曾經一奶同胞的鐵哥們兒，如今卻反目成仇！

俄羅斯和烏克蘭都曾經是蘇聯(lián)的加盟國，自打2014年發(fā)生克里米亞危機后，這原本“哥倆好”的兩國關系迅速降至冰點，雙方曾一度劍拔弩張。

這不，直到現(xiàn)在這倆倒霉兄弟也沒消停著—;—;11月25日，烏克蘭海軍三艘軍艦穿越俄羅斯邊境向刻赤海峽航行。對峙期間，俄羅斯船只向烏克蘭軍艦開火并將其扣押，這正是轟動一時的“刻赤海峽”事件。

事發(fā)后，就在大家以為在國際壓力下，兩國將進行協(xié)商而平息矛盾的時候，烏克蘭國卻突然宣布進入全面戰(zhàn)備狀態(tài)。

死對頭亮劍，俄羅斯哪能甘拜下風？隨后，俄羅斯便在克里米亞半島部署了第4個S-400“凱旋”防空導彈營，兩國之戰(zhàn)一觸即發(fā)。

更有媒體猜測，此次事件似乎是烏克蘭現(xiàn)任總理波羅申科為贏得新一屆總統(tǒng)選舉有意為之：為了讓事件第一次就能炸雷，波羅申科愣是在G20峰會前幾天自造“刻赤海峽事件”，使得美國總統(tǒng)特朗普被迫取消了原定在峰會上與普京的會晤。

美國：作，繼續(xù)作，倆倒霉玩意兒~

然而......還沒完！12月4日，360高級威脅應對團隊于11月29日在全球范圍第一時間發(fā)現(xiàn)了一起針對俄羅斯的APT攻擊行動。值得注意的是，此次攻擊相關樣本來源于烏克蘭，攻擊目標則直指俄羅斯聯(lián)邦總統(tǒng)事務管理局。

又作？接到消息后，趕緊找到好朋友360集團助理總裁鄭文彬聊了聊，對此次APT攻擊事件的來龍去脈做了個全面了解。

玩兒“自毀”的Flash 0day漏洞

此次APT（高級持續(xù)性威脅）攻擊被360稱作“毒針”行動，行動以一份使用了最新Flash 0day漏洞cve-2018-15982和帶有自毀功能專屬木馬程序的俄文內容員工問卷文檔為開端，攻擊過程主要分為三個階段：

1、攻擊者通過投遞rar壓縮包發(fā)起攻擊，打開壓縮包內的誘餌文檔就會中招；

漏洞文檔攻擊過程

2、當受害者打開員工問卷文檔后，將會播放Flash 0day文件；

播放Flash 0day漏洞

3、觸發(fā)漏洞后，winrar解壓程序將會操作壓縮包內文件，執(zhí)行最終的PE荷載backup.exe；

漏洞執(zhí)行進程樹

不過，這Flash 0day漏洞究竟有何神通竟被選中對具備極高敏感度的俄羅斯聯(lián)邦總統(tǒng)事務管理局展開攻擊？

原來，此次的CVE-2018-15982 0day漏洞是flash包com.adobe.tvsdk.mediacore.metadata中的一個UAF漏洞。利用代碼借助該漏洞，可以實現(xiàn)任意代碼執(zhí)行。

從最終荷載分析發(fā)現(xiàn)， E荷載是一個經過VMP強加密的后門程序。解密后發(fā)現(xiàn)，主程序主要功能為創(chuàng)建一個窗口消息循環(huán)，有8個主要功能線程，其中包括定時自毀線程。

也就是說，這玩意兒它帶“自毀”功能。

鄭文彬說，此次攻擊木馬的定時自毀線程可以在完成攻擊任務之后將電腦中存留的木馬病毒、日志以及存留的痕跡全部銷毀。實際上，360安全大腦發(fā)現(xiàn)漏洞的過程就像在做拼圖游戲，最終目的正是將極度碎片化的樣本通過反推來逐漸還原。”

由此來看，由于攻擊本身具備自毀屬性，此次360安全大腦在發(fā)現(xiàn)漏洞的過程中其操作難度自然也會增加不少。

不是首次？APT攻擊早有源頭

11月29日下午，360安全大腦所屬QEX團隊和高級威脅沙箱團隊分別通過應對高級威脅的探針技術，云端沙箱首次探測到Flash 0Day漏洞。

隨后，追日團隊對該樣本漏洞進行了分析溯源并還原了攻擊全貌，最終將其確定為一起針對俄羅斯的APT攻擊行動。

漏洞文檔內容

據(jù)鄭文彬分析，利用UAF漏洞，攻擊者通過強制GC獲得一個垂懸指針進行多次UAF實現(xiàn)任意地址讀寫繞過ASLR，最后借助HackingTeam泄露代碼中的方式繞過DEP/CFG，執(zhí)行shellcode。

