劉鍥

APT攻擊，即：高級持續(xù)性威脅（Advanced Persistent Threat）是利用先進的攻擊手段對特定目標進行長期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式。APT攻擊的原理相對于其他攻擊形式更為高級和先進，其主要體現(xiàn)在精確的信息收集、高度的隱蔽性以及使用各種復(fù)雜的目標系統(tǒng)或應(yīng)用程序漏洞等方面。

為了能夠更加全面的了解全球APT研究的前沿成果，360威脅情報中心對APT攻擊中最重要的部分（APT組織所使用的安全漏洞）進行了梳理，結(jié)合360威脅情報中心對APT攻擊這類網(wǎng)絡(luò)戰(zhàn)的理解，篩選出近年來APT組織所使用的10類安全漏洞。

1.防火墻設(shè)備漏洞

防火墻作為網(wǎng)絡(luò)邊界設(shè)備，通常不屬于攻擊者攻擊的目標，尤其在APT領(lǐng)域中針對防火墻設(shè)備的漏洞就更為少見，直到2016年第一批Shadow Broker泄露的工具中大量針對防火墻及路由設(shè)備的工具被曝光，某些組織多年來直接攻擊邊界設(shè)備的活動才被徹底曝光，此處我們選擇CVE-2016-6366作為這類漏洞的典型代表。

（1）漏洞概述

2016年8月13日黑客組織ShadowBrokers聲稱攻破了為NSA開發(fā)網(wǎng)絡(luò)武器的黑客團隊Equation Group，并公開其內(nèi)部使用的相關(guān)工具，EXBA-extrabacon工具，該工具基于0-day漏洞CVE-2016-6366，為Cisco防火墻SNMP服務(wù)模塊的一處緩沖區(qū)溢出漏洞。

（2）漏洞詳情

CVE-2016-6366（基于Cisco防火墻SNMP服務(wù)模塊的一處緩沖區(qū)溢出漏洞），目標設(shè)備必須配置并啟用SNMP協(xié)議，同時必須知道SNMP的通信碼，漏洞執(zhí)行之后可關(guān)閉防火墻對Telnet/SSH的認證，從而允許攻擊者進行未授權(quán)的操作。

（3）補丁及解決方案

及時更新網(wǎng)絡(luò)邊界設(shè)備固件，軟件廠商思科已經(jīng)發(fā)布了漏洞相應(yīng)的補?。篽ttps：//blogs.cisco.com/security/shadow-brokers。

2. SMB通信協(xié)議漏洞

SMB（Server MessageBlock）通信協(xié)議是微軟和英特爾在1987年制定的協(xié)議，主要是作為Microsoft網(wǎng)絡(luò)的通訊協(xié)議。2017年4月14日ShadowBrokers公布了之前泄露文檔中出現(xiàn)的Windows相關(guān)部分的文件，該泄露資料中包含了一套針對Windows系統(tǒng)相關(guān)的遠程代碼利用框架（涉及的網(wǎng)絡(luò)服務(wù)范圍包括SMB、RDP、IIS及各種第三方的郵件服務(wù)器），其中一系列的SMB遠程漏洞0-day工具（EternalBlue，Eternalromance，Eternalchampoin和Eternalsynergy）之后被集成到多個蠕蟲家族中，同年5月12日爆發(fā)的WanaCry當時就集成了EternalBlue。

（1）漏洞概述

EternalBlue工具使用了SMB協(xié)議中的三處漏洞，其中主體的越界內(nèi)存寫漏洞隸屬于微軟MS17-010補丁包中的CVE-2017-0144，通過該集成的工具，攻擊者可以直接遠程獲取漏洞機器的控制權(quán)限。

（2）漏洞詳情

EternalBlue中的核心了漏洞為CVE-2017-0144，該漏洞通過SMB協(xié)議的SMB_COM_TRANSACTION2命令觸發(fā)，當其中的FEALIST字段長度大于10 000時將導(dǎo)致內(nèi)存越界寫，由于SMB_COM_TRANSACTION2命令本身FEA LIST的長度最大為FFFF，因此這里就涉及到第二處漏洞，即SMB_COM_ TRANSACTION2可被混淆為SMB_COM_NT_TRANSACT，從而實現(xiàn)發(fā)送一個FEA LIST字段長度大于10 000的SMB_COM_TRANSACTION2命令，實現(xiàn)越界寫，最后通過第三個漏洞進行內(nèi)存布局，最終實現(xiàn)代碼執(zhí)行。

（6）補丁解決方案

及時更新操作系統(tǒng)補丁，軟件廠商微軟已經(jīng)發(fā)布了漏洞相應(yīng)的補丁：https：//docs.microsoft.com/zh-cn/security-updates/ Securitybulletins/2017/ms17-010。

3. Office OLE2Link邏輯漏洞

Office OLE2Link是微軟辦公軟件（Office）中的一個重要特性，它允許Office文檔通過對象鏈接技術(shù)在文檔中插入遠程對象，在文檔打開時自動加載處理。由于設(shè)計不當，在這個處理過程中出現(xiàn)了嚴重的邏輯漏洞，而我們選擇CVE-2017-0199為這類漏洞的典型代表。

（1）漏洞概述

2017年4月7日McAfee與FireEye的研究員爆出微軟OfficeWord的一個0-day漏洞的相關(guān)細節(jié)（CVE-2017-0199）。攻擊者可以向受害人發(fā)送一個帶有OLE2link對象附件的惡意文檔，誘騙用戶打開。當用戶打開惡意文檔時，Office OLE2Link機制在處理目標對象上沒有考慮相應(yīng)的安全風(fēng)險，從而下載并執(zhí)行惡意HTML應(yīng)用文件（HTA）。

（2）漏洞詳情

CVE-2017-0199利用了OfficeOLE2Link對象鏈接技術(shù)，將惡意鏈接對象嵌入在文檔中，之后調(diào)用URL Moniker將惡意鏈接中的HTA文件下載到本地，URLMoniker通過識別響應(yīng)頭中content-type的字段，最終調(diào)用mshta.exe執(zhí)行HTA文件中的攻擊代碼。

在影響面方面，CVE-2017-0199幾乎影響了所有版本的Office軟件，是歷來Office漏洞中影響面最廣的漏洞之一，并且易于構(gòu)造，觸發(fā)穩(wěn)定，這使得其在2017年的BlackHat黑帽大會上被評為“最佳”客戶端安全漏洞。

（3）補丁及解決方案

盡量不要打開來源不明的文檔，也可以使用360安全衛(wèi)士之類的防病毒軟件對文檔進行掃描后再打開以盡可能降低風(fēng)險，如果有條件盡量使用虛擬機打開陌生文檔。

微軟已經(jīng)發(fā)布了漏洞相應(yīng)的補丁：

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2017-0199；

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2017-8570。

4. Office公式編輯器漏洞

Microsoft公式編輯器（EQNEDT32.EXE），該組件首發(fā)于Microsoft Office 2000和Microsoft 2003，以用于向文檔插入和編輯方程式，雖然從Office 2007之后，方程式相關(guān)的編輯發(fā)生了變化，但為了保持版本的兼容性，EQNEDT32.EXE本身也沒有從Office套件中刪除。而該套件自17年前編譯之后就從未被修改，這就意味著其沒有任何安全機制（ASLR，DEP，GS cookies…）。并且由于EQNEDT32.EXE進程使用DCOM方式啟動而獨立于Office進程，從而不受Office高版本的沙盒保護，所以該類漏洞具有天生“繞過”沙盒保護的屬性，危害巨大。此處我們選擇該組件下發(fā)現(xiàn)的第一個漏洞CVE-2017-11882作為該類漏洞的典型。

（1）漏洞概述

2017年11月14日，Embedi發(fā)布博文《Skeletonin the closet. MS Office vulnerability you didnt know about》，該文章就EQNEDT32.EXE中出現(xiàn)的CVE-2017-11882漏洞的發(fā)現(xiàn)和利用進行了分析，CVE-2017-11882為公式Font Name字段解析時的緩沖區(qū)溢出漏洞，通過構(gòu)造帶有非法公式的Doc/RTF文檔，可導(dǎo)致代碼執(zhí)行。

（2）漏洞詳情

CVE-2017-11882為一處棧溢出漏洞，其Font Name字段最終會導(dǎo)致棧溢出，返回地址被覆蓋為00430c12，該地址指向 WinExe函數(shù)，父函數(shù)第一個參數(shù)正好指向構(gòu)造字符，從而導(dǎo)致WinExe執(zhí)行構(gòu)造字符中的命令。

（3）補丁及解決方案

個人用戶下載打開來源不明的文檔需要非常謹慎，可用360安全衛(wèi)士之類的防病毒木馬流氓軟件的工具進行掃描以盡可能降低風(fēng)險，如果有條件盡量使用虛擬機打開陌生文檔。

