怎么进行Adobe Flash零日漏洞在野攻击预警分析

这篇文章将为大家详细讲解有关怎么进行Adobe Flash零日漏洞在野攻击预警分析，文章内容质量较高，因此小编分享给大家做个参考，希望大家阅读完这篇文章后对相关知识有一定的了解。

360核心安全高级威胁应对团队已截获该0day漏洞的在野攻击，攻击者在Office文档、网页、垃圾邮件内嵌入恶意Flash实施攻击，用户打开文件或链接就会中招！请相关单位和用户警惕来路不明的链接及文档，当前Adobe尚未发布官方补丁，攻击在进一步扩散中，使用360安全卫士可以全面防御和拦截可能出现的攻击。

在野攻击分析

攻击者对相关人员精心策划了社会工程学攻击，通过即时聊天工具和邮箱向相关人员发送包含漏洞及恶意代码的excel诱饵文档，诱骗受害者打开中招。

诱饵文档中包含了一个ActiveX对象，该对象对应的是一个swf文件，打开文档后ActiveX对象会自动播放flash内容。

诱饵文档中的flash播放后，下一步将从远程的web服务器加载利用flash零日漏洞（cve-2018-4878）的swf文件执行。

cve-2018-4878漏洞文件的url所在网站是一个正规的韩国公司网站，疑似该网站已经被攻击者入侵并完全控制，攻击者可以在网站上添加任意的恶意代码。

hxxp://www.dylboiler.co.kr/admincenter/files/boad/4/manager.php

进一步我们对截获的cve-2018-4878漏洞swf文件进行了分析，漏洞存在于flash的DRMManager对象，相关的方法调用没有正确的处理导致UAF（Use-After-Free）漏洞，通过修改ByteArray对象的Length可以完成任意内存读写执行，执行最终的shellcode代码，相关的攻击利用方法与几年前Hacking Team所曝光使用的Flash Exploit技巧类似。

shellcode最终将下载远程控制木马执行，通过对木马的分析，我们发现该木马疑似思科Talos实验室曝光的ROKRAT系列木马，该系列木马也曾被用于韩国办公软件HWP文档的恶意攻击。

关于怎么进行Adobe Flash零日漏洞在野攻击预警分析就分享到这里了，希望以上内容可以对大家有一定的帮助，可以学到更多知识。如果觉得文章不错，可以把它分享出去让更多的人看到。