APT組織經常使用的×××漏洞
0×00前言html
APT×××(Advanced Persistent Threat,高級持續性威脅)是利用當下先進的×××手法對特定目標進行長期持續性的網絡×××。APT×××的高級體如今於精確的信息收集、高度的隱蔽性、以及使用各類複雜的網絡基礎設施、應用程序漏洞對對目標進行的精準打擊。×××人員的×××形式更爲高級和先進,稱爲網絡空間領域最高級別的安全對抗。瀏覽器
2018美國RSA信息安全大會美國國家安全局技術總監戴夫·霍格(Dave Hogue)表示:「在漏洞公佈的24小時內,就會被武器化並用來對付咱們。」公開代表,各大×××組織也喜好公開的安全漏洞武器化。從之前各大組織喜好的CVE-2012-0158,到現在每一個分析報告都能見到的CVE-2017-019九、CVE-2017-11882 ,這些公開的漏洞都被各APT用得如火如荼。選擇開源低廉的代碼做爲×××工具,可避免昂貴的成本與複雜的操做,選擇公開漏洞也許是一種進攻趨勢,也是一種避免被發現的手段。安全
爲了可以爲讓安全人員更加全面的瞭解全球APT的×××動態,以及各大組織常用的×××漏洞;參考了全球各種APT研究報告和研究成果,對各大漏洞進行了一個梳理和彙總,不少內容都來自網上公開報告,取其精華後加上自身理解概括再還於網上,讓知識獲得傳遞,讓網絡安全獲得長期的發展。網絡
0×01×××方式編輯器
APT組織經常使用的×××手法有:魚叉式網絡釣魚、水坑×××、路過式下載×××、社會工程學、即時通信工具、社交網絡等,在各大分析報告中出現最多的仍是魚叉式網絡釣魚、水坑×××、路過式下載×××手法、社會工程學,維基百科對×××手法的描述以下:ide
魚叉式網絡釣魚(Spear phishing)指一種源於亞洲與東歐,只針對特定目標進行×××的網絡釣魚×××。當進行×××的駭客鎖定目標後,會以電子郵件的方式,假冒該公司或組織的名義寄發難以辨真僞之檔案,誘使員工進一步登陸其帳號密碼,使×××者能夠以此藉機安裝特洛伊×××或其餘間諜軟件,竊取機密;或於員工時常瀏覽之網頁中置入病毒自動下載器,並持續更新受感染系統內之變種病毒,使使用者窮於應付。函數
水坑×××(Watering hole)是一種計算機***手法,其針對的目標多爲特定的團體(組織、行業、地區等)。×××者首先經過猜想(或觀察)肯定這組目標常常訪問的網站,並***其中一個或多個,植入惡意軟件,最後,達到感染該組目標中部分紅員的目的。工具
路過式下載(Drive-by download)在用戶不知道的狀況下下載間諜軟件、計算機病毒或者任何惡意軟件。路過式下載可能發生在用戶訪問一個網站、閱讀一封電子郵件、或者點擊一個欺騙性彈出式窗口的時候。例如,用戶誤覺得這個彈出式窗口是本身的計算機提示錯誤的窗口或者覺得這是一個正常的彈出式廣告,所以點擊了這個窗口。網站
社會工程學:在計算機科學中,社會工程學指的是經過與他人的合法地交流,來使其心理受到影響,作出某些動做或者是透露一些機密信息的方式。這一般被認爲是一種欺詐他人以收集信息、行騙和***計算機系統的行爲。在英美普通法系中,這一行爲通常是被認做侵犯隱私權的。url
360發佈的《摩訶草APT組織大揭祕》報告中,發現了摩訶草近年來大量使用即時通信工具(主要是騰訊的QQ聊天工具)和社交網絡(Facebook)進行載荷投遞的×××方式;即時通信工具以發送二進制可執行程序爲主,這類程序主要僞形成MP4格式的視頻文件;社交網絡(Facebook)的載荷投遞通常是分爲:SNS蠕蟲、放置二進制格式可執行惡意程序或文檔型漏洞文件。
0×02經常使用漏洞
1、Office漏洞
Office漏洞依然是大部分APT組織最喜好的漏洞,Office在我的辦公電腦使用量大,對針對性目標是最佳的外網入口,效果也是最直接的。
| CVE編號 | 漏洞類型 | 使用組織 |
|---|---|---|
| CVE-2009-2496 | 堆損耗遠程代碼執行漏洞,又稱做 「Office Web 組件堆損耗漏洞 「 | 豐收行動 |
| CVE-2010-3333 | RTF分析器堆棧溢出漏洞,又稱」RTF棧緩衝區溢出漏洞」 | |
| CVE-2012-0158 | Microsoft Windows Common Controls ActiveX控件遠程代碼執行漏洞,棧內存拷貝溢出漏洞,又稱「MSCOMCTL.OCX RCE漏洞」 | 摩訶草 蔓靈花 白象 Rotten Tomato |
