Savaşan milleti öldürmek için, kendi kendini yok eden 0 günlük bir boşluk kullandı.
Eskiden yurttaşlarıyla aynı olan demir dostlar, şimdi birbirlerine düşman oluyorlar!
Hem Rusya hem de Ukrayna bir zamanlar Sovyetler Birliği üyesiydi. 2014 Kırım krizinden bu yana, başlangıçta "iyi kardeş" olan iki ülke arasındaki ilişkiler hızla donma noktasına geldi.
Hayır, bu iki talihsiz kardeş şu ana kadar durmadı - 25 Kasım'da üç Ukrayna donanma gemisi Rusya sınırından Kerç Boğazı'na doğru yola çıktı. Karşılaşma sırasında, Rus gemileri Ukrayna savaş gemilerine ateş açtı ve onları ele geçirdi, bu sansasyonel "Kerç Boğazı" olayıydı.
Olaydan sonra, herkes uluslararası baskı altında iki ülkenin çatışmayı bastırmak için müzakere edeceğini düşündüğünde, Ukrayna devleti aniden tam bir savaşa hazır duruma girdiğini açıkladı. Düşman kılıcı parlatırsa, Rusya nasıl eğilebilir? Daha sonra Rusya, Kırım Yarımadası'na dördüncü S-400 "Triumph" hava savunma füze taburunu konuşlandırdı ve iki ülke arasındaki savaş başlamak üzereydi.
Medyada, bu olayın yeni cumhurbaşkanlığı seçimlerini kazanmak için Ukrayna'nın şu anki Başbakanı Poroşenko'nun niyeti olduğuna dair daha da fazla spekülasyon var: Olayın ilk kez mayınları patlatmasını sağlamak için Poroshenko, G20 zirvesinden birkaç gün önce kendi "oyması" ile şaşkına döndü. Chi Boğazı olayı "ABD Başkanı Trump'ı Putin ile zirve için planlanan toplantıyı iptal etmeye zorladı.
Amerika Birleşik Devletleri: İki talihsiz şey yapın, yapmaya devam edin ~
Ancak ... henüz bitmedi! 4 Aralık'ta Leifeng.com, 360 Gelişmiş Tehdit Müdahale Ekibinin 29 Kasım'da küresel ölçekte ilk kez Rusya'ya karşı bir APT saldırısı keşfettiğini öğrendi. Bu saldırıya ilişkin örneklerin Ukrayna menşeli olduğunu ve saldırının hedefinin Rusya Federasyonu Cumhurbaşkanlığı İşleri İdaresi'ne yönlendirildiğini belirtmekte fayda var.
Tekrar yap? Haberi aldıktan sonra, dedikodu Leifeng.com hızlı bir şekilde 360 Group'un başkan yardımcısı Zheng Wenbin'i APT saldırısının giriş ve çıkışları hakkında kapsamlı bir anlayışa sahip olan iyi bir arkadaş buldu.
"Kendi kendini yok eden" Flash 0day güvenlik açığını oyna
APT (Advanced Persistent Threat) saldırısı, 360 tarafından "Poison Needle" işlemi olarak adlandırılıyordu. Operasyon, en son Flash 0day güvenlik açığı cve-2018-15982'yi kullanan bir Rus içerik çalışanı anketinden ve kendi kendini imha etme işlevine sahip özel bir Truva atı programından oluşuyordu. Belge başlangıçtır, saldırı süreci üç aşamaya ayrılmıştır:
1 > Saldırgan, nadir sıkıştırılmış paketi teslim ederek saldırıyı başlatır ve sıkıştırılmış paketteki sahte belgenin açılması işe alınır;
Güvenlik açığı belgesi saldırı süreci
2 > Kurban çalışan anketi belgesini açtığında, Flash 0day dosyası oynatılacaktır;
Flash 0day güvenlik açığını oynatın
3 > Güvenlik açığı tetiklendikten sonra, winrar açma programı sıkıştırılmış paketteki dosyaları değiştirecek ve son PE yükü backup.exe dosyasını çalıştıracaktır;
Güvenlik açığı yürütme işlem ağacı
Bununla birlikte, son derece hassas Rusya Federal Başkanlık İşleri İdaresi'ne saldırmak için seçilen bu Flash 0day güvenlik açığının büyülü gücü nedir?
