APT使用的10類安全漏洞

劉鍥

APT攻擊，即：高級持續性威脅（Advanced Persistent Threat）是利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式。APT攻擊的原理相對于其他攻擊形式更為高級和先進，其主要體現在精確的信息收集、高度的隱蔽性以及使用各種復雜的目標系統或應用程序漏洞等方面。

為了能夠更加全面的了解全球APT研究的前沿成果，360威脅情報中心對APT攻擊中最重要的部分（APT組織所使用的安全漏洞）進行了梳理，結合360威脅情報中心對APT攻擊這類網絡戰的理解，篩選出近年來APT組織所使用的10類安全漏洞。

1.防火墻設備漏洞

防火墻作為網絡邊界設備，通常不屬于攻擊者攻擊的目標，尤其在APT領域中針對防火墻設備的漏洞就更為少見，直到2016年第一批Shadow Broker泄露的工具中大量針對防火墻及路由設備的工具被曝光，某些組織多年來直接攻擊邊界設備的活動才被徹底曝光，此處我們選擇CVE-2016-6366作為這類漏洞的典型代表。

（1）漏洞概述

2016年8月13日黑客組織ShadowBrokers聲稱攻破了為NSA開發網絡武器的黑客團隊Equation Group，并公開其內部使用的相關工具，EXBA-extrabacon工具，該工具基于0-day漏洞CVE-2016-6366，為Cisco防火墻SNMP服務模塊的一處緩沖區溢出漏洞。

（2）漏洞詳情

CVE-2016-6366（基于Cisco防火墻SNMP服務模塊的一處緩沖區溢出漏洞），目標設備必須配置并啟用SNMP協議，同時必須知道SNMP的通信碼，漏洞執行之后可關閉防火墻對Telnet/SSH的認證，從而允許攻擊者進行未授權的操作。

（3）補丁及解決方案

及時更新網絡邊界設備固件，軟件廠商思科已經發布了漏洞相應的補?。篽ttps：//blogs.cisco.com/security/shadow-brokers。

2. SMB通信協議漏洞

SMB（Server MessageBlock）通信協議是微軟和英特爾在1987年制定的協議，主要是作為Microsoft網絡的通訊協議。2017年4月14日ShadowBrokers公布了之前泄露文檔中出現的Windows相關部分的文件，該泄露資料中包含了一套針對Windows系統相關的遠程代碼利用框架（涉及的網絡服務范圍包括SMB、RDP、IIS及各種第三方的郵件服務器），其中一系列的SMB遠程漏洞0-day工具（EternalBlue，Eternalromance，Eternalchampoin和Eternalsynergy）之后被集成到多個蠕蟲家族中，同年5月12日爆發的WanaCry當時就集成了EternalBlue。

（1）漏洞概述

EternalBlue工具使用了SMB協議中的三處漏洞，其中主體的越界內存寫漏洞隸屬于微軟MS17-010補丁包中的CVE-2017-0144，通過該集成的工具，攻擊者可以直接遠程獲取漏洞機器的控制權限。

（2）漏洞詳情

EternalBlue中的核心了漏洞為CVE-2017-0144，該漏洞通過SMB協議的SMB_COM_TRANSACTION2命令觸發，當其中的FEALIST字段長度大于10 000時將導致內存越界寫，由于SMB_COM_TRANSACTION2命令本身FEA LIST的長度最大為FFFF，因此這里就涉及到第二處漏洞，即SMB_COM_ TRANSACTION2可被混淆為SMB_COM_NT_TRANSACT，從而實現發送一個FEA LIST字段長度大于10 000的SMB_COM_TRANSACTION2命令，實現越界寫，最后通過第三個漏洞進行內存布局，最終實現代碼執行。

（6）補丁解決方案

及時更新操作系統補丁，軟件廠商微軟已經發布了漏洞相應的補?。篽ttps：//docs.microsoft.com/zh-cn/security-updates/ Securitybulletins/2017/ms17-010。

3. Office OLE2Link邏輯漏洞

Office OLE2Link是微軟辦公軟件（Office）中的一個重要特性，它允許Office文檔通過對象鏈接技術在文檔中插入遠程對象，在文檔打開時自動加載處理。由于設計不當，在這個處理過程中出現了嚴重的邏輯漏洞，而我們選擇CVE-2017-0199為這類漏洞的典型代表。

（1）漏洞概述

2017年4月7日McAfee與FireEye的研究員爆出微軟OfficeWord的一個0-day漏洞的相關細節（CVE-2017-0199）。攻擊者可以向受害人發送一個帶有OLE2link對象附件的惡意文檔，誘騙用戶打開。當用戶打開惡意文檔時，Office OLE2Link機制在處理目標對象上沒有考慮相應的安全風險，從而下載并執行惡意HTML應用文件（HTA）。