| CVE-2013-3906 | Microsoft Graphics組件處理特製的TIFF圖形時存在遠程代碼執行漏洞 | 摩訶草 白象 |
| CVE-2014-1761 | Microsoft Word RTF文件解析錯誤代碼執行漏洞 | 摩訶草 Pitty Tiger 白象 Rotten Tomato |
| CVE-2014-4114 | OLE包管理INF 任意代碼執行漏洞 | 摩訶草 白象 |
| CVE-2015-1641 | RTF解析中的類型混淆漏洞 | MONSOON 摩訶草 白象 奇幻熊 Rotten Tomato 豐收行動 |
| CVE-2015-2545 | EPS圖形文件任意執行代碼 | Rotten Tomato |
| CVE-2015-2546 | UAF(釋放後重用)漏洞 | |
| CVE-2016-7193 | RTF文件解析漏洞,可遠程執行任意代碼 | |
| CVE-2017-0199 | 首個Microsoft Office RTF漏洞 | 暗×××棧 |
| CVE-2017-0261 | EPS中的UAF漏洞 | 摩訶草 白象 Turla |
| CVE-2017-0262 | EPS中的類型混淆漏洞 | 摩訶草 白象 |
| CVE-2017-11826 | OOXML解析器類型混淆漏洞 | 東亞某組織 |
| CVE-2017-11882 | 「噩夢公式」公式編輯器中的棧溢出漏洞,可遠程代碼執行 | 白象 響尾蛇 寄生獸 摩訶草 人面馬 黑鳳梨 |
| CVE-2017-8464 | 解析快捷方式時存在遠程執行任意代碼的高危漏洞 | |
| CVE-2017-8570 | OLE對象中的邏輯漏洞 (CVE-2017-0199的補丁繞過),「沙蟲」二代漏洞 | 白象 寄生獸 摩訶草 |
| CVE-2017-8759 | .NET Framework中的邏輯漏洞 | |
| CVE-2018-0802 | 「噩夢公式二代」利用office內嵌的公式編輯器EQNEDT32.EXE發起××× | 黑鳳梨 |
| CVE-2018-0798 | Microsoft Office遠程內存破壞漏洞 | |
| CVE-2018-8174 | 利用瀏覽器0day漏洞的新型Office文檔××× |
2、Adobe 系漏洞
Adobe系列包括Adobe Reader、Acrobat、Flash Player,Flash Player由於其跨平臺,使用普遍,一直也受到各大APT組織的關注。
| CVE編號 | 漏洞類型 | 影響版本 | 使用組織 |
|---|---|---|---|
| CVE-2007-5659 | Adobe Acrobat/Reader PDF文件 多個緩衝區溢出漏洞 | Adobe Acrobat 8 Adobe Reader 8 Adobe Reader 7 |
豐收行動 |
| CVE-2008-2992 | Adobe Reader util.printf() JavaScript函數棧溢出漏洞 | Adobe Acrobat < 8.1.3 Adobe Reader < 8.1.3 |
豐收行動 |
| CVE-2009-0927 | Adobe Acrobat和Reader Collab getIcon() JavaScript方式棧溢出漏洞 | Adobe Acrobat 9 Adobe Acrobat 8 Adobe Acrobat 7.0 Adobe Reader 9 Adobe Reader 8 Adobe Reader 7 |
豐收行動 |
| CVE-2009-4324 | Adobe Reader和Acrobat newplayer() JavaScript方式內存破壞漏洞 | Adobe Acrobat <= 9.2 Adobe Reader <= 9.2 |
豐收行動 |
| CVE-2010-0188 | Adobe Reader和Acrobat TIFF圖像處理緩衝區溢出漏洞 | Adobe Acrobat < 9.3.1 Adobe Acrobat < 8.2.1 Adobe Reader < 9.3.1 Adobe Reader < 8.2.1 |
豐收行動 |
