本文将深入探讨边亮在ISC2018上分享的主题,主要关注360追日团队在高级威胁感知和在野0day攻击方面的研究成果。360追日团队,也称为HELIOS TEAM,专注于APT(Advanced Persistent Threat,高级持续性威胁)的发现和研究,至今已经揭露了超过三十个APT组织。
在野0day攻击是网络安全领域的一大挑战,因为它们是未被公开且尚未有补丁的漏洞,攻击者可以利用这些漏洞进行有针对性的攻击。边亮列举了一系列360追日团队监测到的在野0day攻击案例,包括:
1. 2017年4月的CVE-2017-0199 HTA In the Wild Attacks,攻击者利用了HTA处理程序的漏洞。
2. 2017年6月的CVE-2017-0261/2/3 Word EPS Processing Zero-Days,多个威胁行为者利用这些漏洞进行攻击。
3. 2017年7月的CVE-2017-8464 Lnk,与震网三代相关的攻击,360发布了首个相关报告。
4. 2017年9月的CVE-2017-8759 Word Zero-Day,用于传播FINSPY恶意软件。
5. 2017年10月的CVE-2017-11826 Word 0day,360是全球唯一一家中国厂商捕捉到此漏洞的在野利用。
6. 同月的CVE-2017-11292 Flash BlackOasis APT,卡巴斯基报告的新一轮针对性攻击。
7. 2017年12月的CVE-2018-0802 Word 0day,360首次捕获噩梦公式二代漏洞。
8. 2017年12月的NULLWeb(国内某邮箱)0day,360发现了利用国内某邮箱服务的漏洞进行的攻击。
9. 2018年2月的CVE-2018-4878 Flash,360是国内首个发现并分析此Adobe Flash零日漏洞在野攻击的机构。
10. 2018年4月的CVE-2018-8174 Word & IE 双杀漏洞,360捕获了全球首例利用浏览器0day漏洞的新型Office文档在野攻击。
11. 2018年6月的CVE-2018-5002 Flash 0day,360再次在全球范围内领先发现。
12. 2018年7月的CVE-2018-8373 Word & IE Use-after-free (UAF) Vulnerability,影响VBScript引擎。
这些攻击通常通过鱼叉式钓鱼邮件、恶意网址、水坑攻击、即时通讯工具和社交网络进行传播。攻击者使用各种漏洞,如文档漏洞(例如CVE-2017-0199)、Internet Explorer漏洞(如CVE-2012-4792)和Java漏洞(如CVE-2012-0422),对Windows、Mac OS X和Android等操作系统发起攻击。
在攻击手法方面,0day漏洞的利用是一个关键策略。例如,CVE-2017-11826漏洞利用了精心构造的恶意Word文档,通过类型混淆漏洞导致远程代码执行。在噩梦公式二代攻击中,攻击者利用了未在补丁中修复的栈溢出问题,通过覆盖返回地址来绕过地址随机化保护。
此外,360追日团队还揭示了针对我国政府和贸易相关企业的针对性攻击,这些攻击可能涉及多种RAT(Remote Access Trojan,远程访问木马)和复杂的横向移动技术,但具体细节未公开。
360追日团队的这些发现和研究强调了高级威胁的复杂性和严重性,以及网络安全防御的重要性。通过大数据分析和威胁情报,安全研究人员能够更有效地检测和响应在野0day攻击,保护用户和组织免受APT攻击的侵害。
