrements matriciels
4)#🎜🎜 # #🎜 🎜#Organisation APT associée
#🎜 🎜# Connexes Organisation APT
|
Numéro CVE |
| #🎜🎜 # APT34 #
5) Incidents APT liés
APT34 attaque plusieurs institutions financières et gouvernementales au Moyen-Orient en envoyant des e-mails harpons avec CVE -2017-11882 .
6) Patch et solution
Les utilisateurs individuels doivent être très prudents lors du téléchargement et de l'ouverture de documents à partir de sources inconnues. Utilisez des outils antivirus, des chevaux de Troie et des logiciels malveillants tels que 360 Security Guard pour analyser afin de réduire le risque autant que possible. Si possible, essayez d'utiliser une machine virtuelle pour ouvrir des documents inconnus.
L'éditeur de logiciels Microsoft a publié un patch correspondant à la vulnérabilité :
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ CVE -2017-11882
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0802
https : / /portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0798
5 Vulnérabilité de confusion de type OOXML
OOXML est une vulnérabilité de confusion de type OOXML. Société Microsoft Les spécifications techniques développées pour les produits Office 2007 sont désormais devenues des normes internationales de format de document et sont compatibles avec l'ancien format de document ouvert standard international et le standard de document chinois "Biaowentong". Le texte riche d'Office contient lui-même un grand nombre de fichiers XML. En raison d'une mauvaise conception, lorsque les fichiers XML sont traités, de graves vulnérabilités d'obfuscation apparaissent, les plus typiques incluent CVE-2015-1641 et CVE-2017-11826. Nous choisissons ici la vulnérabilité d'obscurcissement de type OOXML la plus populaire de ces dernières années, CVE-2015. -1641, comme représentant typique.
1) Présentation de la vulnérabilité
En avril 2015, Microsoft a corrigé un CVE numéroté CVE- 2015-1641 Vulnérabilité de confusion de type Office Word. OfficeWord n'a pas vérifié l'objet customXML lors de l'analyse de l'attribut déplacéByCustomXML du document Docx, provoquant une confusion de type et une écriture arbitraire en mémoire. Enfin, des balises soigneusement construites et les valeurs d'attribut correspondantes peuvent provoquer l'exécution de code arbitraire à distance. Il s'agit d'une vulnérabilité d'obscurcissement de type OOXML avec un taux de réussite très élevé et qui est souvent utilisée par les organisations APT.
2) Détails de la vulnérabilité
CVE-2015-1641, car OfficeWord ne détecte pas le L'objet customXML est soumis à une vérification stricte, afin que des objets tels que smartTag puissent être transmis. Cependant, le flux de traitement de l'objet smartTag est différent de celui de customXML. Si la balise customXML est confondue et analysée par la balise smartTag d'une manière ou d'une autre, alors. l'élément dans la balise smartTag La valeur de l'attribut sera traitée comme une adresse, puis un simple calcul sera effectué pour obtenir une autre adresse. Le traitement ultérieur écrasera l'adresse précédemment calculée par la valeur id (de moveFromRangeEnd), ce qui entraînera des résultats d'écriture en mémoire imprévisibles. Ensuite, en écrivant des pointeurs de fonctions contrôlables et en construisant soigneusement la disposition de la mémoire via Heap Spray, le code est finalement exécuté : 🎜#
Le 28 septembre 2017, l'équipe 360 Sun Chase a capturé une vulnérabilité Office 0day (CVE-2017-11826) Attaques dans la nature, cette vulnérabilité affecte presque toutes les versions d'Office actuellement prises en charge par Microsoft, les attaques sauvages ciblent uniquement des versions spécifiques d'Office. L'attaque prend la forme d'un contenu Docx malveillant intégré dans un document RTF. #🎜🎜 ##### 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜#Numéro CVE
🎜🎜
# 🎜🎜 ###Explication de la vulnérabilité
### 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜#CVE-2015-1641#🎜🎜 ## 🎜🎜 #customXML confusion des types d'objets#🎜 🎜#CVE-2017-11826Un calcul incorrect de balise idmap en XML prête à confusion
#🎜🎜 ##🎜 🎜#4) Organisations APT associées
Exploits liés à CVE-2015-1641 La technologie est depuis longtemps rendue publique et le taux de réussite Le risque d'exploitation de cette vulnérabilité est très élevé. Par conséquent, avant que la vulnérabilité logique Office OLE2Link ne devienne populaire, cette vulnérabilité était l'une des vulnérabilités Office les plus couramment utilisées par les principales organisations APT. #🎜🎜 ##### 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜 ## 🎜🎜#organisation APT associée#🎜🎜 ##🎜🎜 # | Numéro CVE
|
| Herbe de Maha, APT28
#🎜 🎜#CVE-2015- 1641
| Une organisation APT inconnue en Asie de l'Est |
CVE-2017-11826 |
# 🎜🎜## 🎜🎜#5) Incidents APT liés
L'organisation Mahagrass APT a utilisé un grand nombre de documents de vulnérabilité contenant CVE-2015-1641 dans de multiples attaques contre mon pays depuis 2016.