CVE-2018-159820day güvenlik açığının, com.adobe.tvsdk.mediacore.metadata flash paketindeki bir UAF güvenlik açığı olduğu ortaya çıktı. Bu güvenlik açığının yardımıyla, kod isteğe bağlı kod çalıştırmak için kullanılabilir. Son yük analizinden, PE yükünün VMP tarafından güçlü bir şekilde şifrelenen bir arka kapı programı olduğu bulunmuştur. Şifre çözme işleminden sonra, ana programın ana işlevinin bir pencere mesaj döngüsü oluşturmak olduğu bulunmuştur Kendini yok etme iş parçacıkları zamanlama dahil olmak üzere 8 ana işlevsel iş parçacığı vardır.
Başka bir deyişle, bu şeyin "kendi kendini yok etme" işlevi vardır.
Zheng Wenbin Leifeng.com'a saldıran Truva Atı'nın zamanlanmış kendi kendini imha eden iş parçacığının tüm Truva atı virüslerini, günlükleri ve saldırı görevini tamamladıktan sonra bilgisayardaki kalan izleri yok edebileceğini söyledi. Aslında, 360 Security Brain'in güvenlik açıklarını keşfetme süreci, bir yapboz yapmak gibidir. Nihai amaç, son derece parçalanmış örnekleri ters itme yoluyla kademeli olarak geri yüklemektir. "
Bu açıdan bakıldığında, saldırının kendi kendini yok eden doğası gereği, 360 Güvenlik Beyninin işleyişindeki zorluk, zafiyeti keşfetme sürecinde doğal olarak çok artacaktır.
İlk değil mi? APT saldırısı erken başladı
29 Kasım öğleden sonra, QEX ekibi ve 360 Security Brain'den oluşan gelişmiş tehdit sanal alanı ekibi, sırasıyla gelişmiş tehditlerle başa çıkmak için araştırma teknolojisini kullandı. Bulut sanal alanı, Flash 0Day güvenlik açığını ilk kez tespit etti. Ardından, izleme ekibi örnek güvenlik açığının kaynağını analiz etti ve saldırının tam resmini geri getirdi ve sonunda bunu Rusya'ya yönelik bir APT saldırısı olarak belirledi.
Güvenlik açığı belge içeriği
Zheng Wenbin'in analizine göre, UAF güvenlik açığını kullanan saldırgan, GC'yi ASLR'yi atlamak için rastgele adres okuma ve yazma elde etmek için birden fazla UAF gerçekleştirmek için asılı bir işaretçi almaya zorladı ve sonunda, kabuk kodunu yürütmek için HackingTeam'in sızan kodunu kullanarak DEP / CFG'yi atladı.
Diğer bir deyişle, APT saldırısını başlatan saldırgan büyük olasılıkla "tekrarlanan bir suçlu" ve en son mağdur olan HackingTeam adlı İtalyan silah satıcısıydı.
Dünya çapındaki kolluk kuvvetlerine gözetim araçları satan az sayıdaki şirketten biri olan Hacking Team, hükümetin gazetecileri, aktivistleri, hükümetteki muhalif grupları ve hükümete yönelik diğer olası tehditleri istila etmesine ve izlemesine yardımcı oluyor.
Temmuz 2015'te şirket, bilgisayar korsanları tarafından saldırıya uğradı. Ağ silahlarının ve saldırı araçlarının büyük bir kısmı sızdırıldı. Bilgisayar korsanları, flaş güvenlik açıklarını atların geniş çapta yayılmasını sağlamak için kullandı. Toplam iletim miktarı milyonlara ulaştı ve tüm İnternet'in güvenliği için ciddi bir tehdit oluşturdu.
Hacking Ekibi saldırıya uğradı ve birçok bilgi sızdırıldı
Zheng Wenbin, Leifeng.com'a, bu tür saldırıların hedeflerinin az olduğunu ve genellikle devlet kurumlarında yoğunlaştıklarını, ancak neden olunan hasarın büyük bir fırtınaya neden olacak bir kelebek etkisi gibi olduğunu söyledi.
