HT工具泄露 安恒APT产品无需升级即可检测
根据安恒信息研究院对公布的攻击样本进行分析发现,攻击样本包含多种0day样本,包括flash bytearray uaf漏洞、windows内核字体提权漏洞等,涉及的样本和漏洞多种类型,以下是部分攻击样本的截图:
目前这些0day漏洞和网络攻击工具已经在全球互联网被快速的传播和公开下载。这些工具和漏洞有可能被其他恶意攻击者利用进行APT攻击,将对用户所在的网络环境造成不可预估的损失与破坏。
安恒信息研究院在获取到相关讯息后,通过“明御APT攻击(网络战)预警平台”对其中所有的攻击代码、0day漏洞和网络攻击工具进行了恶意文件静态行为技术监测、动态沙箱分析等技术分析,最终结果显示“明御APT攻击(网络战)预警平台”在未升级策略的情况下能够全面检测出所有利用攻击代码、0day漏洞和网络攻击工具,并进行告警。
以下是分析到的告警详细信息:
由于这些0day漏洞和网络攻击工具已被泄露,可能会被恶意攻击者进行改造利用,安恒信息研究院将Hacking Team泄漏的0day漏洞和攻击代码进行了多种方式的修改汇编和加密,模拟真实黑客的攻击手法对“明御攻防实验室”网络靶机进行实验攻击,结果依然被“明御APT攻击(网络战)预警平台”检测到并告警。
目前,已经监控到有黑客开始利用该漏洞进行攻击,以下截图为捕获到的攻击告警信息,安恒信息研究院建议用户及时采取安全措施,部署专业的APT分析产品来及时预警当前网络中可能存在的各种威胁,一旦发现类似威胁,需要尽快定位被影响的主机,及时进行隔离和删除攻击样本,并持续监控网络中是否存在木马回连和数据泄露等恶意行为,这些行为可能是已经被成功植入恶意程序,需要立即阻断和封锁IP。同时,对于普通用户来说,也可通过一些必要的手段来预防此类安全风险,如禁用浏览器flash插件或者不打开不熟悉的网站等。