（2）漏洞詳情

CVE-2017-0199利用了OfficeOLE2Link對象鏈接技術，將惡意鏈接對象嵌入在文檔中，之后調用URL Moniker將惡意鏈接中的HTA文件下載到本地，URLMoniker通過識別響應頭中content-type的字段，最終調用mshta.exe執行HTA文件中的攻擊代碼。

在影響面方面，CVE-2017-0199幾乎影響了所有版本的Office軟件，是歷來Office漏洞中影響面最廣的漏洞之一，并且易于構造，觸發穩定，這使得其在2017年的BlackHat黑帽大會上被評為“最佳”客戶端安全漏洞。

（3）補丁及解決方案

盡量不要打開來源不明的文檔，也可以使用360安全衛士之類的防病毒軟件對文檔進行掃描后再打開以盡可能降低風險，如果有條件盡量使用虛擬機打開陌生文檔。

微軟已經發布了漏洞相應的補丁：

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2017-0199；

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2017-8570。

4. Office公式編輯器漏洞

Microsoft公式編輯器（EQNEDT32.EXE），該組件首發于Microsoft Office 2000和Microsoft 2003，以用于向文檔插入和編輯方程式，雖然從Office 2007之后，方程式相關的編輯發生了變化，但為了保持版本的兼容性，EQNEDT32.EXE本身也沒有從Office套件中刪除。而該套件自17年前編譯之后就從未被修改，這就意味著其沒有任何安全機制（ASLR，DEP，GS cookies…）。并且由于EQNEDT32.EXE進程使用DCOM方式啟動而獨立于Office進程，從而不受Office高版本的沙盒保護，所以該類漏洞具有天生“繞過”沙盒保護的屬性，危害巨大。此處我們選擇該組件下發現的第一個漏洞CVE-2017-11882作為該類漏洞的典型。

（1）漏洞概述

2017年11月14日，Embedi發布博文《Skeletonin the closet. MS Office vulnerability you didnt know about》，該文章就EQNEDT32.EXE中出現的CVE-2017-11882漏洞的發現和利用進行了分析，CVE-2017-11882為公式Font Name字段解析時的緩沖區溢出漏洞，通過構造帶有非法公式的Doc/RTF文檔，可導致代碼執行。

（2）漏洞詳情

CVE-2017-11882為一處棧溢出漏洞，其Font Name字段最終會導致棧溢出，返回地址被覆蓋為00430c12，該地址指向 WinExe函數，父函數第一個參數正好指向構造字符，從而導致WinExe執行構造字符中的命令。

（3）補丁及解決方案

個人用戶下載打開來源不明的文檔需要非常謹慎，可用360安全衛士之類的防病毒木馬流氓軟件的工具進行掃描以盡可能降低風險，如果有條件盡量使用虛擬機打開陌生文檔。

微軟已經發布了漏洞相應的補丁：

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2017-11882；

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2018-0802；

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2018-0798。

5. OOXML類型混淆漏洞

OOXML是微軟公司為Office2007產品開發的技術規范，現已成為國際文檔格式標準，兼容前國際標準開放文檔格式和中國文檔標準“標文通”，Office富文本中本身包含了大量的XML文件，由于設計不當，在對其中的XML文件進行處理的時候，出現了嚴重的混淆漏洞，最典型的包括CVE-2015-1641，CVE-2017-11826，這里我們選擇近年來最流行的OOXML類型混淆漏洞CVE-2015-1641作為典型代表。

（1）漏洞概述

2015年4月，微軟修補了一個CVE編號為CVE-2015-1641的Office Word類型混淆漏洞。OfficeWord在解析Docx文檔displacedByCustomXML屬性時未對customXML對象進行驗證，造成類型混淆，導致任意內存寫，最終經過精心構造的標簽以及對應的屬性值可以造成遠程任意代碼執行。這是第一個利用成功率非常高且被APT組織頻繁使用的OOXML類型混淆漏洞。

（2）漏洞詳情

CVE-2015-1641中，由于OfficeWord沒有對傳入的custom XML對象進行嚴格的校驗，導致可以傳入比如smartTag之類的對象，然而smartTag對象的處理流程和customXML并不相同，如果customXML標簽被smartTag標簽通過某種方法混淆解析，那么smartTag標簽中的element屬性值會被當作是一個地址，隨后經過簡單的計算得到另一個地址。最后處理流程會將moveFromRangeEnd的id值覆蓋到之前計算出來的地址中，導致任意內存寫入。然后通過寫入可控的函數指針，以及通過Heap Spray精心構造內存布局，最終導致代碼執行。

