近日,，騰訊御見威脅情報中心監(jiān)測到一例使用Flash 0day漏洞的APT攻擊,，攻擊者在特別構(gòu)造的excel文檔中嵌入flash對象，用戶打開文檔即會中毒,。騰訊安全已第一時間向Adobe官方上報該漏洞利用樣本，隨即獲得Adobe官方確認(rèn),。

從截獲的APT攻擊樣本來看,，目標(biāo)疑似某使用阿拉伯語的國家要害部門，攻擊者的意圖或在于獲取商業(yè)機(jī)密,、刺探國家情報,。對此，騰訊企業(yè)安全技術(shù)專家提醒各級政府機(jī)關(guān),、企業(yè)等廣大用戶,，及時將電腦中的Flash player更新到最新版本，企業(yè)用戶可使用騰訊御界等安全軟件來保護(hù)終端系統(tǒng)安全,。

（騰訊御界高級威脅檢測系統(tǒng)實時檢測APT攻擊威脅）

近年來,，伴隨國際貿(mào)易和各種交流的日益密切，互聯(lián)網(wǎng)在為跨國企業(yè)和國家之間提供高效的溝通工具的同時,，也帶來了新的安全威脅：以獲取商業(yè)機(jī)密,、刺探國家情報為目的的黑客攻擊，越來越多地出現(xiàn)在跨國企業(yè)和國家之間的不正當(dāng)競爭之中,。

在騰訊御見威脅情報中心監(jiān)測到的這起攻擊案例中,，攻擊者使用Flash 0day漏洞發(fā)起APT攻擊，使用的誘餌excel表格文件內(nèi)容為阿拉伯語言撰寫的外交部官員基本工資情況,，可推測為針對某阿拉伯語國家或地區(qū)的政府要害部門的攻擊,。對于從未被公開過技術(shù)細(xì)節(jié)的0day高危漏洞，在相關(guān)廠商修復(fù)之前,，幾乎無法做到有效防御,，可見攻擊者手段惡劣。

（騰訊御見威脅情報中心捕獲的攻擊樣本誘餌文檔）

騰訊御見威脅情報中心分析發(fā)現(xiàn),，攻擊者在誘餌文檔中嵌入一個在線的Flash對象,，用戶打開文檔后會自動加載該Flash文件（簡稱SWF1），而SWF1會通過網(wǎng)絡(luò)動態(tài)下載帶有0day漏洞攻擊代碼的另一個Flash文件（簡稱SWF2）,。SWF1和SWF2文件中的代碼均使用了高度混淆技術(shù),，其通過網(wǎng)絡(luò)獲取到的數(shù)據(jù)做了加密處理，通過多個復(fù)雜的技術(shù)手法,，實現(xiàn)在被攻擊目標(biāo)的電腦上最終啟動一個木馬,，令黑客成功入侵,，更多的情報刺探和破壞行動隨之而來。

（該Flash 0day漏洞野外攻擊流程）

憑借基于行為的防護(hù)和智能模型兩大核心能力,，騰訊御界高級威脅檢測系統(tǒng)已經(jīng)可以檢測并阻斷該輪Flash 0day漏洞野外攻擊連接行為,。通過對企業(yè)內(nèi)外網(wǎng)邊界處網(wǎng)絡(luò)流量的分析，御界高級威脅檢測系統(tǒng)可高效檢測未知威脅,，并及時感知漏洞的利用和攻擊,。

目前該Flash 0day漏洞攻擊并未在國內(nèi)發(fā)現(xiàn)，但用戶同樣不可放松警惕,。騰訊企業(yè)安全技術(shù)專家建議廣大政府,、企業(yè)用戶，切勿隨意打開來歷不明的文檔,，推薦部署御界高級威脅檢測系統(tǒng),，及時感知惡意流量，檢測釣魚網(wǎng)址和遠(yuǎn)控服務(wù)器地址在企業(yè)網(wǎng)絡(luò)中的訪問情況,，實時保護(hù)企業(yè)網(wǎng)絡(luò)信息安全,。