微軟已經(jīng)發(fā)布了漏洞相應(yīng)的補?。?/p>

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2017-11882；

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2018-0802；

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2018-0798。

5. OOXML類型混淆漏洞

OOXML是微軟公司為Office2007產(chǎn)品開發(fā)的技術(shù)規(guī)范，現(xiàn)已成為國際文檔格式標準，兼容前國際標準開放文檔格式和中國文檔標準“標文通”，Office富文本中本身包含了大量的XML文件，由于設(shè)計不當，在對其中的XML文件進行處理的時候，出現(xiàn)了嚴重的混淆漏洞，最典型的包括CVE-2015-1641，CVE-2017-11826，這里我們選擇近年來最流行的OOXML類型混淆漏洞CVE-2015-1641作為典型代表。

（1）漏洞概述

2015年4月，微軟修補了一個CVE編號為CVE-2015-1641的Office Word類型混淆漏洞。OfficeWord在解析Docx文檔displacedByCustomXML屬性時未對customXML對象進行驗證，造成類型混淆，導(dǎo)致任意內(nèi)存寫，最終經(jīng)過精心構(gòu)造的標簽以及對應(yīng)的屬性值可以造成遠程任意代碼執(zhí)行。這是第一個利用成功率非常高且被APT組織頻繁使用的OOXML類型混淆漏洞。

（2）漏洞詳情

CVE-2015-1641中，由于OfficeWord沒有對傳入的custom XML對象進行嚴格的校驗，導(dǎo)致可以傳入比如smartTag之類的對象，然而smartTag對象的處理流程和customXML并不相同，如果customXML標簽被smartTag標簽通過某種方法混淆解析，那么smartTag標簽中的element屬性值會被當作是一個地址，隨后經(jīng)過簡單的計算得到另一個地址。最后處理流程會將moveFromRangeEnd的id值覆蓋到之前計算出來的地址中，導(dǎo)致任意內(nèi)存寫入。然后通過寫入可控的函數(shù)指針，以及通過Heap Spray精心構(gòu)造內(nèi)存布局，最終導(dǎo)致代碼執(zhí)行。

（6）補丁及解決方案

個人用戶下載打開來源不明的文檔需要非常謹慎，可用360安全衛(wèi)士之類的防病毒木馬流氓軟件的工具進行掃描以盡可能降低風(fēng)險，如果有條件盡量使用虛擬機打開陌生文檔。

微軟已經(jīng)發(fā)布了漏洞相應(yīng)的補?。?/p>

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2017-8570。

6.腳本解析漏洞EPS（EncapsulatedPost Script）

EPS全稱EncapsulatedPost Script，屬于Post Script的延伸類型，適用于在多平臺及高分別率輸出設(shè)備上進行色彩精確的位圖及向量輸出，因此在Office中也引進了相應(yīng)的支持，但是自2015年起多個Office中EPS相關(guān)的漏洞被利用，其中包括CVE-2015-2545，CVE-2017-0261，CVE-2017-0262，最終導(dǎo)致微軟不得不禁用Office中的EPS組件，此處們選擇以CVE-2017-0262作為典型代表。

（1）漏洞概述

2017年5月7日FireEye研究員在文章《EPSProcessing Zero-Days Exploited by Multiple Threat Actors》中披露了多個EPS0-day漏洞的在野利用，其中就包含CVE-2017-0262，CVE-2017-0262為ESP中forall指令中的一處漏洞，由于forall指令對參數(shù)校驗不當，導(dǎo)致代碼執(zhí)行。

（2）漏洞詳情

CVE-2017-0262的利用樣本中首先對實際的EXP進行了四字節(jié)的xor編碼，key為c45d6491。

漏洞的關(guān)鍵點在于以下一行的代碼，在EPS中forall指令會對第一個參數(shù)中的每一個對象執(zhí)行處理函數(shù)proc（即第二個參數(shù)），此處由于對第二個參數(shù)的類型判斷不嚴格，導(dǎo)致0xD80D020這個攻擊者之前通過堆噴控制的內(nèi)存地址被作為處理函數(shù)的地址，從而esp堆棧被控制，致使最后的代碼執(zhí)行。

（3）補丁及解決方案

個人用戶下載打開來源不明的文檔需要非常謹慎，可用360安全衛(wèi)士之類的防病毒木馬流氓軟件的工具進行掃描以盡可能降低風(fēng)險，如果有條件盡量使用虛擬機打開陌生文檔。