（6）補丁及解決方案

個人用戶下載打開來源不明的文檔需要非常謹慎，可用360安全衛士之類的防病毒木馬流氓軟件的工具進行掃描以盡可能降低風險，如果有條件盡量使用虛擬機打開陌生文檔。

微軟已經發布了漏洞相應的補?。?/p>

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2017-8570。

6.腳本解析漏洞EPS（EncapsulatedPost Script）

EPS全稱EncapsulatedPost Script，屬于Post Script的延伸類型，適用于在多平臺及高分別率輸出設備上進行色彩精確的位圖及向量輸出，因此在Office中也引進了相應的支持，但是自2015年起多個Office中EPS相關的漏洞被利用，其中包括CVE-2015-2545，CVE-2017-0261，CVE-2017-0262，最終導致微軟不得不禁用Office中的EPS組件，此處們選擇以CVE-2017-0262作為典型代表。

（1）漏洞概述

2017年5月7日FireEye研究員在文章《EPSProcessing Zero-Days Exploited by Multiple Threat Actors》中披露了多個EPS0-day漏洞的在野利用，其中就包含CVE-2017-0262，CVE-2017-0262為ESP中forall指令中的一處漏洞，由于forall指令對參數校驗不當，導致代碼執行。

（2）漏洞詳情

CVE-2017-0262的利用樣本中首先對實際的EXP進行了四字節的xor編碼，key為c45d6491。

漏洞的關鍵點在于以下一行的代碼，在EPS中forall指令會對第一個參數中的每一個對象執行處理函數proc（即第二個參數），此處由于對第二個參數的類型判斷不嚴格，導致0xD80D020這個攻擊者之前通過堆噴控制的內存地址被作為處理函數的地址，從而esp堆棧被控制，致使最后的代碼執行。

（3）補丁及解決方案

個人用戶下載打開來源不明的文檔需要非常謹慎，可用360安全衛士之類的防病毒木馬流氓軟件的工具進行掃描以盡可能降低風險，如果有條件盡量使用虛擬機打開陌生文檔。

微軟已經發布了漏洞相應的補?。?/p>

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2015-2545；

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2017-0261；

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2017-0262。

7. Windows提權漏洞

近年來針對Windows客戶端的漏洞攻擊越來越多，這直接導致各大廠商對其客戶端軟件引入了“沙盒”保護技術，其核心思想即是將應用程序運行在隔離環境中，隔離環境通常是一個低權限的環境，也可以把沙盒看做是一個虛擬的容器，讓不是很安全的程序在運行的過程時候，即便客戶端軟件遭受惡意代碼的入侵也不會對使用者的計算機系統造成實際的威脅。

引入了“沙盒”保護的?？蛻舳顺绦蛴校篒E/Edge瀏覽器、Chrome瀏覽器、Adobe Reader以及微軟Office辦公軟件等。而客戶端程序漏洞如果配合Windows提權漏洞則可以穿透應用程序“沙盒”保護。

（1）漏洞概述

在對Office辦公軟件的EPS（EncapsulatedPost Script）組件進行漏洞攻擊的過程中，由于Office 2010及其高版本上的EPS腳本過濾器進程fltldr.exe被保護在低權限沙盒內，要攻破其中的低權限沙盒保護措施，攻擊者就必須要使用遠程代碼執行漏洞配合內核提權漏洞進行組合攻擊。所以這里選擇Win32k.sys中的本地權限提升漏洞（CVE-2017-0263）這一個配合EPS類型混淆漏洞（CVE-2017-0262）進行組合攻擊的提權漏洞作為典型代表。

（2）漏洞詳情

CVE-2017-0263漏洞利用代碼首先會創建三個Popup Menus，并添加相應的菜單。由于該UAF漏洞出現在內核的WM_NCDESTROY事件中，并會覆蓋wnd2的tagWnd結構，這樣可以設置bServerSideWindowProc標志。一旦設置了bServer Side Window Proc，用戶模式的WndProc過程就會被視為內核回調函數，所以會從內核上下文中進行調用。而此時的WndProc則被攻擊者替換成了內核ShellCode，最終完成提權攻擊。

（3）補丁及解決方案

個人用戶下載打開來源不明的文檔需要非常謹慎，可用360安全衛士之類的防病毒木馬流氓軟件的工具進行掃描以盡可能降低風險，如果有條件盡量使用虛擬機打開陌生文檔。

微軟已經發布了漏洞相應的補?。?/p>

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2015-2546；

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2016-7255；

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2017-0001；

https：//portal.msrc.microsoft.com/en-US/security-guidance/ advisory/CVE-2017-0263。

8. Flash漏洞

Flashplayer因為其跨平臺的普及性，一直為各個APT組織所關注，從2014年起，Flash漏洞開始爆發，尤其到2015年，HackingTeam泄露數據中的兩個0-day漏洞CVE-2015-5122，CVE-2015-5199，Flash漏洞相關的利用技術公開，Flash漏洞開始成為APT組織的新寵，盡管之后Adobe和Google合作，多個Flash安全機制陸續出爐（如隔離堆，vectorlength檢測），大大提高了Flash漏洞利用的門檻，但也不乏出現CVE-2015-7645這一類混淆漏洞的怪咖。這里選擇不久前發現的在野0-day CVE-2018-4878作為這類漏洞的典型代表。