6) Patch et solution
Les utilisateurs individuels doivent être très prudents lors du téléchargement et de l'ouverture de documents provenant de sources inconnues. Utilisez des outils antivirus, chevaux de Troie et logiciels malveillants tels que 360 Security Guard pour analyser afin de réduire les risques. autant que possible. Si possible, essayez d'utiliser une machine virtuelle pour ouvrir des documents inconnus.
Le fabricant du logiciel Microsoft a publié un correctif correspondant à la vulnérabilité :
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8570
6. Script ) Vulnérabilité d'analyse de script
EPS signifie EncapsulatedPost Script, qui est une extension de PostScript et convient à la sortie bitmap et vectorielle aux couleurs précises sur plusieurs plates-formes et périphériques de sortie haute résolution. Par conséquent, une prise en charge correspondante a également été introduite dans Office. Cependant, depuis 2015, plusieurs vulnérabilités liées à EPS dans Office ont été exploitées, notamment CVE-2015-2545, CVE-2017-0261 et CVE-2017-0262, ce qui a finalement obligé Microsoft à désactiver le composant EPS dans Office. . Ici, nous choisissons CVE-2017-0262 comme représentant typique.
1) Vulnerability Overview
Le 7 mai 2017, les chercheurs de FireEye ont révélé l'utilisation de plusieurs vulnérabilités EPS0-day dans la nature dans l'article EPSProcessing Zero-Days Exploited by Multiple Threat Actors, dont CVE-2017 - 0262, CVE-2017-0262 est une vulnérabilité dans l'instruction forall dans ESP. L'instruction forall vérifie de manière incorrecte les paramètres, conduisant à l'exécution de code.
2) Détails de la vulnérabilité
L'exemple d'exploitation de CVE-2017-0262 effectue d'abord un codage xor sur quatre octets sur l'EXP réel, et la clé est c45d6491 :
Le point clé de la vulnérabilité est que Dans la ligne de code suivante, l'instruction forall dans EPS exécutera la fonction de traitement proc (c'est-à-dire le deuxième paramètre) pour chaque objet du premier paramètre. Ici, le jugement de type du deuxième paramètre n'est pas strict, ce qui entraîne. 0xD80D020. L'adresse mémoire précédemment contrôlée par l'attaquant via heap spraying a été utilisée comme adresse de la fonction de traitement, de sorte que la pile esp a été contrôlée, provoquant l'exécution du code final :
3) CVE associé
|
Numéro CVE |
Description de la vulnérabilité |
| CVE-2015-2545 |
UA Vulnérabilité F |
| CVE-2017-0261 |
Vulnérabilité UAF dans les instructions de sauvegarde et de restauration |
| CVE-2017-0262 |
pour tous, la vérification du type de paramètre n'est pas stricte, conduisant à l'exécution de code |
4) Organisations APT associées
En raison de la difficulté d'exploitation la vulnérabilité EPS elle-même, et EPS est dans un état depuis Office 2010. L'exécution isolée dans un bac à sable nécessite souvent l'aide de vulnérabilités d'élévation de privilèges. Par conséquent, les utilisateurs de cette série de vulnérabilités sont souvent des organisations APT à grande échelle bien connues.
|
Organisation APT associée |
Numéro CVE |
| Non divulgué |
CVE-2015-2545 |
| Turla |
CVE-2017-0261 |
| APT28 |
CVE-2017-0262 |
5) Incident APT lié
Le groupe APT28 envoie des e-mails de harpon (CVE-2017-0262/CVE-2017 -0263 ) qui a affecté les élections françaises. L'e-mail était accompagné d'un fichier Office nommé Trump's_Attack_on_Syria_English.docx, qui a provoqué le téléchargement de jusqu'à 9 Go de données de l'équipe de campagne de Macron sur le réseau externe.
