《2018年在野0day揭秘-威胁情报感知发现apt攻击.pdf》由会员分享,可在线阅读,更多相关《2018年在野0day揭秘-威胁情报感知发现apt攻击.pdf(33页珍藏版)》请在三个皮匠报告上搜索。
1、在野0day揭秘威胁情报感知发现apt攻击目录全球在野0DAY攻击回顾自主捕获的0DAY和APT攻击案例基于大数据的高级威胁感知技术监控和发现的APT近期在野0DAY攻击回顾2017年4月CVE-2017-0199HTAIn the Wild Attacks Leveraging HTA Handler火眼2017年6月CVE-2017-0261/2/3WordEPS Processing Zero-Days Exploited by Multiple Threat Actors火眼2017年7月CVE-2017-8464Lnk震网三代,360发布首个震网三代相关的隔离网络高级威胁攻击预警分析
2、报告3602017年9月CVE-2017-8759WordZero-Day Used in the Wild to Distribute FINSPY火眼2017年10月 CVE-2017-11826Word360代表中国厂商全球独家捕获在野0day漏洞(CVE-2017-11826)3602017年10月 CVE-2017-11292FlashBlackOasis APT and new targeted attacks leveraging zero-day exploit卡巴斯基2017年12月CVE-2018-0802Word360率先捕获噩梦公式二代漏洞,微软在2018年修复的首个在
3、野0day漏洞3602017年12月NULLWeb(国内某邮箱)360捕获利用国内某邮箱漏洞攻击的在野0day3602018年2月CVE-2018-4878Flash360国内首家捕获并分析预警,2018年第一个Adobe Flash零日漏洞在野攻击3602018年4月CVE-2018-8174Word&IE360捕获全球首例利用浏览器0day漏洞的新型Office文档在野攻击-双杀漏洞3602018年6月CVE-2018-5002Flash360在全球范围内率先捕获了使用Flash 0day漏洞的在野攻击3602018年7月CVE-2018-8373Word&IEUse-after-free
4、(UAF)Vulnerability CVE-2018-8373 in VBScript Engine Affects Internet Explorer to Run Shellcode趋势科技摩诃草组织常用语言或语种常用语言或语种简体中文、英文攻击前导攻击前导鱼叉邮件(二进制可执行文件)鱼叉邮件(文档型漏洞文件)鱼叉邮件(恶意网址)水坑攻击即时通讯工具社交网络0day利用的情况利用的情况CVE-2013-3906、CVE-2017-0199漏洞利用种类漏洞利用种类文档漏洞:CVE-2014-4114、CVE-2012-0158、CVE-2014-1761、CVE-2015-1641、CVE
5、-2010-3333、CVE-2013-3906、CVE-2017-0261、CVE-2017-0262Internet Explorer漏洞:CVE-2012-4792Java漏洞:CVE-2012-0422针对操作系统针对操作系统WindowsMac OS XAndroid横向移动横向移动暂不披露驻留机制驻留机制暂不披露RAT种类种类大类至少7种以上主要攻击手法沙箱逃逸使用0DAY精心构造恶意的word文档标签和对应的属性值造成远程任意代码执行与CVE-2015-1641漏洞有非常多的共同之处,是一例典型的类型混淆漏洞CVE-2017-11826在野攻击CVE-2017-11826在野攻击
6、在“噩梦公式一代”的补丁中没有修复另一处拷贝字体FaceName时的栈溢出攻击者构造恶意数据,覆盖了漏洞函数返回地址的后两个字节,然后将控制流导向了位于栈上的shellcode,巧妙绕过地址随机化保护。噩梦公式二代在野攻击OLEOLECVE-2018-08020day公式对象公式对象CVE-2017-11882Nday公式对象公式对象1.样本包含两个公式样本包含两个公式OLE同时同时发起发起攻击攻击一个使nday漏洞公式对象一个使用0day漏洞公式对象2.0day漏洞触发执行流漏洞触发执行流绕过公式编辑器进程的ASLR保护3.在野攻击按在野攻击按payload分为分为A、B两种样本两种样本a.
7、释放EXE文件至系统临时目录直接执行b.释放DLL文件至Office插件目录随Word启动%APPDATA%Microsoftwordstartup*.wll%TMP%*.tmpA样本样本B样本样本噩梦公式二代在野攻击国内某邮箱2017年12月,360追日团队捕获到一批针对我国政府、贸易相关企业的针对性攻击该组织最早从2016年5月起开始策划攻击,至今仍处于活跃状态我们掌握了该组织使用的完整网络武器库、数据、源代码、攻击证据线索该组织至少使用了国内某邮箱2个0day漏洞,其中一个0day在2017年底修补在2018年初使用了该邮箱的另一个0day漏洞继续攻击结合大数据平台进行追查溯源,关联到疑
8、似实施APT攻击相关的公司、网络武器的开发者CVE-2018-4878在野攻击漏洞存在于flash的DRMManager对象,相关的方法调用没有正确的处理导致UAF(Use-After-Free)漏洞通过修改ByteArray对象的Length可以完成任意内存读写执行,执行最终的shellcode代码CVE-2018-4878在野攻击CVE-2018-4878在野攻击CVE-2018-4878在野攻击利用Office的OLE autolink漏洞利用方式嵌入远程的恶意网页利用Vbscript漏洞,精心构造的SafeArray结构体头信息,伪造了一个可以读写任意地址的数组类型,最终绕过安全限制执
9、行shellcode。双杀漏洞在野攻击双杀漏洞在野攻击CVE-2018-5002在野攻击解释器在处理try catch语句时没有正确的处理好异常的作用域没有对catch语句块中的字节码做检查攻击者通过在catch语句块中使用getlocal,setlocal指令来实现对栈上任意地址读写攻击者通过交换栈上的2个对象指针来将漏洞转为类型混淆问题完成攻击CVE-2018-5002在野攻击CVE-2018-5002在野攻击CVE-2018-5002在野攻击威胁情报大数据分析数据挖掘专家分析云端高级威胁沙箱检测云端大数据互联网域名信息库 90亿DNS解析记录 每天新增100万主防库 覆盖5亿客户端 总日
10、志数50000亿条 每天新增100亿全球独有的样本库 总样本180亿 每天新增900万最大的存活网址库 每天查询300亿条 每天处理100亿条 覆盖国内96%客户端最大中文漏洞库 总漏洞数超过40万 每天新增可达500个其他第三方数据源100+机器学习基于大数据的威胁情报 专门针对大数据(千万亿)做特殊算法优化,单表规模10000亿 对现有Map/Reduce任务完全兼容 分词算法灵活,完全适配安全各领域的数据 秒级查询响应 索引数据写入速度达100万QPS大数据存储和搜索技术结果模型结构路径整合特征选取向量化分类模型模型特征向量机器学习自动分类和识别是否发起对外链接是否启用HTTP或FTP是否使用DNS Beacon.网络行为监控是否在堆栈上执行了代码是否在数据区执行代码是否进行了内存布局是否调用了其他函数指令.漏洞利用监控高级威胁是否释放可以文件是否创建可以进程是否修改注册表.恶意行为监控沙箱高级威胁沙箱检测技术特征选取特征转换文件描述可执行代码静态数据签名版权附件文件维度1维度N文件aA1AAn文件bB1BBn文件cC1CCn1 n文件nN1NNn亿级海量文件向量机算法逻辑回归算法深度学习算法检测训练算法降维PCA算法LDA算法LLE算法机器学习快速查杀和回扫威胁分析数据平台安全事件的定性安全事件的溯源人与经验知识积累谢 谢!