| CVE-2010-3653 | Adobe Shockwave Player Director文件rcsL塊解析內存破壞漏洞 | Adobe Shockwave Player 11.5.8.612 | 豐收行動 |
| CVE-2012-0773 | Adobe Flash Player / AIR NetStream類任意代碼執行或拒絕服務漏洞 | Adobe Flash Player 11.x Adobe AIR 3.x |
The mask |
| CVE-2013-0640 | Adobe Acrobat和Reader遠程代碼執行漏洞 | Adobe Acrobat 9.x Adobe Acrobat 11.x Adobe Acrobat 10.x Adobe Reader 9.x Adobe Reader 11.x Adobe Reader 10.x |
豐收行動 |
| CVE-2014-0497 | Adobe Flash Player遠程代碼執行漏洞 | Adobe Flash Player 12.x Adobe Flash Player 11.x |
暗×××棧 |
| CVE-2015-5119 | Adobe Flash Player ActionScript 3 ByteArray釋放後重用遠程漏洞 | Adobe Flash Player <= 18.0.0.194 Adobe Flash Player <= 18.0.0.194 Adobe Flash Player Extended Support Release 13.x Adobe Flash Player Extended Support Release 13.0.0.296 Adobe Flash Player for Linux 11.x Adobe Flash Player for Linux 11.2.202.468 |
藍白蟻 Hacking Team |
| CVE-2015-8651 | Adobe Flash Player整數溢出漏洞 | Adobe Flash Player < 18.0.0.324 Adobe Flash Player < 11.2.202.559 Adobe Flash Player 20.x-20.0.0.267 Adobe Flash Player 19.x Adobe AIR < 20.0.0.233 |
暗×××棧 |
| CVE-2016-0984 | Adobe Flash遠程代碼執行漏洞 | Adobe Flash Player before 18.0.0.329 and 19.x and 20.x before 20.0.0.306 | BlackOasis |
| CVE-2016-4117 | Adobe Flash Player 任意代碼執行漏洞 | Adobe Flash Player <= 21.0.0.226 | 奇幻熊 |
| CVE-2016-7855 | Adobe Flash Player 釋放後重利用遠程代碼執行漏洞 | Adobe Flash Player <= 23.0.0.185 Adobe Flash Player <= 11.2.202.637 |
|
| CVE-2017-11292 | 類型混淆漏洞致使的遠程代碼執行 | Adobe Flash Player Desktop Runtime Adobe Flash Player for Google Chrome Adobe Flash Player for Microsoft Edge and Internet Explorer 11 Adobe Flash Player Desktop Runtime |
黑色綠洲 Lazarus |
| CVE-2018-4878 | Adobe Flash Player釋放後重利用遠程代碼執行漏洞 | Adobe Flash Player <= 28.0.0.137 | Lazarus |
3、IE漏洞
瀏覽器是用戶接入互聯網的門戶,IE瀏覽器是Windows系統的默認瀏覽器,IE瀏覽器漏洞的使用一直也受各大組織喜好。
| CVE編號 | 漏洞類型 | 影響版本 | 使用組織 |
|---|---|---|---|
| CVE-2010-0806 | Microsoft IE畸形對象操做內存破壞漏洞 | Microsoft Internet Explorer 7.0 Microsoft Internet Explorer 6.0 SP1 Microsoft Internet Explorer 6.0 |
