近年来APT组织使用的10大（类）安全漏洞_程序员

近年来APT组织使用的10大（类）安全漏洞

TechWeb

2018-04-19 16:18:52

0次

APT攻击（Advanced Persistent Threat，高级持续性威胁）是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在精确的信息收集、高度的隐蔽性、以及使用各种复杂的目标系统/应用程序漏洞等方面。

为了能够更加全面的了解全球APT研究的前沿成果，360威胁情报中心对APT攻击中最重要的部分（APT组织所使用的安全漏洞）进行了梳理，在参考了各类APT研究报告和研究成果、APT攻击活动或APT组织最常使用的漏洞、以及漏洞的价值等几项指标后，并结合360威胁情报中心对APT攻击这类网络战的理解，筛选出近年来APT组织所使用的10大（类）安全漏洞。

在本报告中360威胁情报中心首先会阐述APT组织使用的主流漏洞的价值评定标准和各APT组织最常用的漏洞类别，这些组成了评选这10大（类）漏洞的主要观点和理由。然后针对APT组织使用的10大（类）安全漏洞选出最具代表性的单个漏洞，并对每个漏洞的背景、利用及影响范围、相关APT组织和重要事件进行介绍，之后提出对每类漏洞的防护对策和建议。最后，基于之前章节的分析，360威胁情报中心针对APT使用的漏洞发展趋势进行了总结并提出了自己的一些结论。

主要观点

方程式一类的顶尖APT组织所使用的漏洞攻击技术远远领先其他APT组织

方程式一类的顶尖APT组织的攻击技术、网络战思维远远领先于其他APT组织。可以将方程式一类组织的APT攻击技术划分为一类，其它组织的APT攻击技术划分为另外一类。这主要体现在顶尖的APT攻击主要是通过底层植入，攻击核心路由/防火墙等网络基础设施，攻击网络服务器等来实现定点精确打击。而其它APT组织则主要通过钓鱼类攻击配合客户端漏洞来实施APT攻击。

方程式组织 Quantuminsert（量子植入）通过攻击网络基础设施实现定点打击

狭义漏洞分类

我们可以狭义的将APT组织常用的漏洞分为攻击网络基础设施/服务器/服务类的漏洞和攻击客户端应用软件类的漏洞。

网络基础设施/服务器/服务类漏洞

这类漏洞主要影响网络基础设施（路由交换设备、防火墙等）、服务器、各类服务（SMB/RPC/IIS/远程桌面等等）。攻击者通常可以通过使用相应的漏洞攻陷核心网络设施进而横向移动或者进一步向网络中的其它客户端植入恶意代码，危害巨大，从公开信息来看，这类漏洞主要为方程式一类的顶尖APT组织所使用。

客户端软件类漏洞

这类漏洞主要通过钓鱼类攻击手段实施攻击，主要针对客户端应用软件，比如浏览器、Office办公软件、PDF等等，这类漏洞的缺点是需要目标用户交互，所以漏洞价值整体低于攻击服务端的漏洞价值。

APT组织十大（类）漏洞

360威胁情报中心评选出了APT组织近年来使用的10大（类）漏洞，这其中包含了2类服务端漏洞，8类客户端漏洞。服务端漏洞中包含了NSA网络武器库中的防火墙设备漏洞和“永恒之蓝”使用的SMB协议漏洞。客户端漏洞中包含了移动端Android和iOS的2类漏洞，4类微软Office软件漏洞以及Flash类漏洞和Windows提权漏洞。

360威胁情报中心将会针对每类漏洞的背景、漏洞利用、相关漏洞及影响范围、相关APT组织及事件、补丁及解决方案等分别进行介绍。

1. 防火墙设备漏洞

防火墙作为网络边界设备，通常不属于攻击者攻击的目标，尤其在APT领域中针对防火墙设备的漏洞就更为少见，直到2016年第一批Shadow Broker泄露的工具中大量针对防火墙及路由设备的工具被曝光，方程式组织多年来直接攻击边界设备的活动才被彻底曝光，此处我们选择 CVE-2016-6366作为这类漏洞的典型代表。

而方程式组织的Quantum insert（量子植入攻击工具）则正是通过入侵边界防火墙、路由设备等来监听/识别网络内的受害者虚拟ID，进而向被攻击者的网络流量中“注入”相应应用程序（比如IE浏览器）的漏洞攻击代码进行精准的恶意代码植入。

1) 漏洞概述

2016年8月13日客组织ShadowBrokers声称攻破了为NSA开发网络武器的黑客团队Equation Group，并公开其内部使用的相关工具，EXBA-extrabacon工具，该工具基于0-day漏洞CVE-2016-6366，为Cisco防火墙SNMP服务模块的一处缓冲区溢出漏洞。

2) 漏洞详情

#p#分页标题#e#

CVE-2016-6366（基于Cisco防火墙SNMP服务模块的一处缓冲区溢出漏洞），目标设备必须配置并启用SNMP协议，同时必须知道SNMP的通信码，漏洞执行之后可关闭防火墙对Telnet/SSH的认证，从而允许攻击者进行未授权的操作。

如下所示sub_817A5A0为对应固件中自实现的copy函数，函数内部没有检测长度，函数的调用方同样也没有对拷贝的长度进行检测，从而导致溢出。