也就是說，此次發(fā)起APT攻擊的攻擊者很可能是個“慣犯”，而上一次遭殃的正是這家名為HackingTeam的意大利軍火商。

作為為數(shù)不多的幾家向全世界執(zhí)法機構出售監(jiān)控工具的公司之一，Hacking Team幫助政府針對新聞記者、激進分子、政府中的反對派以及其他對政府可能造成的威脅因素進行入侵和監(jiān)控。

2015年7月，該公司遭黑客攻擊，旗下大量網(wǎng)絡武器和攻擊工具泄露，黑客利用其flash漏洞進行大規(guī)模掛馬傳播，總傳播量上百萬，對整個互聯(lián)網(wǎng)安全構成嚴重威脅。

Hacking Team被攻擊 大量信息遭泄露

鄭文彬說0此類攻擊的目標很少，一般集中在國家機構，但引起的危害就如同蝴蝶效應一般，會引發(fā)巨大風暴。

舉個例子，2015年圣誕節(jié)期間，烏克蘭國家電力部門遭受了APT攻擊，烏克蘭西部140萬名居民在嚴冬遭遇大規(guī)模停電事故，城市陷入一片恐慌。

可見，跨國APT攻擊事件若沒有被及時發(fā)現(xiàn)并制止，其后果不堪設想。

那么，此次APT攻擊事件的背后，攻擊者的目的又是什么呢？

據(jù)該機構的官網(wǎng)信息顯示，被攻擊機構所屬俄羅斯聯(lián)邦總統(tǒng)事務管理局，是專門為俄羅斯聯(lián)邦最高行政、立法、司法當局的工作人員、科學家和藝術家提供服務的專業(yè)醫(yī)療機構。

雖然目前還無法確定攻擊者的動機和身份，但考慮到該醫(yī)療機構的特殊背景和服務的敏感人群，這也使此次攻擊表現(xiàn)出了一些定向性。

該醫(yī)院機構介紹

值得慶幸的是，攻擊事件發(fā)生后，360第一時間將0day漏洞的細節(jié)報告了Adobe官方。12月5日，Adobe官方加急發(fā)布了Flash 32.0.0.101版本修復了此次的0day漏洞并致謝360團隊。

網(wǎng)友：忙幫了，Adobe不給點獎勵？

發(fā)現(xiàn)漏洞后，360選擇最先在微博上公開此次監(jiān)測的詳細過程。截止今日，已經有大批網(wǎng)友留言評論，其內容可謂是腦洞大開。

而采訪過程中也從中挑選出兩條問題來詢問了鄭文彬：

微博昵稱為@鋼冰水火的網(wǎng)友：“忙也幫了，Adobe 就不考慮給點兒獎勵嗎？”

鄭文彬：我覺得這是分兩面的，首先360自己會發(fā)現(xiàn)很多漏洞去反饋給廠商，各別廠商會設立相應獎勵計劃；另外，如果漏洞已被黑客利用，這種情況屬于0Day漏洞已被攻擊，危險等級也會提高，一經發(fā)現(xiàn)廠商將更加重視；

微博昵稱為@不返之六號歸復者：“美國的兩線進攻？我猜老美背后操刀的可能性有85%?！?/p>

鄭文彬：對于沒有數(shù)據(jù)支撐的個人推測是不可信的，360完全通過現(xiàn)有樣本來分析相關證據(jù)，進而確定此次APT攻擊事件的指向，目前尚不能確定具體的攻擊者身份或者攻擊者的明確意圖。

實際上，漏洞被發(fā)現(xiàn)并曝光之后不光對廠商起到了預警效果，同時也會使得攻擊計劃暫時擱淺或者不再執(zhí)行，這也為阻止APT攻擊事件持續(xù)發(fā)酵起到了積極作用。

“以人工智能技術為支撐，360安全大腦已經實現(xiàn)在百億級樣本中追蹤高級威脅攻擊，這將為復雜的網(wǎng)絡系統(tǒng)鑄造一堵攻不破的“防火墻”?！?/p>

你認為此次APT攻擊是否與“刻赤海峽”事件有著必然聯(lián)系呢？對于此次APT攻擊行動你又有怎樣的獨到見解呢？快在文末留言分享給大家吧！