（1）漏洞概述

2018年1月31日，韓國CERT發布公告稱發現Flash0day漏洞（CVE-2018-4878）的野外利用，攻擊者通過發送包含嵌入惡意Flash對象的Office Word附件對指定目標進行攻擊。

（2）漏洞詳情

CVE-2018-4878通過Flash om.adobe.tvsdk包中的DRMManager對象進行攻擊，例如：triggeruaf函數中創建一個MyListener對象，通過initialize進行初始化，并將該實例設置為null，之后的第一個LocalConnection（）.connect（）會導致gc回收該實例內存，第二次LocalConnection（）.connect（）時觸發異常，在異常處理中會創建一個新的MyListener實例，內存管理器會將之前MyListener對象實例的內存分配給新對象，即此處的danglingpointer，設置timer，在其回調函數中檢測uaf是否觸發，成功則通過Mem_Arr進行站位。

（3）補丁及解決方案

個人用戶下載打開來源不明的文檔需要非常謹慎，可用360安全衛士之類的防病毒木馬流氓軟件的工具進行掃描以盡可能降低風險，如果有條件盡量使用虛擬機打開陌生文檔。

adobe已經發布了漏洞相應的補?。?/p>

https ： / /help x.adob e.com/security/products/flash-player/ apsb18-03.html；

https ： //helpx.adobe .com/security/products/flash-player/ apsb17-32.html。

9. iOS三叉戟漏洞

iOS三叉戟漏洞是目前唯一一個公開披露的針對iOS系統瀏覽器的遠程攻擊實例，并真實用于針對特點目標的APT攻擊中。

（1）漏洞概述

iOS三叉戟漏洞是指針對iOS9.3.5版本之前的iOS系統的一系列0-day漏洞，其利用了3個0-day漏洞，包括一個 WebKit漏洞，一個內核地址泄露漏洞和一個提權漏洞。通過組合利用三個0-day漏洞可以實現遠程對iOS設備的越獄，并且安裝運行任意惡意代碼。

（2）漏洞詳情

iOS三叉戟漏洞利用載荷可以通過訪問特定的URL觸發，所以可以通過短信、郵件、社交網絡或者即時通訊等發送惡意鏈接誘導目標人員點擊打開鏈接實現漏洞的觸發。由于WebKit JavaScript Core庫存在任意代碼執行漏洞，當Safari瀏覽器訪問惡意鏈接并觸發惡意的JavaScript載荷執行，其利用代碼進入Safari Web Content進程空間。其隨后利用另外兩個漏洞實現權限提升，并越獄掉iOS設備。最后三叉戟漏洞可以實現下載和運行用于持久性控制的惡意模塊。

（3）補丁及解決方案

蘋果公司在2016年8月25日發布iOS 9.3.5，修補了三叉戟漏洞。

10.Android瀏覽器remote2local漏洞利用

該Android瀏覽器漏洞利用代碼的泄露揭示了網絡軍火商和政府及執法機構利用遠程攻擊漏洞針對Android用戶的攻擊和監控，并且該漏洞利用過程實現幾乎完美，也體現了漏洞利用技術的“藝術特點”。該漏洞利用代碼幾乎可以影響當時絕大多數主流的Android設備和系統版本。

（1）漏洞概述

Android瀏覽器remote2local漏洞利用是2015年7月Hacking Team遭受入侵并泄露內部源代碼資料事件后，其泄露源代碼中包含了針對Android 4.0.x-4.3.x系統版本的瀏覽器的攻擊利用代碼，其可以達到遠程代碼執行，并執行提權代碼提升至root權限，最后達到靜默安裝惡意程序的目的。

該漏洞利用的組合了GoogleChrome的三個N-day漏洞和針對Android系統的提權漏洞完成完整的利用攻擊過程。

（2）漏洞詳情

該Android瀏覽器漏洞利用主要因為WebKit中關于XML語言解析和XSLT轉換的libxslt庫，其利用過程實際上是基于多個漏洞的組合利用過程。其首先利用一個信息泄露漏洞獲取內存地址相關信息，并利用內存任意讀寫構造ROP攻擊最終實現執行任意代碼的目的。其最后執行提權代碼，該漏洞利用中使用的提權漏洞為CVE-2014-3153，其產生于內核的Futex系統調用。當提權獲得root權限以后，執行靜默安裝惡意APK應用。

（5）補丁及解決方案

Google在發布的Android4.4系統版本中已經修復了上述問題。