压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　1. 啟明星辰天闐APT產(chǎn)品精確檢測(cè)SANDWORM（沙蟲(chóng)）APT攻擊

　　關(guān)鍵詞：?jiǎn)⒚餍浅?APT 沙蟲(chóng) 天闐

　　2014年10月15日，啟明星辰APT研究團(tuán)隊(duì)獲取到最新安全漏洞SandWorm（以下簡(jiǎn)稱：沙蟲(chóng)）漏洞，該漏洞編號(hào)為CVE-2014-4114。經(jīng)過(guò)樣本分析發(fā)現(xiàn)，該漏洞影響windows vista、windows7等以上操作系統(tǒng)，該漏洞屬于Windows的OLE Package邏輯漏洞。該漏洞傳播的文件載體無(wú)需任何shellcode、木馬，導(dǎo)致基于檢測(cè)點(diǎn)的檢測(cè)設(shè)備無(wú)能為力，由于是可以觸發(fā)OLE包管理INF 任意代碼執(zhí)行漏洞，就具有易被利用、易被改造的特點(diǎn)，如被黑客二次利用后擴(kuò)散范圍更廣。啟明星辰天闐APT研究團(tuán)隊(duì)第一時(shí)間捕獲到該漏洞樣本后，快速做出產(chǎn)品級(jí)應(yīng)急響應(yīng)，請(qǐng)參見(jiàn)后《SANDWORM（沙蟲(chóng)） APT攻擊詳細(xì)分析及解決辦法》。

　　根據(jù)啟明星辰APT研究團(tuán)隊(duì)知名人士確認(rèn)，沙蟲(chóng)漏洞是俄羅斯知名黑客用于對(duì)北約發(fā)起的APT攻擊中使用的漏洞。該漏洞幾乎影響所有微軟Windows vista以上裝有Office軟件的系統(tǒng)主機(jī)操作系統(tǒng)，通俗地說(shuō)，這類攻擊是通過(guò)發(fā)送附件文檔的方式發(fā)起，受害者只要打開(kāi)文檔就會(huì)自動(dòng)中招，也就是只要電腦中安裝了覆蓋面廣泛的Office軟件，都有可能受到該漏洞的影響。輕則信息遭到竊取，嚴(yán)重的則成為高級(jí)可持續(xù)威脅的攻擊跳板，該漏洞還繞開(kāi)常見(jiàn)的殺毒軟件的特點(diǎn)，漏洞風(fēng)險(xiǎn)性較高。

　　啟明星辰建議，假如有陌生人向您發(fā)來(lái)office類文檔，請(qǐng)慎重打開(kāi)。

　　今年以來(lái)，從Apache 的struts2 大范圍爆發(fā)，到Open SSL心臟出血漏洞爆發(fā)，再到BASH 破殼漏洞爆發(fā)，2014年注定是網(wǎng)絡(luò)安全界一個(gè)不安分的年份。啟明星辰天闐APT產(chǎn)品正是順應(yīng)時(shí)代的召喚，率先推出自主研發(fā)的預(yù)防高級(jí)可持續(xù)威脅攻擊的檢測(cè)類產(chǎn)品，源代碼自主可控，精確檢測(cè)最新0-day漏洞，產(chǎn)品功能多樣性、可組合能力強(qiáng)等特點(diǎn)十分契合行業(yè)級(jí)用戶的實(shí)際需求。

　　2. SANDWORM（沙蟲(chóng)） APT攻擊詳細(xì)分析及解決辦法

　　漏洞概要

　　國(guó)外廠商iSIGHT Partners10月14日發(fā)布公告稱，俄羅斯黑客利用微軟Windows系統(tǒng)中的SandWorm（沙蟲(chóng)）漏洞對(duì)歐美國(guó)家政府、北約，以及烏克蘭政府展開(kāi)間諜活動(dòng)。 經(jīng)分析，該樣本使用了Windows OLE遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2014-4114)樣本已在網(wǎng)上傳播。該漏洞影響windows Vista SP2 、win7到Win8.1的所有系統(tǒng)。該漏洞是一個(gè)邏輯漏洞，通過(guò)Office文檔就可以觸發(fā)該漏洞，特別值得一提的是并非內(nèi)存破壞性質(zhì)的漏洞，能繞過(guò)大部分主動(dòng)防御類軟件。