6) Patchs et solutions
# 🎜🎜# Les utilisateurs individuels doivent être très prudents lorsqu'ils téléchargent et ouvrent des documents provenant de sources inconnues. Utilisez des outils antivirus, des chevaux de Troie et des logiciels malveillants tels que 360 Security Guard pour les analyser afin de réduire autant que possible les risques. utiliser une machine virtuelle pour ouvrir des documents inconnus. L'éditeur de logiciels Microsoft a publié un patch correspondant à la vulnérabilité : https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ CVE -2015-2545https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0261https : / /portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-02627 Vulnérabilité d'élévation de privilèges Windows Ciblage de Windows dans Ces dernières années, il y a de plus en plus d'attaques de vulnérabilité côté client, ce qui conduit directement les grands fabricants à introduire une technologie de protection "sandbox" dans leurs logiciels clients. L'idée principale est d'exécuter l'application dans un environnement isolé, généralement faible. -environnement privilégié. Dans cet environnement, le bac à sable peut également être considéré comme un conteneur virtuel, permettant l'exécution de programmes non sécurisés. Même si le logiciel client est envahi par un code malveillant, il ne constituera pas une menace réelle pour le système informatique de l'utilisateur. Les programmes clients courants qui ont introduit la protection « sandbox » incluent : le navigateur IE/Edge, le navigateur Chrome, Adobe Reader, le logiciel Microsoft Office, etc. Lorsqu'une vulnérabilité de programme côté client est combinée à une vulnérabilité d'élévation de privilèges Windows, la protection « sandbox » d'une application peut être contournée.
1) Présentation de la vulnérabilité
Vulnérabilité dans le composant EPS (Encapsulated Post Script) du logiciel Office pendant l'attaque, parce que le processus de filtrage de script EPS fltldr.exe sur Office 2010 et les versions supérieures est protégé dans un bac à sable à faible privilège, pour briser les mesures de protection du bac à sable à faible privilège, l'attaquant doit utiliser du code à distance La vulnérabilité d'exécution est combinée avec la vulnérabilité d'élévation des privilèges du noyau pour mener une attaque combinée. Par conséquent, nous choisissons la vulnérabilité d'élévation de privilèges locale dans Win32k.sys (CVE-2017-0263), qui est combinée avec la vulnérabilité de confusion de type EPS (CVE-2017-0262), comme représentant typique.
2) Détails de la vulnérabilité
Le code qui exploite la vulnérabilité CVE-2017-0263 va d'abord créer trois PopupMenus et ajoutez les éléments de menu correspondants. Étant donné que la vulnérabilité UAF apparaît dans l'événement WM_NCDESTROY du noyau et écrasera la structure tagWnd de wnd2, l'indicateur bServerSideWindowProc peut être défini. Une fois bServerSideWindowProc défini, la procédure WndProc en mode utilisateur est traitée comme une fonction de rappel du noyau et est donc appelée depuis le contexte du noyau. À ce moment-là, WndProc a été remplacé par le noyau ShellCode par l'attaquant, et l'attaque par élévation de privilèges a finalement été terminée.
3) CVE associé
#🎜 🎜#
Numéro CVE|
| Description de la vulnérabilité #🎜🎜 #
|
CVE-2015-2546
Win32k corruption de mémoire élévation de vulnérabilité de privilèges |
# 🎜 🎜 #CVE-2016-7255 |
Win32k Vulnérabilité d'élévation de privilèges locaux
|
CVE-2017-0001 | #🎜 🎜#Windows Vulnérabilité d'élévation de privilèges GDI #🎜 ° #
|
Organisation APT associée |
| Numéro CVE | # 🎜🎜# |
UndisclosedCVE-2015-2546#🎜 🎜 # Dinde
5) Incidents APT liés
Attaques APT contre le Japon et Taiwan et attaques APT28 contre les élections françaises.