豐收行動 |
| CVE-2010-3962 | Microsoft IE CSS標籤解析遠程代碼執行漏洞 | Microsoft Internet Explorer 8.0 Microsoft Internet Explorer 7.0 Microsoft Internet Explorer 6.0 |
豐收行動 |
| CVE-2012-4792 | Microsoft IE mshtml!CButton對象釋放後重用代碼執行漏洞 | Internet Explorer 6Internet Explorer 7Internet Explorer 8 | 摩訶草 |
| CVE-2014-0322 | Microsoft Internet Explorer釋放後重用遠程代碼執行漏洞 | Microsoft Internet Explorer 10 | Pitty Tiger |
| CVE-2016-7279 | Microsoft Internet Explorer/Edge遠程內存破壞漏洞 | Microsoft Edge | |
| CVE-2017-8618 | Microsoft Internet Explorer遠程代碼執行漏洞 | Microsoft Internet Explorer 9 Microsoft Internet Explorer 11 Microsoft Internet Explorer 10 |
|
| CVE-2018-0978 | Microsoft Internet Explorer遠程內存破壞漏洞 | Microsoft Internet Explorer 9-11 | |
| CVE-2018-8113 | Microsoft Internet Explorer安全限制繞過漏洞 | Microsoft Internet Explorer 11 | |
| CVE-2018-8178 | Microsoft Internet Explorer/Edge 遠程內存破壞漏洞 | Microsoft Edge Microsoft ChakraCore |
0×03總結
工欲善其事,必先利其器!0day宛如窈窕淑女,只可遠觀,不可隨意撒網式的使用;好用的Nday纔是網絡安全人員的手中利器,廣泛的APT組織都會把好用的Nday漏洞歸入他們的「武器庫」。固然,道高一尺,魔高一丈!也許還有好多故事還在發生着!
- 1. APT組織常用的×××漏洞
- 2. [轉]近年APT組織常用的攻擊漏洞
- 3. APT 高級漏洞利用技術
- 4. js中經常使用的幾款組織架構圖
- 5. Ubuntu apt 經常使用命令
- 6. sudo apt-get經常使用命令
- 7. apt-get 經常使用命令
- 8. Ubuntu之apt-get經常使用命令
- 9. apt-get經常使用命令
- 10. Ubuntu apt經常使用命令
- 更多相關文章...
- • Rust 組織管理 - RUST 教程
- • PHP 常量數組 - PHP 7 新特性
- • 互聯網組織的未來:剖析GitHub員工的任性之源
- • 常用的分佈式事務解決方案
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 字節跳動21屆秋招運營兩輪面試經驗分享
- 2. Java 3 年,25K 多嗎?
- 3. mysql安裝部署
- 4. web前端開發中父鏈和子鏈方式實現通信
- 5. 3.1.6 spark體系之分佈式計算-scala編程-scala中trait特性
- 6. dataframe2
- 7. ThinkFree在線
- 8. 在線畫圖
- 9. devtools熱部署
- 10. 編譯和鏈接
- 1. APT組織常用的×××漏洞
- 2. [轉]近年APT組織常用的攻擊漏洞
- 3. APT 高級漏洞利用技術
- 4. js中經常使用的幾款組織架構圖
- 5. Ubuntu apt 經常使用命令
- 6. sudo apt-get經常使用命令
- 7. apt-get 經常使用命令
- 8. Ubuntu之apt-get經常使用命令
- 9. apt-get經常使用命令
- 10. Ubuntu apt經常使用命令