曾經(jīng)一奶同胞的鐵哥們兒，如今卻反目成仇！

俄羅斯和烏克蘭都曾經(jīng)是蘇聯(lián)的加盟國，自打2014年發(fā)生克里米亞危機后，這原本“哥倆好”的兩國關(guān)系迅速降至冰點，雙方曾一度劍拔弩張。

這不，直到現(xiàn)在這倆倒霉兄弟也沒消停著—;—;11月25日，烏克蘭海軍三艘軍艦穿越俄羅斯邊境向刻赤海峽航行。對峙期間，俄羅斯船只向烏克蘭軍艦開火并將其扣押，這正是轟動一時的“刻赤海峽”事件。

事發(fā)后，就在大家以為在國際壓力下，兩國將進行協(xié)商而平息矛盾的時候，烏克蘭國卻突然宣布進入全面戰(zhàn)備狀態(tài)。

死對頭亮劍，俄羅斯哪能甘拜下風？隨后，俄羅斯便在克里米亞半島部署了第4個S-400“凱旋”防空導彈營，兩國之戰(zhàn)一觸即發(fā)。

更有媒體猜測，此次事件似乎是烏克蘭現(xiàn)任總理波羅申科為贏得新一屆總統(tǒng)選舉有意為之：為了讓事件第一次就能炸雷，波羅申科愣是在G20峰會前幾天自造“刻赤海峽事件”，使得美國總統(tǒng)特朗普被迫取消了原定在峰會上與普京的會晤。

美國：作，繼續(xù)作，倆倒霉玩意兒~

然而......還沒完！12月4日，360高級威脅應對團隊于11月29日在全球范圍第一時間發(fā)現(xiàn)了一起針對俄羅斯的APT攻擊行動。值得注意的是，此次攻擊相關(guān)樣本來源于烏克蘭，攻擊目標則直指俄羅斯聯(lián)邦總統(tǒng)事務(wù)管理局。

又作？接到消息后，趕緊找到好朋友360集團助理總裁鄭文彬聊了聊，對此次APT攻擊事件的來龍去脈做了個全面了解。

玩兒“自毀”的Flash 0day漏洞

此次APT（高級持續(xù)性威脅）攻擊被360稱作“毒針”行動，行動以一份使用了最新Flash 0day漏洞cve-2018-15982和帶有自毀功能專屬木馬程序的俄文內(nèi)容員工問卷文檔為開端，攻擊過程主要分為三個階段：

1、攻擊者通過投遞rar壓縮包發(fā)起攻擊，打開壓縮包內(nèi)的誘餌文檔就會中招；

漏洞文檔攻擊過程

2、當受害者打開員工問卷文檔后，將會播放Flash 0day文件；

播放Flash 0day漏洞

3、觸發(fā)漏洞后，winrar解壓程序?qū)僮鲏嚎s包內(nèi)文件，執(zhí)行最終的PE荷載backup.exe；

漏洞執(zhí)行進程樹

不過，這Flash 0day漏洞究竟有何神通竟被選中對具備極高敏感度的俄羅斯聯(lián)邦總統(tǒng)事務(wù)管理局展開攻擊？

原來，此次的CVE-2018-15982 0day漏洞是flash包com.adobe.tvsdk.mediacore.metadata中的一個UAF漏洞。利用代碼借助該漏洞，可以實現(xiàn)任意代碼執(zhí)行。

從最終荷載分析發(fā)現(xiàn)， E荷載是一個經(jīng)過VMP強加密的后門程序。解密后發(fā)現(xiàn)，主程序主要功能為創(chuàng)建一個窗口消息循環(huán)，有8個主要功能線程，其中包括定時自毀線程。

也就是說，這玩意兒它帶“自毀”功能。

鄭文彬說，此次攻擊木馬的定時自毀線程可以在完成攻擊任務(wù)之后將電腦中存留的木馬病毒、日志以及存留的痕跡全部銷毀。實際上，360安全大腦發(fā)現(xiàn)漏洞的過程就像在做拼圖游戲，最終目的正是將極度碎片化的樣本通過反推來逐漸還原。”

由此來看，由于攻擊本身具備自毀屬性，此次360安全大腦在發(fā)現(xiàn)漏洞的過程中其操作難度自然也會增加不少。

不是首次？APT攻擊早有源頭

11月29日下午，360安全大腦所屬Q(mào)EX團隊和高級威脅沙箱團隊分別通過應對高級威脅的探針技術(shù)，云端沙箱首次探測到Flash 0Day漏洞。

隨后，追日團隊對該樣本漏洞進行了分析溯源并還原了攻擊全貌，最終將其確定為一起針對俄羅斯的APT攻擊行動。

漏洞文檔內(nèi)容

據(jù)鄭文彬分析，利用UAF漏洞，攻擊者通過強制GC獲得一個垂懸指針進行多次UAF實現(xiàn)任意地址讀寫繞過ASLR，最后借助HackingTeam泄露代碼中的方式繞過DEP/CFG，執(zhí)行shellcode。