6) Patch et solution
Les utilisateurs individuels doivent être très prudents lors du téléchargement et de l'ouverture de documents provenant de sources inconnues. Utilisez des outils antivirus, chevaux de Troie et logiciels malveillants tels que 360 Security Guard pour analyser afin de réduire les risques. autant que possible. Si possible, essayez d'utiliser une machine virtuelle pour ouvrir des documents inconnus.
Le fabricant du logiciel Microsoft a publié un correctif correspondant à la vulnérabilité :
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2015-2546
https://portal . msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2016-7255
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017- 0001
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0263
8 Vulnérabilité Flash
Flashplayer a toujours été une menace pour diverses APT en raison de sa vulnérabilité. popularité multiplateforme. Les organisations s'inquiètent du fait que les vulnérabilités Flash ont commencé à apparaître depuis 2014. Surtout en 2015, deux vulnérabilités 0-day CVE-2015-5122/CVE-2015-5199 ont été trouvées dans les données divulguées par HackingTeam liées à l'exploitation des technologies. Les vulnérabilités Flash ont été rendues publiques. Les vulnérabilités Flash ont commencé à devenir le nouveau favori des organisations APT, bien qu'Adobe et Google aient ensuite coopéré et que plusieurs mécanismes de sécurité Flash aient été publiés les uns après les autres (tels que le tas d'isolation, la détection de la longueur du vecteur), ce qui a considérablement augmenté. seuil d'exploitation des vulnérabilités Flash, il existe également des cas comme CVE-2015-7645. Une sorte de cinglé qui confond les vulnérabilités. Nous choisissons ici le 0-day in the wild CVE-2018-4878 découvert il n'y a pas si longtemps comme représentant typique de ce type de vulnérabilité.
1) Vulnérabilité Aperçu
Le 31 janvier 2018, le CERT de Corée du Sud a annoncé avoir découvert un exploit sauvage de la vulnérabilité Flash 0day (CVE-2018-4878). L'attaquant a envoyé Office Word contenant des logiciels malveillants intégrés. Objets Flash. La pièce jointe attaque la cible spécifiée.
2) Détails de la vulnérabilité
CVE-2018-4878 est attaqué via l'objet DRMManager dans le package Flash om.adobe.tvsdk Comme indiqué dans le code suivant, une instance d'objet MyListener est créée dans la fonction triggeruaf. et initialisé via initialize , et définissez l'instance sur null. Le premier LocalConnection().connect() entraînera ensuite le recyclage de la mémoire de l'instance. Une exception sera déclenchée lors du deuxième LocalConnection().connect() et une exception. sera créé dans la gestion des exceptions. Pour une nouvelle instance de MyListener, le gestionnaire de mémoire allouera la mémoire de l'instance d'objet MyListener précédente au nouvel objet, c'est-à-dire le pointeur suspendu ici, réglera la minuterie et détectera si l'uaf est déclenché dans sa fonction de rappel. En cas de succès, l'emplacement sera déterminé via Mem_Arr :
3) CVE associé
|
Numéro CVE |
Vulnérabilité Description |
| CVE-2017-11292 |
UAF |
| CVE-2018-4878 |
UAF |
4) Organisations APT associées
|
Organisations APT associées |
Numéro CVE |
| APT28 |
CVE-2017-11292, CVE-2018-4878 |
| Groupe 1 23 |
CVE-2018-4878 |
5) Incidents APT associés
Le Groupe123 a utilisé CVE-2018-4878 pour attaquer des départements sensibles en Corée du Sud.
6) Patch et solution
Les utilisateurs individuels doivent être très prudents lors du téléchargement et de l'ouverture de documents provenant de sources inconnues. Utilisez des outils antivirus, chevaux de Troie et logiciels malveillants tels que 360 Security Guard pour analyser afin de réduire les risques. autant que possible. Si possible, essayez d'utiliser une machine virtuelle pour ouvrir des documents inconnus.