　　樣本簡(jiǎn)要分析

　　樣本大小：108917字節(jié)

　　樣本MD5：330e8d23ab82e8a0ca6d166755408eb1

　　樣本經(jīng)過(guò)解壓后可以看到里面內(nèi)嵌了兩個(gè)OLE組件。

　　該樣本運(yùn)行后，會(huì)下載一個(gè)名為slide1.gif的PE文件和一個(gè)slides.inf的配置文件。之后Ole Package通過(guò)IOleObject：：DoVerb函數(shù)判斷ole對(duì)象類型，如果是inf，就會(huì)去自動(dòng)加載并安裝。

　　首先inf會(huì)將下載來(lái)的同目錄下的slide1.gif重命名為slide1.gif.exe。然后在HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce添加了對(duì)應(yīng)的自啟動(dòng)項(xiàng)，使得重啟后仍然可以執(zhí)行病毒程序。

　　釋放的slide1.gif.exe運(yùn)行后會(huì)繼續(xù)釋放名為FONTCACHE.DAT的動(dòng)態(tài)庫(kù)，并調(diào)用rundll32.exe執(zhí)行該動(dòng)態(tài)庫(kù)的導(dǎo)出函數(shù)"MakeCache"。隨后在啟動(dòng)文件夾下創(chuàng)建了自啟動(dòng)項(xiàng)。

　　之后便開(kāi)始和黑客服務(wù)器進(jìn)行連接，以接收進(jìn)一步指令。

　　檢測(cè)方法

　　啟明星辰自主研發(fā)的天闐APT產(chǎn)品可完全檢測(cè)出該樣本。

　　首先對(duì)帶有漏洞的pps文件進(jìn)行檢測(cè)，檢測(cè)結(jié)果如下：

　　該系統(tǒng)可對(duì)樣本進(jìn)行多環(huán)境檢測(cè)，在XP環(huán)境中，我們未檢測(cè)到攻擊行為發(fā)生，在Windows 7的Office 2007環(huán)境下則檢測(cè)出了漏洞攻擊行為并報(bào)警。

　　當(dāng)漏洞利用檢測(cè)系統(tǒng)檢測(cè)到文檔文件有問(wèn)題后，該檢測(cè)系統(tǒng)會(huì)自動(dòng)將生成的可疑PE文件送入可疑行為分析系統(tǒng)內(nèi)進(jìn)行檢測(cè)，檢測(cè)結(jié)果如下。如圖，該系統(tǒng)可以成功檢測(cè)到slide1.gif的惡意行為并報(bào)警，另外該系統(tǒng)也能對(duì)樣本發(fā)起的可疑C&C連接進(jìn)行檢測(cè)并報(bào)警。

　　防御方法

　　安裝微軟本月發(fā)布的最新補(bǔ)丁MS14-060。https：//technet.microsoft.com/library/security/MS14-060

　　天闐APT產(chǎn)品通過(guò)與天清NGIPS產(chǎn)品的聯(lián)動(dòng)，實(shí)現(xiàn)了對(duì)此類利用沙蟲(chóng)漏洞進(jìn)行攻擊的有效防護(hù)。當(dāng)檢測(cè)到樣本的惡意行為及后續(xù)可疑C&C連接行為后，天闐APT產(chǎn)品可自動(dòng)提取相關(guān)惡意行為的傳播特征及后續(xù)的連接行為特征，并將特征下發(fā)到其聯(lián)動(dòng)的NGIPS產(chǎn)品當(dāng)中，同時(shí)自動(dòng)生成防護(hù)策略，有效阻斷此次利用沙蟲(chóng)漏洞進(jìn)行的后續(xù)攻擊行為以及后續(xù)可能發(fā)生的同類攻擊。

　　天闐APT產(chǎn)品通過(guò)與現(xiàn)有天闐IDS、天清NGIPS、網(wǎng)閘等安全產(chǎn)品的聯(lián)動(dòng)，為客戶構(gòu)建了最為快捷有效抵御已知+未知攻擊的多層次立體化的檢測(cè)與防護(hù)體系，讓攻擊無(wú)所遁形。