近日,騰訊御見威脅情報中心監(jiān)測到一例使用Flash 0day漏洞的APT攻擊,攻擊者在特別構造的excel文檔中嵌入flash對象,用戶打開文檔即會中毒。騰訊安全已第一時間向Adobe官方上報該漏洞利用樣本,隨即獲得Adobe官方確認。
從截獲的APT攻擊樣本來看,目標疑似某使用阿拉伯語的國家要害部門,攻擊者的意圖或在于獲取商業(yè)機密、刺探國家情報。對此,騰訊企業(yè)安全技術專家提醒各級政府機關、企業(yè)等廣大用戶,及時將電腦中的Flash player更新到最新版本,企業(yè)用戶可使用騰訊御界等安全軟件來保護終端系統(tǒng)安全。
(騰訊御界高級威脅檢測系統(tǒng)實時檢測APT攻擊威脅)
近年來,伴隨國際貿易和各種交流的日益密切,互聯(lián)網在為跨國企業(yè)和國家之間提供高效的溝通工具的同時,也帶來了新的安全威脅:以獲取商業(yè)機密、刺探國家情報為目的的黑客攻擊,越來越多地出現(xiàn)在跨國企業(yè)和國家之間的不正當競爭之中。
在騰訊御見威脅情報中心監(jiān)測到的這起攻擊案例中,攻擊者使用Flash 0day漏洞發(fā)起APT攻擊,使用的誘餌excel表格文件內容為阿拉伯語言撰寫的外交部官員基本工資情況,可推測為針對某阿拉伯語國家或地區(qū)的政府要害部門的攻擊。對于從未被公開過技術細節(jié)的0day高危漏洞,在相關廠商修復之前,幾乎無法做到有效防御,可見攻擊者手段惡劣。
(騰訊御見威脅情報中心捕獲的攻擊樣本誘餌文檔)
騰訊御見威脅情報中心分析發(fā)現(xiàn),攻擊者在誘餌文檔中嵌入一個在線的Flash對象,用戶打開文檔后會自動加載該Flash文件(簡稱SWF1),而SWF1會通過網絡動態(tài)下載帶有0day漏洞攻擊代碼的另一個Flash文件(簡稱SWF2)。SWF1和SWF2文件中的代碼均使用了高度混淆技術,其通過網絡獲取到的數據做了加密處理,通過多個復雜的技術手法,實現(xiàn)在被攻擊目標的電腦上最終啟動一個木馬,令黑客成功入侵,更多的情報刺探和破壞行動隨之而來。
(該Flash 0day漏洞野外攻擊流程)
憑借基于行為的防護和智能模型兩大核心能力,騰訊御界高級威脅檢測系統(tǒng)已經可以檢測并阻斷該輪Flash 0day漏洞野外攻擊連接行為。通過對企業(yè)內外網邊界處網絡流量的分析,御界高級威脅檢測系統(tǒng)可高效檢測未知威脅,并及時感知漏洞的利用和攻擊。
目前該Flash 0day漏洞攻擊并未在國內發(fā)現(xiàn),但用戶同樣不可放松警惕。騰訊企業(yè)安全技術專家建議廣大政府、企業(yè)用戶,切勿隨意打開來歷不明的文檔,推薦部署御界高級威脅檢測系統(tǒng),及時感知惡意流量,檢測釣魚網址和遠控服務器地址在企業(yè)網絡中的訪問情況,實時保護企業(yè)網絡信息安全。
免責聲明:本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網站出現(xiàn)的信息,均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時,應及時向本網站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。