Le fabricant du logiciel Adobe a publié un correctif correspondant à la vulnérabilité :
https://helpx.adobe.com/security/products/flash-player/apsb18-03.html
https://helpx.adobe.com / security/products/flash-player/apsb17-32.html
9. Vulnérabilité iOS Trident
La vulnérabilité iOS Trident est actuellement le seul exemple d'attaque à distance divulgué publiquement ciblant les navigateurs du système iOS et est en fait utilisée pour cibler des fonctionnalités. est sous une attaque APT.
1) Vulnérabilité Aperçu
La vulnérabilité iOS Trident fait référence à une série de vulnérabilités de 0 jour ciblant les systèmes iOS avant iOS 9.3.5. Elle exploite 3 vulnérabilités de 0 jour, notamment une vulnérabilité WebKit et une fuite d'adresse du noyau. vulnérabilités et une élévation de vulnérabilité de privilèges. Une combinaison de trois vulnérabilités zero-day peut être utilisée pour jailbreaker à distance un appareil iOS et installer et exécuter n'importe quel code malveillant.
2) Détails de la vulnérabilité
La charge utile d'exploitation de la vulnérabilité iOS Trident peut être déclenchée en accédant à une URL spécifique, de sorte que des liens malveillants peuvent être envoyés par SMS, e-mail, réseaux sociaux ou messagerie instantanée pour inciter la cible à cliquer et ouvrir le lien pour déclencher la vulnérabilité. En raison de la vulnérabilité d'exécution de code arbitraire dans la bibliothèque WebKit JavaScriptCore, lorsque le navigateur Safari accède à un lien malveillant et déclenche l'exécution d'une charge utile JavaScript malveillante, le code d'exploitation pénètre dans l'espace de processus Safari WebContent. Il a ensuite exploité deux autres vulnérabilités pour élever les privilèges et jailbreaker l'appareil iOS. Enfin, la vulnérabilité Trident permet le téléchargement et l'exécution de modules malveillants utilisés pour le contrôle de la persistance.
Source de l'image [3]
3) CVE associé
La vulnérabilité iOS Trident implique 3 vulnérabilités de 0 jour, et leurs numéros CVE et informations associées sont indiqués dans le tableau ci-dessous :
|
Numéro CVE |
Description de la vulnérabilité |
| CVE-2016-4655 |
Fuite d'informations sur le noyau |
| CVE-2016-4656 |
Augmentation des privilèges |
| CVE-2016 -4657 |
Exécution de code à distanceWebKit |
4) Organisations et incidents APT associés
La vulnérabilité Trident a été initialement découverte parce qu'Ahmed Mansoor, un important défenseur des droits humains aux Émirats arabes unis, a reçu deux messages sur son iPhone les 10 et 11 août 2016. Le message texte contenait un lien sur lequel on pouvait cliquer pour afficher du contenu secret sur la torture des prisonniers détenus dans les prisons des Émirats arabes unis. Il a ensuite transmis le contenu du message texte à Citizen Lab, qui a été analysé et découvert conjointement par Citizen Lab et la société de sécurité Lookout. Enfin, il a été constaté que la vulnérabilité Trident et les charges utiles malveillantes associées étaient liées à la célèbre société israélienne de surveillance des logiciels espions NSO. Groupe.
Source de l'image[1]
5) Patchs et solutions
Apple a ensuite publié iOS 9.3.5 le 25 août 2016, qui a corrigé la vulnérabilité Trident[2].
10. Exploit distant2local du navigateur Android
La fuite du code d'exploitation du navigateur Android révèle que les trafiquants d'armes en ligne et les organismes gouvernementaux et chargés de l'application de la loi utilisent des vulnérabilités d'attaque à distance pour attaquer et surveiller les utilisateurs d'Android, et le processus d'exploitation atteint presque parfait, il également reflète les caractéristiques artistiques de la technologie d’exploitation de la vulnérabilité.
Ce code d'exploitation peut affecter presque la plupart des appareils Android et des versions de système grand public à ce moment-là.
1) Présentation de la vulnérabilité
La vulnérabilité remote2local du navigateur Android a été exploitée après l'invasion de Hacking Team et la fuite d'informations sur le code source interne en juillet 2015. Le code source divulgué contenait une cible pour Android 4.0.x-4.3. exploiter le code du .
