溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章將為大家詳細講解有關怎么進行Adobe Flash零日漏洞在野攻擊預警分析,文章內容質量較高,因此小編分享給大家做個參考,希望大家閱讀完這篇文章后對相關知識有一定的了解。
360核心安全高級威脅應對團隊已截獲該0day漏洞的在野攻擊,攻擊者在Office文檔、網頁、垃圾郵件內嵌入惡意Flash實施攻擊,用戶打開文件或鏈接就會中招!請相關單位和用戶警惕來路不明的鏈接及文檔,當前Adobe尚未發布官方補丁,攻擊在進一步擴散中,使用360安全衛士可以全面防御和攔截可能出現的攻擊。
在野攻擊分析
攻擊者對相關人員精心策劃了社會工程學攻擊,通過即時聊天工具和郵箱向相關人員發送包含漏洞及惡意代碼的excel誘餌文檔,誘騙受害者打開中招。
誘餌文檔中包含了一個ActiveX對象,該對象對應的是一個swf文件,打開文檔后ActiveX對象會自動播放flash內容。
誘餌文檔中的flash播放后,下一步將從遠程的web服務器加載利用flash零日漏洞(cve-2018-4878)的swf文件執行。
cve-2018-4878漏洞文件的url所在網站是一個正規的韓國公司網站,疑似該網站已經被攻擊者入侵并完全控制,攻擊者可以在網站上添加任意的惡意代碼。
hxxp://www.dylboiler.co.kr/admincenter/files/boad/4/manager.php
進一步我們對截獲的cve-2018-4878漏洞swf文件進行了分析,漏洞存在于flash的DRMManager對象,相關的方法調用沒有正確的處理導致UAF(Use-After-Free)漏洞,通過修改ByteArray對象的Length可以完成任意內存讀寫執行,執行最終的shellcode代碼,相關的攻擊利用方法與幾年前Hacking Team所曝光使用的Flash Exploit技巧類似。
shellcode最終將下載遠程控制木馬執行,通過對木馬的分析,我們發現該木馬疑似思科Talos實驗室曝光的ROKRAT系列木馬,該系列木馬也曾被用于韓國辦公軟件HWP文檔的惡意攻擊。
關于怎么進行Adobe Flash零日漏洞在野攻擊預警分析就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