Örneğin, 2015 Noel döneminde, Ukrayna Devlet Güç Departmanı bir APT tarafından saldırıya uğradı. Batı Ukrayna'da 1,4 milyon sakin şiddetli kışta büyük çaplı bir elektrik kesintisine uğradı ve şehir paniğe düştü.
Bir ulusötesi APT saldırısının zamanında tespit edilip durdurulmaması halinde sonuçlarının felaket olacağı görülebilir.
Peki, bu APT saldırısının arkasında, saldırganın amacı nedir?
Ajansın resmi web sitesinde yer alan bilgilere göre, saldırıya uğrayan ajansın ait olduğu Rusya Federasyonu Başkanlık İşleri İdaresi, Rusya Federasyonu'nun en yüksek idari, yasama ve yargı makamlarının personeline, bilim adamlarına ve sanatçılarına hizmet veren profesyonel bir tıp kurumudur.
Saldırganın nedenini ve kimliğini tespit etmek henüz mümkün olmamakla birlikte, tıp kurumunun özel geçmişi ve hizmet verdiği hassas kişiler göz önüne alındığında, bu da saldırının bir yönlülük göstermesine neden oluyor.
Hastanenin tanıtımı
Neyse ki, saldırıdan sonra 360, 0day güvenlik açığının ayrıntılarını en kısa sürede Adobe yetkilisine bildirdi. 5 Aralık'ta Adobe, 0day güvenlik açığını gidermek ve 360 ekibine teşekkür etmek için Flash 32.0.0.101 sürümünü acilen resmi olarak yayınladı.
Netizen: Çok meşgulüm, Adobe bana bazı ödüller vermeyecek mi?
Güvenlik açığını keşfettikten sonra 360, ayrıntılı izleme sürecini önce Weibo'da yayınlamayı seçti. Bugün itibariyle çok sayıda netizen, içeriği beyin fırtınası olarak tanımlanabilecek mesaj ve yorum bıraktı.
Röportaj sırasında Leifeng.com ayrıca Zheng Wenbin'e sormak için iki soru seçti:
Weibo'da @ lakaplı bir netizen: "Ben de meşgulüm, Adobe bazı ödüller vermeyi düşünmüyor mu?"
Zheng Wenbin: Bence bunun iki tarafı var.Birincisi, 360 üreticilere bildirmek için birçok güvenlik açığı bulacak ve her üretici buna karşılık gelen ödül programları kuracak; ayrıca güvenlik açıkları hackerlar tarafından istismar edilmişse bu durum 0Day güvenlik açığının saldırıya uğraması ve risk seviyesine aittir. Ayrıca geliştirilecek, keşfedildikten sonra üreticiler daha fazla dikkat edecek;
Weibo'nun takma adı @ Geri dönen: "ABD'nin iki hatlı saldırısı? Sanırım Lao Mei'nin kılıcın arkasında olma olasılığı% 85."
Zheng Wenbin: Veri desteği olmadan kişisel spekülasyon güvenilmezdir. 360, APT saldırısının yönünü belirlemek için ilgili kanıtları tamamen mevcut örnekler üzerinden analiz eder. Belirli bir saldırganın kimliğini veya saldırganın açık niyetini belirlemek henüz mümkün değildir.
Aslında, güvenlik açığı keşfedilip ortaya çıkarıldıktan sonra, yalnızca üreticiler için erken uyarı etkisine sahip olmakla kalmaz, aynı zamanda saldırı planını geçici olarak askıya alır veya artık uygulanmaz hale getirir, bu da APT saldırılarının sürekli fermantasyonunu önlemede olumlu bir rol oynar.
"Yapay zeka teknolojisiyle desteklenen 360 Security Brain, on milyarlarca örnekte gelişmiş tehdit saldırılarını takip etmeyi başardı ve bu da karmaşık ağ sistemleri için yıkılmaz bir" güvenlik duvarı "oluşturacak."
Bu APT saldırısının mutlaka "Kerch Boğazı" olayıyla ilgili olduğunu düşünüyor musunuz? Bu APT saldırısı hakkında ne gibi benzersiz görüşleriniz var? Makalenin sonunda bir yorum bırakın ve herkesle paylaşın!