Cet exploit de vulnérabilité combine trois vulnérabilités N-day de Google Chrome et une vulnérabilité d'élévation de privilèges ciblant le système Android pour compléter le processus complet d'attaque par exploit.
) 
Détails de la vulnérabilité
La vulnérabilité du navigateur Android est principalement due à la bibliothèque Libxs d'analyse du langage XML et à la conversion XSLT dans le processus Webkit. Il utilise d'abord une vulnérabilité de fuite d'informations pour obtenir des informations relatives à l'adresse mémoire, puis utilise la lecture et l'écriture arbitraires de la mémoire pour construire une attaque ROP afin d'atteindre finalement l'objectif d'exécuter du code arbitraire. Il exécute enfin le code d'élévation de privilèges. La vulnérabilité d'élévation de privilèges utilisée dans cette exploitation de vulnérabilité est CVE-2014-3153, qui est générée à partir de l'appel système Futex du noyau. Après avoir élevé les privilèges pour obtenir les privilèges root, l'application APK malveillante est installée en mode silencieux.
3) CVE associés
L'outil d'exploitation remote2local de Hacking Team pour les navigateurs Android combine 3 vulnérabilités spécifiques au navigateur et 2 pour l'élévation de privilèges.
|
Numéro CVE |
Description de la vulnérabilité |
| CVE-2011-1202 |
Fuite d'informations |
| CVE-2012-2825 |
Lecture de mémoire arbitraire |
| CVE-2012-2871 |
Débordement de tas |
| CVE-2014-3153 |
Vulnérabilité d'élévation de privilèges |
| CVE-2013-6282 |
Lecture et écriture d'adresse arbitraire du noyau |
4) Organisations et incidents APT associés
L'utilisation associée de cette vulnérabilité n'a pas été divulguée dans les rapports d'incidents publics historiques Cependant, Hacking Team, une société italienne spécialisée dans la fourniture de services d'intrusion informatique et de surveillance aux ministères gouvernementaux et aux forces de l'ordre, a été piratée en juillet 2015. Son code source interne ainsi que les données associées et le contenu de ses courriers électroniques ont été divulgués, révélant pour la première fois son identité. capacité à cibler cette vulnérabilité. Le code d’exploitation complet.
Et l'entreprise apparaît fréquemment dans des fuites d'e-mails expliquant aux clients les méthodes et processus d'exploitation de la vulnérabilité.
Google a résolu les problèmes ci-dessus dans la version du système Android 4.4 publiée par Google.
RésuméLa meilleure organisation APT de la classe Equation One maîtrise la technologie d'attaque de vulnérabilité la plus avancée
Formula One Les principales organisations APT maîtrisent la technologie d'attaque par vulnérabilité la plus avancée, qui inclut une couverture complète des vulnérabilités dans presque toutes les installations, équipements, logiciels et applications liés à Internet. Cependant, d'autres organisations APT préfèrent toujours utiliser les vulnérabilités des logiciels clients pour mener à bien leurs attaques. attaques de phishing.
Les attaques de vulnérabilité contre Office sont toujours au centre de la plupart des attaques APTDu point de vue de la fréquence d'utilisation, les vulnérabilités d'Office sont toujours au centre de la plupart des attaques APT. Il s'agit de la vulnérabilité la plus couramment utilisée par les organisations et reste un point d'entrée très efficace pour les attaques APT.
Les attaques APT mobiles sont progressivement devenues un nouveau point chaudLa popularité et la part de marché des appareils mobiles ont considérablement augmenté, de sorte que les organisations APT a également commencé à étendre la portée des attaques contre ses objets cibles au domaine des appareils mobiles. Lors des précédentes activités APT ciblant les attaques sur les appareils mobiles, les exploits des attaques de navigateur divulgués par la vulnérabilité Trident pour les systèmes iOS et Hacking Team pour les systèmes Android étaient particulièrement remarquables et ont révélé que les attaques ciblées sur les mobiles présentaient également les mêmes caractéristiques que celles présentées dans les attaques réseau passées. Les caractéristiques techniques avancées révèlent également que les marchands d’armes en ligne produisent et vendent des cyberarmes ciblant les plateformes mobiles.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
