Flash目前也在瀏覽器之外的地方受到攻擊。這個「發現」來自於 Hacking Team 資料外洩。趨勢科技注意到這些零時差漏洞中的 CVE-2015-5119一直被用在APT攻擊。包含偽裝成來自台灣政府的電子郵件…..
七月對Adobe Flash Player安全來說是很糟糕的一個月。出現了三個零時差漏洞(都來自 Hacking Team 資料外洩流出的資料),讓許多人非常擔心Flash的安全性,也有許多人(包括本站)呼籲它要消失。
不可免地,Adobe做出了些回應來提升Flash的安全性。最新版本的Flash(18.0.0.209)加入了許多攻擊緩解技術。這些是由Adobe和Google的Project Zero團隊一同開發。
新的攻擊緩解技術為:
- <*>長度驗證 – 加入長度cookie到Vector緩衝區。如果漏洞攻擊碼覆寫Vector長度,cookie檢查會失敗。因為今天的每一個Flash漏洞攻擊碼都會覆寫Vector長度,這方法可以增加Flash漏洞攻擊碼開發的難度,甚至能阻止尚未公開的零時差攻擊。
增加cookie長度檢查之後,攻擊者需要有兩個漏洞來進行攻擊 – 一個洩漏cookie長度,另一個覆寫長度。也可以使用既能洩漏和覆寫該位置的單一漏洞,但這種漏洞很少見。
- <uint>緩衝堆積分區 – 這解決方法讓洩漏cookie和覆寫長度更加困難。現在需要特定的漏洞而非一般的資料洩露和覆寫漏洞。
- Flash堆積更強大的隨機能力 – 這緩解機制讓洩漏cookie和覆寫vector長度更加困難,因為堆積佈局比以前更難預測。
這些技術對於緩解攻擊相當有幫助,因為它可以減少利用vector長度覆寫技術漏洞的數量。但是請注意,這些都是漏洞攻擊緩解技術:實際上,只是有漏洞程式碼的OK繃。其他緩解漏洞攻擊的方式(如2014年微軟對Internet Explorer所做)會加上緩解技術和解決底層程式碼。在IE的例子中,大多數IE UAF漏洞都變成空指標被廢除了。
並非所有的漏洞都可以透過這些方式緩解。如果攻擊者能夠找到新一類的潛在Flash漏洞來繞過這些步驟,我們可能就會回到現在這樣漏洞百出的狀況。也有可能是每個漏洞攻擊碼基本上都「從零開始」,不再建構在已被發現的技術上。
不是所有的保護技術都適用在所有的瀏覽器上。Vector.<*>長度驗證可用在其他的瀏覽器;然而其它技術沒有。其他瀏覽器的使用者還沒有得到充分的保護,雖然到了下個月就可以了。
Hacking Team,APT攻擊和 Flash:瀏覽器以外的漏洞攻擊碼
雖然這些新增的攻擊緩解技術有用,能夠減少使用者所面臨的問題,但Flash目前也在瀏覽器之外的地方受到攻擊。它現在被嵌入到Office文件中;這可以繞過許多防禦。
再一次地,這個「發現」來自於 Hacking Team 資料外洩。趨勢科技注意到這些零時差漏洞中的CVE-2015-5119一直被用在「進階持續性滲透攻擊」(Advanced Persistent Threat,簡稱APT攻擊)。偽裝成來自台灣政府的電子郵件夾帶著惡意附加檔案出現,如下圖所示:
圖1、詐騙郵件
猛一看,這似乎是封非常普通的APT針對性攻擊郵件,完全是封惡意電子郵件。我們相信這樣本跟我們去年所發現的PLEAD攻擊活動有關。此外,我們認為它現在可以針對64位元版本的Windows以及Mac OS X:
圖2、Windows 64 / OS X
但是引人注意的是,這些惡意附加檔案並非針對Microsoft Office的漏洞。這些Office檔案嵌入了Flash檔案。如果攻擊成功,就會被用來下載和執行真正的惡意軟體。
圖3、攻擊成功和Internet Explorer程序(點擊以看大圖)
製造工具
這攻擊如何進行?攻擊者似乎是受 Hacking Team 資料外洩啟發,採用了非常類似的方式。根據 Hacking Team 資料外洩所流出的相關資料,我們了解到攻擊者使用自動化製造工具來實現自動化攻擊。下圖顯示這製造工具如何使用:
圖4、製造工具用法
攻擊者會提供將用來攻擊的「乾淨」Office文件,Flash漏洞攻擊碼和真正的惡意軟體。製造工具會產生嵌入Flash檔案的文件,以及需要被上傳到攻擊者所選擇之惡意或淪陷伺服器的檔案。
我們所遇到攻擊者和 Hacking Team 資料外洩所設計的攻擊有個關鍵差別。我們看到的Flash漏洞攻擊碼被直接嵌入。Hacking Team的製造工具嵌入一個Flash,它再下載另一個Flash漏洞攻擊碼。這好處是不放任何可被偵測的漏洞攻擊碼到Flash檔案內。
Flash檔案和惡意軟體不需要在同一個目錄,製造工具被設計來將它們放入相同位置。
這製造工具也被設計來讓偵測和分析惡意軟體更加困難:
- 網路流量使用HTTPS加密,讓網路安全解決方案(如Deep Discovery)偵測更加困難。
- 使用4位元的隨機金鑰和XOR函數來加密所用的惡意軟體。
最佳實作
到目前為止,Flash相關最佳實作的關鍵一直是保持更新,並且將瀏覽器設定為點擊再播放(或完全關閉)。然而,這做法只在Flash透過瀏覽器攻擊才有用。透過Microsoft Office來使用Flash就沒有幫助,也讓使用者因而受到影響,即便他們認為自己是「安全」的。
有安全意識的使用者應該要考慮完全停用Flash,可能的話加以移除。Windows使用者也可以選擇利用kill bit(刪除位元)在系統上完全停用Flash。
@原文出處:Flash Threats: Not Just In The Browser
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
▼ 歡迎加入趨勢科技社群網站▼
【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載