俄总统事务管理局受网络攻击 “调查问卷”触发0day漏洞

　　11月29日，360安全大脑发现了一个来自Adobe的Flash软件的0day漏洞并第一时间将此漏洞的细节报告了Adobe官方，12月5日Adobe也加急发布了新的Flash32.0.0.101版本修复了此次0day漏洞，并在官网致谢360团队。

　　360这次“捕获”的这个漏洞是因为来自于一次针对俄罗斯联邦总统事务管理局所属医疗机构的APT攻击，此次攻击相关样本来源于乌克兰。从这次攻击的种种细节来看，过程中的精彩程度完全不输任何一部好莱坞大片。笔者也来一一解读。

　　看点一：攻击对象选择显“心机”

　　攻击者对于所攻击方的职业习惯和心理进行了缜密分析，利用了俄文的员工调查问卷，使得此次APT攻击的成功率得到提升。此外，按照被攻击的网站（http://www.p2f.ru）介绍，该机构成立于1965年，创始人是俄罗斯联邦总统办公室，目前所属俄罗斯联邦总统事务管理局，是专门为俄罗斯联邦最高行政、立法、司法当局的工作人员、科学家和艺术家提供服务的专业医疗机构。由于这次攻击属于360在全球范围内的首次发现，结合被攻击目标医疗机构的职能特色，360将此次APT攻击命名为“毒针”行动。目前虽然还无法确定攻击者的动机和身份，但该医疗机构的特殊背景和服务的敏感人群，使此次攻击表现出了一些定向性。

实施攻击的工具——调查问卷

　　看点二：自毁线程操作精妙，风骚走位令人惊艳

　　360安全大脑经过漏洞分析发现，利用代码借助uaf漏洞，可以实现任意代码执行。从最终荷载分析发现， PE荷载是一个经过VMP强加密的后门程序，通过解密还原，我们发现主程序主要功能为创建一个窗口消息循环，有8个主要功能线程，其中包括定时自毁线程。在《碟中谍》系列电影中，汤姆·克鲁斯饰演的伊桑每次都通过能自毁的各种装置接收任务,看上去炫酷高级，而本次攻击在完成任务之后，也会开启自毁线程。当然，就算这样，还是被老牌特工360给逮住了。

　　看点三：APT攻击暗流涌动，360持续关注

　　APT（Advanced Persistent Threat）是指高级持续性威胁。 APT攻击的原理相对于其他攻击形式更为高级和先进，体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集等方面。近年来，爆发在全球各地区的APT攻击事件也让各国对于APT愈发重视，例如在2015年圣诞节期间乌克兰国家电力部门就受到了APT攻击，使乌克兰西部的 140 万名居民在严寒中遭遇了停电，城市陷入恐慌。与此同时，360，FireEye,卡巴斯基等领先的安全厂商，对于APT已经开展了长期的监测和分析工作。在此次针对俄罗斯重要机构的APT攻击中，360安全大脑在全球范围内第一时间发现了本次攻击，想来是攻击者始料未及的。此处替攻击者捏在手里的0day漏洞表示惋惜，不是你藏得不够深，实在是360安全大脑功夫深。

　　网络虚拟世界的硝烟仍未散去，360将会对此事保持密切关注，同时依然实时监控全球APT攻击，为所有爱好和平的人们提供威胁情报。

（责任编辑：王蔚）