微软安全承诺:应对STRONTIUM攻击的技术防御与漏洞响应

本文详细分析了STRONTIUM攻击活动组利用Adobe Flash和Windows内核零日漏洞的技术细节,介绍了微软通过Windows 10安全更新、Windows Defender ATP行为检测和协同漏洞披露机制实现的主动防御策略。

お客様のセキュリティに対するマイクロソフトの約束

Japan Security Team
2016年11月4日・12分钟阅读

本文是Microsoft Malware Protection Center Threat Research & Response博客文章《Our commitment to our customers’ security》(2016年11月1日美国时间发布)的翻译版本。

此为Terry Myerson(Windows和设备集团执行副总裁)的客座文章。

Windows是唯一向客户承诺能够快速调查已报告安全问题、并主动尽快更新受影响设备的平台。微软非常严肃地对待这一责任。

近日,被Microsoft Threat Intelligence称为STRONTIUM的活动组实施了一次小规模鱼叉式网络钓鱼活动。使用Windows 10周年更新版Microsoft Edge的客户已受到保护,免受当前已知此版本攻击的影响。该攻击活动由Google Threat Analysis Group识别,通过利用Adobe Flash和低版本Windows内核中的两个零日漏洞,针对特定客户。

我们正与Google和Adobe合作调查此恶意活动,并为低版本Windows创建修复程序。所有Windows版本的修复程序目前正由众多行业合作伙伴验证,预计将在下一个月度更新发布日——2016年11月8日(美国时间)公开。

微软认为,在负责任地参与技术行业时,必须以客户为先,并遵循协同漏洞披露(CVD)。在修复程序广泛发布和验证之前披露漏洞信息的Google决定不值得称赞,且会使客户面临额外风险。

为应对此类复杂攻击,微软建议所有客户升级至Windows 10。Windows 10是我们迄今为止打造的最安全的操作系统,为消费者和企业提供安全堆栈各层的高级保护。启用Windows Defender Advanced Threat Protection(ATP)的客户可以检测STRONTIUM的攻击尝试,这得益于ATP的全面行为检测分析和最新威胁情报。

-Terry

STRONTIUM:简要历史

微软将威胁活动详情(恶意软件、基础设施、受害者分类和攻击者技术)按活动组聚合,以帮助读者理解网络攻击的真正原因。STRONTIUM通常是一个以政府机构、外交部门和军事组织以及相关民间组织(如军事工业和公共政策研究所)为目标的活動组。微软分析认为,在2016年发生的零日漏洞利用中,STRONTIUM的参与次数超过其他任何被追踪的组。STRONTIUM的常用手法包括:从第一个受感染的电子邮件账户向第二个受害者发送恶意电子邮件,并持续数月攻击特定目标,直至成功入侵计算机。一旦侵入内部,STRONTIUM会在受害者网络内自由移动,尽可能深入地渗透以获取持久访问,并窃取机密信息。

漏洞利用详情

为使此攻击成功,STRONTIUM需要完成以下三个步骤:

  1. 利用Flash控制浏览器进程
  2. 通过权限提升逃逸浏览器沙箱
  3. 安装后门以确保对受害者计算机的访问

微软提供了多项威胁防御和漏洞利用缓解功能来禁用这些步骤。

Adobe Flash利用:CVE-2016-7855

根据Windows Defender ATP漏洞研究团队和微软安全响应中心(MSRC)进行的分析,STRONTIUM利用的Adobe Flash漏洞是一个释放后使用问题,影响ActionScript运行时代码。Adobe已发布修复此漏洞的更新。微软正与Adobe合作,积极实施针对此类利用的额外缓解措施。

权限提升

STRONTIUM用于权限提升的Windows内核漏洞存在于从Windows Vista到Windows 10周年更新版的所有操作系统中。然而,在此攻击发生之前,微软已在Windows 10周年更新版的Win32k内核组件中实施了新的漏洞利用缓解措施。这些包含在Windows 10周年更新中的缓解措施基于主动的内部研究开发,可防止当前所有已知的利用实例。

后门安装

权限提升成功后,后门会被下载并写入文件系统,在浏览器进程中执行。但是,后门DLL(及其他不可信软件)可以通过严格的代码完整性策略被阻止。Microsoft Edge默认实施代码完整性,防止此利用后步骤。Internet Explorer和其他浏览器的用户可以通过使用Device Guard来保护免受漏洞影响。

Windows Defender ATP中的攻击检测

多个行为和基于机器学习的检测规则在当前STRONTIUM攻击的杀伤链不同环节发出警报。Windows Defender ATP通常可以无签名检测攻击的多个阶段,例如浏览器进程在磁盘上创建不熟悉的DLL库、意外的进程令牌或完整性级别更改(EoP),以及在异常进程条件下最近创建的DLL库的加载(图3)。

此外,由Microsoft Threat Intelligence发现的此攻击特定威胁情报和IOC功能已添加到Windows Defender ATP和Office 365 ATP中。这些警报与Windows Defender ATP客户门户中提供的现有STRONTIUM威胁概述和详细配置文件一致。

有关更多详细信息,请参阅Windows 10上Windows Defender ATP服务的特性和功能,以及关于高级威胁入侵后处理的白皮书。

我们衷心感谢Google Threat Analysis Group的Neel Mehta和Billy Leonard在调查这些问题时提供的帮助。

标签: APT, CVE-2016-7855, Microsoft Edge, Microsoft Threat Intelligence, STRONTIUM, Terry Myerson, Windows 10, Windows Defender ATP, 特権の昇格

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次