早在圣誕節前夕,Adobe 公司宣布對旗下 Flash 播放器的多個漏洞進行了修復,但該事件沒有隨著漏洞的修復而結束,而是引起了國內安全公司的重(實力)視(秀)。經調(扒) 查(皮),其中一個漏洞已經被他人“利用”過。其代號:8651。

　　Adobe 安全響應中心公告

Adobe 官方安全公告中,值得注意的是:該漏洞已經被用于針對(英)性(文)的(寫)

定(的)向(啥)攻擊。 亞洲黑客組織被國內威脅情報機構捕獲:

國內首個專以安全威脅情報(Threat Intelligence)為中心的創業公司——微步在線 (ThreatBook)通過對多宗活躍 APT 威脅事件的跟蹤及對 CVE-2015-8651 攻擊的分析, 確定了攻擊流及攻擊者身份。

通過對捕獲的可疑 SWF 文件進行分析,確認此樣本利用了 Adobe Flash 整數溢出漏 洞 (即此次 Adobe 修復的 CVE-2015-8651 漏洞),其特點和暗黑客棧(Darkhotel)有著 非常驚人的雷同。

攻擊方式:此word文檔內附帶一個鏈接,該鏈接指向一段Flash視頻,在攻擊目標觀看 視頻時,攻擊者利用Flash播放器漏洞自動向電腦里植入木馬。

經過對POC的深入分析了解到,黑客對攻擊對象非常熟悉,文檔的內容和邏輯也偽造的 合情合理,很容易讓攻擊對象做出打開文末鏈接的舉動。

本次事件的鎖定對象并非一般個人,而是特定的公司或組織成員。因此,受竊信息也并 非一般網絡釣魚所竊取的個人資料,而是具有高度敏感性的資料,如智慧財產權及商業機密 等。這種攻擊模式就是所謂的魚叉式網絡釣魚攻擊。

通過對木馬樣本進行分析,可以發現此次攻擊手段有如下高深之處(微步在線提供技術分析支持):

·此木馬會對電腦上的所有殺毒軟件做詳盡排查。從逆向生成的代碼分析,此木馬內 含有一份包括國內外近百個主流殺毒軟件的名單。如果檢測到了名單上的任何一 個殺毒軟件,木馬都會選擇蟄伏,不會主動進行攻擊。

·此木馬會對運行環境進行“沙箱測試”。所謂沙箱,就是安全軟件在面對可疑文件 時,為了辨別文件是否含有木馬病毒,而模擬出一個對可疑文件進行隔離測試的 運行環境。該木馬一旦發現自己運行在沙箱之中,就不會再進行任何攻擊動作。

·此木馬的攻擊行為調用了微軟1999年引入的一個極其冷門的HTA格式文件。從這 一點上可以看出,木馬的制作者對于微軟系統做過非常深入的分析。

前方高能:

通過對這個樣本文件的關聯分析,鎖定到該團伙正是在亞洲活躍了九年的著名境外黑客 組織。這個組織曾被卡巴斯基的研究員命名為 DarkHotel(暗黑客棧)。(看見暗黑二字,讓 我聯想到去年比較火的太監連載:暗戰-數字世界黑白之戰)。可以基本確定,該組織最遲從 2007 年開始逐漸活躍,采用多種老練的手段以及行人追蹤技術引誘受害者上鉤。他們進攻的主要目標都集中在亞洲,而且以中國為主,并零星分布在日本和東南亞。此次 DarkHotel 發起的威脅攻擊從 2015 年 12 月 24 日開始一直持續到現在,被攻擊的國家和地區包括: 中國、俄羅斯和朝鮮。

　　攻擊還在持續:

雖然國內安全公司已發布了通告,Adobe 也發布了安全補丁,但通過微步在線的最新 威脅情報表明,2016 年 1 月 4 日又有中國企業被攻陷。說明了這種手法極其隱秘,并且充 分利用了人性的特點。

僅從本次攻擊來看,他們的目標非常明確——中國企業。通過對比以往的資料可以看 出,他們有可能一直在攻擊中國企業,并且截止到 1 月 13 日,部分樣本已經可以被少部分 安全廠商查殺,但依然有一些樣本至今不能被檢出。

　　黑客組織很走心:

從背景上分析,雖然歷次攻擊都是針對商業公司,但本次攻擊中所采用的 Flash 播放器 0day 漏洞在市場上的價格大約為 20-60 萬人民幣。如果這個漏洞是 DarkHotel 自己挖掘 的,那么他們需要有相當強的技術實力。如果這個漏洞是他們購買得來的,則需要雄厚的資 金實力。微步在線的安全分析師判斷,想要做到 DarkHotel 的成績,至少需要數百萬的資 金投入。

情報驅動,馬上行動:

針對本次事件的特殊性,微步在線(ThreatBook)已經第一時間向公司客戶及國內安全 企業分享了本次事件相關信息。現階段,面對越來越高級別的攻擊行為,國內企業不僅需要 做好基礎防護,更需要做到快速發現威脅和迅速響應,才能防患于未然。威脅情報是當前各 種安全能力的核心,可以幫助企業更好的預測、發現、分析、處理面臨的最新威脅,做到“知 己知彼”。微步在線(ThreatBook)正是致力于威脅情報結合大數據、可視化等技術,使客 戶能夠更好的應對高級威脅,提高事件處理能力。

微步在線所提供的獨特的基于 SaaS 的安全技術和服務即可幫助用戶準確、快速、低成 本的實現全面的威脅檢測,是用戶原有安全防御體系的有力補充,同時抵御了具有中國互聯 網特殊性的網絡侵害行為。

旗下產品威脅分析平臺(VirusBook.cn),是基于多引擎的在線文件與域名分析服務,能 夠提供跨平臺的動態沙箱分析服務,也是在這次事件分析過程中使用到的主要工具。目前, 公司已經和微軟、卡巴斯基、百度、騰訊等 20 余家公司形成安全合作伙伴,共同應對網絡 威脅。