也就是說，此次發(fā)起APT攻擊的攻擊者很可能是個“慣犯”，而上一次遭殃的正是這家名為HackingTeam的意大利軍火商。

作為為數(shù)不多的幾家向全世界執(zhí)法機構(gòu)出售監(jiān)控工具的公司之一，Hacking Team幫助政府針對新聞記者、激進分子、政府中的反對派以及其他對政府可能造成的威脅因素進行入侵和監(jiān)控。

2015年7月，該公司遭黑客攻擊，旗下大量網(wǎng)絡(luò)武器和攻擊工具泄露，黑客利用其flash漏洞進行大規(guī)模掛馬傳播，總傳播量上百萬，對整個互聯(lián)網(wǎng)安全構(gòu)成嚴重威脅。

Hacking Team被攻擊 大量信息遭泄露

鄭文彬說0此類攻擊的目標很少，一般集中在國家機構(gòu)，但引起的危害就如同蝴蝶效應一般，會引發(fā)巨大風暴。

舉個例子，2015年圣誕節(jié)期間，烏克蘭國家電力部門遭受了APT攻擊，烏克蘭西部140萬名居民在嚴冬遭遇大規(guī)模停電事故，城市陷入一片恐慌。

可見，跨國APT攻擊事件若沒有被及時發(fā)現(xiàn)并制止，其后果不堪設(shè)想。

那么，此次APT攻擊事件的背后，攻擊者的目的又是什么呢？

據(jù)該機構(gòu)的官網(wǎng)信息顯示，被攻擊機構(gòu)所屬俄羅斯聯(lián)邦總統(tǒng)事務(wù)管理局，是專門為俄羅斯聯(lián)邦最高行政、立法、司法當局的工作人員、科學家和藝術(shù)家提供服務(wù)的專業(yè)醫(yī)療機構(gòu)。

雖然目前還無法確定攻擊者的動機和身份，但考慮到該醫(yī)療機構(gòu)的特殊背景和服務(wù)的敏感人群，這也使此次攻擊表現(xiàn)出了一些定向性。

該醫(yī)院機構(gòu)介紹

值得慶幸的是，攻擊事件發(fā)生后，360第一時間將0day漏洞的細節(jié)報告了Adobe官方。12月5日，Adobe官方加急發(fā)布了Flash 32.0.0.101版本修復了此次的0day漏洞并致謝360團隊。

網(wǎng)友：忙幫了，Adobe不給點獎勵？

發(fā)現(xiàn)漏洞后，360選擇最先在微博上公開此次監(jiān)測的詳細過程。截止今日，已經(jīng)有大批網(wǎng)友留言評論，其內(nèi)容可謂是腦洞大開。

而采訪過程中也從中挑選出兩條問題來詢問了鄭文彬：

微博昵稱為@鋼冰水火的網(wǎng)友：“忙也幫了，Adobe 就不考慮給點兒獎勵嗎？”

鄭文彬：我覺得這是分兩面的，首先360自己會發(fā)現(xiàn)很多漏洞去反饋給廠商，各別廠商會設(shè)立相應獎勵計劃；另外，如果漏洞已被黑客利用，這種情況屬于0Day漏洞已被攻擊，危險等級也會提高，一經(jīng)發(fā)現(xiàn)廠商將更加重視；

微博昵稱為@不返之六號歸復者：“美國的兩線進攻？我猜老美背后操刀的可能性有85%?！?/p>

鄭文彬：對于沒有數(shù)據(jù)支撐的個人推測是不可信的，360完全通過現(xiàn)有樣本來分析相關(guān)證據(jù)，進而確定此次APT攻擊事件的指向，目前尚不能確定具體的攻擊者身份或者攻擊者的明確意圖。

實際上，漏洞被發(fā)現(xiàn)并曝光之后不光對廠商起到了預警效果，同時也會使得攻擊計劃暫時擱淺或者不再執(zhí)行，這也為阻止APT攻擊事件持續(xù)發(fā)酵起到了積極作用。

“以人工智能技術(shù)為支撐，360安全大腦已經(jīng)實現(xiàn)在百億級樣本中追蹤高級威脅攻擊，這將為復雜的網(wǎng)絡(luò)系統(tǒng)鑄造一堵攻不破的“防火墻”?！?/p>

你認為此次APT攻擊是否與“刻赤海峽”事件有著必然聯(lián)系呢？對于此次APT攻擊行動你又有怎樣的獨到見解呢？快在文末留言分享給大家吧！