微軟已經(jīng)發(fā)布了漏洞相應(yīng)的補丁：

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2015-2545；

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2017-0261；

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2017-0262。

7. Windows提權(quán)漏洞

近年來針對Windows客戶端的漏洞攻擊越來越多，這直接導(dǎo)致各大廠商對其客戶端軟件引入了“沙盒”保護技術(shù)，其核心思想即是將應(yīng)用程序運行在隔離環(huán)境中，隔離環(huán)境通常是一個低權(quán)限的環(huán)境，也可以把沙盒看做是一個虛擬的容器，讓不是很安全的程序在運行的過程時候，即便客戶端軟件遭受惡意代碼的入侵也不會對使用者的計算機系統(tǒng)造成實際的威脅。

引入了“沙盒”保護的?？蛻舳顺绦蛴校篒E/Edge瀏覽器、Chrome瀏覽器、Adobe Reader以及微軟Office辦公軟件等。而客戶端程序漏洞如果配合Windows提權(quán)漏洞則可以穿透應(yīng)用程序“沙盒”保護。

（1）漏洞概述

在對Office辦公軟件的EPS（EncapsulatedPost Script）組件進行漏洞攻擊的過程中，由于Office 2010及其高版本上的EPS腳本過濾器進程fltldr.exe被保護在低權(quán)限沙盒內(nèi)，要攻破其中的低權(quán)限沙盒保護措施，攻擊者就必須要使用遠程代碼執(zhí)行漏洞配合內(nèi)核提權(quán)漏洞進行組合攻擊。所以這里選擇Win32k.sys中的本地權(quán)限提升漏洞（CVE-2017-0263）這一個配合EPS類型混淆漏洞（CVE-2017-0262）進行組合攻擊的提權(quán)漏洞作為典型代表。

（2）漏洞詳情

CVE-2017-0263漏洞利用代碼首先會創(chuàng)建三個Popup Menus，并添加相應(yīng)的菜單。由于該UAF漏洞出現(xiàn)在內(nèi)核的WM_NCDESTROY事件中，并會覆蓋wnd2的tagWnd結(jié)構(gòu)，這樣可以設(shè)置bServerSideWindowProc標志。一旦設(shè)置了bServer Side Window Proc，用戶模式的WndProc過程就會被視為內(nèi)核回調(diào)函數(shù)，所以會從內(nèi)核上下文中進行調(diào)用。而此時的WndProc則被攻擊者替換成了內(nèi)核ShellCode，最終完成提權(quán)攻擊。

（3）補丁及解決方案

個人用戶下載打開來源不明的文檔需要非常謹慎，可用360安全衛(wèi)士之類的防病毒木馬流氓軟件的工具進行掃描以盡可能降低風(fēng)險，如果有條件盡量使用虛擬機打開陌生文檔。

微軟已經(jīng)發(fā)布了漏洞相應(yīng)的補丁：

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2015-2546；

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2016-7255；

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2017-0001；

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2017-0263。

8. Flash漏洞

Flashplayer因為其跨平臺的普及性，一直為各個APT組織所關(guān)注，從2014年起，F(xiàn)lash漏洞開始爆發(fā)，尤其到2015年，HackingTeam泄露數(shù)據(jù)中的兩個0-day漏洞CVE-2015-5122，CVE-2015-5199，F(xiàn)lash漏洞相關(guān)的利用技術(shù)公開，F(xiàn)lash漏洞開始成為APT組織的新寵，盡管之后Adobe和Google合作，多個Flash安全機制陸續(xù)出爐（如隔離堆，vectorlength檢測），大大提高了Flash漏洞利用的門檻，但也不乏出現(xiàn)CVE-2015-7645這一類混淆漏洞的怪咖。這里選擇不久前發(fā)現(xiàn)的在野0-day CVE-2018-4878作為這類漏洞的典型代表。

（1）漏洞概述

2018年1月31日，韓國CERT發(fā)布公告稱發(fā)現(xiàn)Flash0day漏洞（CVE-2018-4878）的野外利用，攻擊者通過發(fā)送包含嵌入惡意Flash對象的Office Word附件對指定目標進行攻擊。

（2）漏洞詳情

CVE-2018-4878通過Flash om.adobe.tvsdk包中的DRMManager對象進行攻擊，例如：triggeruaf函數(shù)中創(chuàng)建一個MyListener對象，通過initialize進行初始化，并將該實例設(shè)置為null，之后的第一個LocalConnection（）.connect（）會導(dǎo)致gc回收該實例內(nèi)存，第二次LocalConnection（）.connect（）時觸發(fā)異常，在異常處理中會創(chuàng)建一個新的MyListener實例，內(nèi)存管理器會將之前MyListener對象實例的內(nèi)存分配給新對象，即此處的danglingpointer，設(shè)置timer，在其回調(diào)函數(shù)中檢測uaf是否觸發(fā)，成功則通過Mem_Arr進行站位。

