Operation Poison Needles(毒针):攻击行动评估 - By nEINEI Time:2018-12-11 1) 在2018年11月29日,中国360安全公司,高级威胁应对团队在全球范围内第一时间发现了一起针对俄罗斯的APT攻击行动。此次攻击相关样本来源于乌克兰,攻击目标则指向俄罗斯总统办公室所属的医疗机构。 2) 攻击者精心构造一份俄文的员工问卷调查文档,该文档使用了最新的Flash 0day漏洞cve-2018-15982和带有自毁功能的专属木马程序进行攻击。 3) 360安全公司和gigamon同时在2018-12-5日公布了cve-2018-15982这个漏洞的利用分析报告。 Symptoms 相关样本信息: c2a827cd8aefa54fb2f91b0f767292d94f5ef7dde9c29090e6be21d34efd1449 14bd1ab23d13543835821dd1fa5c17fc8c055341d09694971b5f2775c634f66e f9c093f408a2c0c66116bb47f466a01fea73b06751962fb89b7c88be123b6a78 d123723e577b8e277e43399e6e54d155b782edb332a70a54a92b729daf287626 C&C:188.241.58.68 最小闭合的攻击样本: 第一阶段:14bd1ab23d13543835821dd1fa5c17fc8c055341d09694971b5f2775c634f66e ,size = 56117 第二阶段:6a7885f99ac30b061e90eb9f7a14c091624abe77888a0c36e010509be6b9913a ,size = 3326443 攻击能力计算: K = 2 (正常安全认知范围) a = 2 (少交互) s = 1 (鱼叉式钓鱼攻击) m = 5 (代码注入,特种木马,感染特定人群,高难度&复杂技术实现,利用隐写方式) p = 1 (攻击1种平台,WINDOWS) x = 5+4(0DAY漏洞cve-2018-15982的利用,包含签名利用) c = (56117+3326443)/1024*6 = 550 攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c AT = (2 + 1 + 5 + 1) ^ 2 * (1+5+4) ^ 2 + (56117+3326443)/1024*6 = 9^2 * (10^2)+ 779 = 81 * 100 + 779 = 8879 Poison Needles 攻击能力 ==>8879 * 1000/1279625(1T攻击力单位) = 6.939T 根据《论高级威胁的本质及攻击能力的量化研究》一文的研究结论: 使用0Day漏洞攻击的组织,其攻击力多数在1.8T以上,而大多数可称作定向攻击的水平介于0.1T~1.5T之间。5T~15T的攻击力是实力出众的攻击组织, 15T~100T是具有强力国家背景支持的网络攻击力量。100T以上的攻击能力则是具有国家战略意图或是网络战范畴下需要考量的一股军事攻击力量。 Poison Needles = 6.939T 其攻击能力属于精英黑客组织范畴。 参考引用: 1.http://blogs.360.cn/post/PoisonNeedles_CVE-2018-15982.html 2.http://blogs.360.cn/post/PoisonNeedles_CVE-2018-15982_EN.html 3.https://atr-blog.gigamon.com/2018/12/05/adobe-flash-zero-day-exploited-in-the-wild/ 4.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt