2018年在野0day揭秘-威胁情报感知发现apt攻击.pdf

1、在野0day揭秘威胁情报感知发现apt攻击目录全球在野0DAY攻击回顾自主捕获的0DAY和APT攻击案例基于大数据的高级威胁感知技术监控和发现的APT近期在野0DAY攻击回顾2017年4月CVE-2017-0199HTAIn the Wild Attacks Leveraging HTA Handler火眼2017年6月CVE-2017-0261/2/3WordEPS Processing Zero-Days Exploited by Multiple Threat Actors火眼2017年7月CVE-2017-8464Lnk震网三代，360发布首个震网三代相关的隔离网络高级威胁攻击预警分析

2、报告3602017年9月CVE-2017-8759WordZero-Day Used in the Wild to Distribute FINSPY火眼2017年10月 CVE-2017-11826Word360代表中国厂商全球独家捕获在野0day漏洞（CVE-2017-11826）3602017年10月 CVE-2017-11292FlashBlackOasis APT and new targeted attacks leveraging zero-day exploit卡巴斯基2017年12月CVE-2018-0802Word360率先捕获噩梦公式二代漏洞，微软在2018年修复的首个在

3、野0day漏洞3602017年12月NULLWeb（国内某邮箱）360捕获利用国内某邮箱漏洞攻击的在野0day3602018年2月CVE-2018-4878Flash360国内首家捕获并分析预警，2018年第一个Adobe Flash零日漏洞在野攻击3602018年4月CVE-2018-8174Word&IE360捕获全球首例利用浏览器0day漏洞的新型Office文档在野攻击-双杀漏洞3602018年6月CVE-2018-5002Flash360在全球范围内率先捕获了使用Flash 0day漏洞的在野攻击3602018年7月CVE-2018-8373Word&IEUse-after-free

4、(UAF)Vulnerability CVE-2018-8373 in VBScript Engine Affects Internet Explorer to Run Shellcode趋势科技摩诃草组织常用语言或语种常用语言或语种简体中文、英文攻击前导攻击前导鱼叉邮件（二进制可执行文件）鱼叉邮件（文档型漏洞文件）鱼叉邮件（恶意网址）水坑攻击即时通讯工具社交网络0day利用的情况利用的情况CVE-2013-3906、CVE-2017-0199漏洞利用种类漏洞利用种类文档漏洞：CVE-2014-4114、CVE-2012-0158、CVE-2014-1761、CVE-2015-1641、CVE

5、-2010-3333、CVE-2013-3906、CVE-2017-0261、CVE-2017-0262Internet Explorer漏洞：CVE-2012-4792Java漏洞：CVE-2012-0422针对操作系统针对操作系统WindowsMac OS XAndroid横向移动横向移动暂不披露驻留机制驻留机制暂不披露RAT种类种类大类至少7种以上主要攻击手法沙箱逃逸使用0DAY精心构造恶意的word文档标签和对应的属性值造成远程任意代码执行与CVE-2015-1641漏洞有非常多的共同之处，是一例典型的类型混淆漏洞CVE-2017-11826在野攻击CVE-2017-11826在野攻击

6、在“噩梦公式一代”的补丁中没有修复另一处拷贝字体FaceName时的栈溢出攻击者构造恶意数据，覆盖了漏洞函数返回地址的后两个字节，然后将控制流导向了位于栈上的shellcode，巧妙绕过地址随机化保护。噩梦公式二代在野攻击OLEOLECVE-2018-08020day公式对象公式对象CVE-2017-11882Nday公式对象公式对象1.样本包含两个公式样本包含两个公式OLE同时同时发起发起攻击攻击一个使nday漏洞公式对象一个使用0day漏洞公式对象2.0day漏洞触发执行流漏洞触发执行流绕过公式编辑器进程的ASLR保护3.在野攻击按在野攻击按payl