（3）補丁及解決方案

個人用戶下載打開來源不明的文檔需要非常謹慎，可用360安全衛(wèi)士之類的防病毒木馬流氓軟件的工具進行掃描以盡可能降低風(fēng)險，如果有條件盡量使用虛擬機打開陌生文檔。

adobe已經(jīng)發(fā)布了漏洞相應(yīng)的補丁：

https ： / /help x.adob e.com/security/products/flash-player/ apsb18-03.html；

https ： //helpx.adobe .com/security/products/flash-player/ apsb17-32.html。

9. iOS三叉戟漏洞

iOS三叉戟漏洞是目前唯一一個公開披露的針對iOS系統(tǒng)瀏覽器的遠程攻擊實例，并真實用于針對特點目標的APT攻擊中。

（1）漏洞概述

iOS三叉戟漏洞是指針對iOS9.3.5版本之前的iOS系統(tǒng)的一系列0-day漏洞，其利用了3個0-day漏洞，包括一個 WebKit漏洞，一個內(nèi)核地址泄露漏洞和一個提權(quán)漏洞。通過組合利用三個0-day漏洞可以實現(xiàn)遠程對iOS設(shè)備的越獄，并且安裝運行任意惡意代碼。

（2）漏洞詳情

iOS三叉戟漏洞利用載荷可以通過訪問特定的URL觸發(fā)，所以可以通過短信、郵件、社交網(wǎng)絡(luò)或者即時通訊等發(fā)送惡意鏈接誘導(dǎo)目標人員點擊打開鏈接實現(xiàn)漏洞的觸發(fā)。由于WebKit JavaScript Core庫存在任意代碼執(zhí)行漏洞，當Safari瀏覽器訪問惡意鏈接并觸發(fā)惡意的JavaScript載荷執(zhí)行，其利用代碼進入Safari Web Content進程空間。其隨后利用另外兩個漏洞實現(xiàn)權(quán)限提升，并越獄掉iOS設(shè)備。最后三叉戟漏洞可以實現(xiàn)下載和運行用于持久性控制的惡意模塊。

（3）補丁及解決方案

蘋果公司在2016年8月25日發(fā)布iOS 9.3.5，修補了三叉戟漏洞。

10.Android瀏覽器remote2local漏洞利用

該Android瀏覽器漏洞利用代碼的泄露揭示了網(wǎng)絡(luò)軍火商和政府及執(zhí)法機構(gòu)利用遠程攻擊漏洞針對Android用戶的攻擊和監(jiān)控，并且該漏洞利用過程實現(xiàn)幾乎完美，也體現(xiàn)了漏洞利用技術(shù)的“藝術(shù)特點”。該漏洞利用代碼幾乎可以影響當時絕大多數(shù)主流的Android設(shè)備和系統(tǒng)版本。

（1）漏洞概述

Android瀏覽器remote2local漏洞利用是2015年7月Hacking Team遭受入侵并泄露內(nèi)部源代碼資料事件后，其泄露源代碼中包含了針對Android 4.0.x-4.3.x系統(tǒng)版本的瀏覽器的攻擊利用代碼，其可以達到遠程代碼執(zhí)行，并執(zhí)行提權(quán)代碼提升至root權(quán)限，最后達到靜默安裝惡意程序的目的。

該漏洞利用的組合了GoogleChrome的三個N-day漏洞和針對Android系統(tǒng)的提權(quán)漏洞完成完整的利用攻擊過程。

（2）漏洞詳情

該Android瀏覽器漏洞利用主要因為WebKit中關(guān)于XML語言解析和XSLT轉(zhuǎn)換的libxslt庫，其利用過程實際上是基于多個漏洞的組合利用過程。其首先利用一個信息泄露漏洞獲取內(nèi)存地址相關(guān)信息，并利用內(nèi)存任意讀寫構(gòu)造ROP攻擊最終實現(xiàn)執(zhí)行任意代碼的目的。其最后執(zhí)行提權(quán)代碼，該漏洞利用中使用的提權(quán)漏洞為CVE-2014-3153，其產(chǎn)生于內(nèi)核的Futex系統(tǒng)調(diào)用。當提權(quán)獲得root權(quán)限以后，執(zhí)行靜默安裝惡意APK應(yīng)用。

（5）補丁及解決方案

Google在發(fā)布的Android4.4系統(tǒng)版本中已經(jīng)修復(fù)了上述問題。