腾讯御见捕获高危Flash 0day漏洞野外攻击 已获Adobe官方确认
2018-06-12 14:10:53   来源：洞察网   评论：0 点击：

近日，腾讯御见威胁情报中心监测到一例使用Flash 0day漏洞的APT攻击，攻击者在特别构造的excel文档中嵌入flash对象，用户打开文档即会中毒。腾讯安全已第一时间向Adobe官方上报该漏洞利用样本，随即获得Adobe官方确认。

从截获的APT攻击样本来看，目标疑似某使用阿拉伯语的国家要害部门，攻击者的意图或在于获取商业机密、刺探国家情报。对此，腾讯企业安全技术专家提醒各级政府机关、企业等广大用户，及时将电脑中的Flash player更新到最新版本，企业用户可使用腾讯御界等安全软件来保护终端系统安全。

（腾讯御界高级威胁检测系统实时检测APT攻击威胁）

近年来，伴随国际贸易和各种交流的日益密切，互联网在为跨国企业和国家之间提供高效的沟通工具的同时，也带来了新的安全威胁：以获取商业机密、刺探国家情报为目的的黑客攻击，越来越多地出现在跨国企业和国家之间的不正当竞争之中。

在腾讯御见威胁情报中心监测到的这起攻击案例中，攻击者使用Flash 0day漏洞发起APT攻击，使用的诱饵excel表格文件内容为阿拉伯语言撰写的外交部官员基本工资情况，可推测为针对某阿拉伯语国家或地区的政府要害部门的攻击。对于从未被公开过技术细节的0day高危漏洞，在相关厂商修复之前，几乎无法做到有效防御，可见攻击者手段恶劣。

（腾讯御见威胁情报中心捕获的攻击样本诱饵文档）

腾讯御见威胁情报中心分析发现，攻击者在诱饵文档中嵌入一个在线的Flash对象，用户打开文档后会自动加载该Flash文件（简称SWF1），而SWF1会通过网络动态下载带有0day漏洞攻击代码的另一个Flash文件（简称SWF2）。SWF1和SWF2文件中的代码均使用了高度混淆技术，其通过网络获取到的数据做了加密处理，通过多个复杂的技术手法，实现在被攻击目标的电脑上最终启动一个木马，令黑客成功入侵，更多的情报刺探和破坏行动随之而来。

（该Flash 0day漏洞野外攻击流程）

凭借基于行为的防护和智能模型两大核心能力，腾讯御界高级威胁检测系统已经可以检测并阻断该轮Flash 0day漏洞野外攻击连接行为。通过对企业内外网边界处网络流量的分析，御界高级威胁检测系统可高效检测未知威胁，并及时感知漏洞的利用和攻击。

目前该Flash 0day漏洞攻击并未在国内发现，但用户同样不可放松警惕。腾讯企业安全技术专家建议广大政府、企业用户，切勿随意打开来历不明的文档，推荐部署御界高级威胁检测系统，及时感知恶意流量，检测钓鱼网址和远控服务器地址在企业网络中的访问情况，实时保护企业网络信息安全。