6月7日晚,Adobe 官方發布公告,宣布緊急發布安全補丁,修復最新被發現的Flash高危漏洞,并對發現這一漏洞利用的360核心安全高級威脅應對團隊公開致謝。
作為全球最早捕獲使用Flash 零日漏洞的APT攻擊的安全團隊,360核心安全高級威脅應對團隊發現,此次進行APT攻擊的黑客,構造了一個利用遠程加載漏洞的Office文檔,用戶只要打開文檔,攻擊者就能夠自動遠程下發漏洞利用代碼。
Adobe官方致謝360核心安全高級威脅應對團隊
360安全專家介紹,攻擊者首先偽造一個類似工資表的文檔,十分具有誘惑性。攻擊者通過activex控件和數據嵌入了一個遠程的flash文件鏈接,用戶只要打開文檔,遠程服務器腳本就會下發漏洞攻擊代碼。
用戶運行該文檔后,會自動下載釋放惡意文件,文件再次請求服務端,下載加密數據以及解密KEY,動態執行惡意代碼。
攻擊流程圖
360核心安全高級威脅應對團隊通過分析攻擊者IP地址、域名注冊時間等信息發現,此次APT攻擊至少籌備了三個月以上的時間,并且,攻擊代碼經過高度混淆,還偽裝域名,企圖“釣魚”,是一起典型的蓄謀已久的APT攻擊。
360核心安全高級威脅應對團隊是全球率先捕獲此APT攻擊的安全團隊,并在攻擊樣本中成功定位到了零日漏洞攻擊代碼。這也是今年出現的第二波利用Flash零日漏洞的在野攻擊。
捕獲此次APT攻擊行為之后,360安全團隊向Adobe官方反饋了漏洞與攻擊情況,因此獲得了Adobe在官方公告中的公開致謝。作為中國最大的互聯網安全公司,360一直關注Flash安全研究,協助Flash修復百余個安全漏洞,這一成績在國內外安全廠商中遙遙領先。
360安全中心提醒用戶,相關單位和普通用戶都需提高安全防范意識,及時更新Flash版本。該漏洞目前影響Adobe Flash Player 29.0.0.171及其以下版本。請勿隨意打開未知來路的office文檔。
同時,提醒各相關企、事業單位,警惕利用零日漏洞發動的定向攻擊,使用360安全衛士等防御可能出現的漏洞威脅。