今日頭條
官方微信
官方抖音
資訊頻道一、前言
高級可持續性攻擊,又稱APT攻擊,通常由國家背景的相關攻擊組織進行攻擊的活動。APT攻擊常用于國家間的網絡攻擊行動。主要通過向目標計算機投放特種木馬(俗稱特馬),實施竊取國家機密信息、重要企業的商業信息、破壞網絡基礎設施等活動,具有強烈的政治、經濟目的。
隨著中國國際地位的不斷崛起,各種與中國有關的政治、經濟、軍事、科技情報搜集對專業黑客組織有極大的吸引力,使中國成為全球APT攻擊的主要受害國之一,針對中國境內的攻擊活動在2018年異常頻繁。多個境外攻擊組織輪番對中國境內的政府、軍事、能源、科研、貿易、金融等機構進行了攻擊。活躍的攻擊組織包括海蓮花、蔓靈花、白象、DarkHotol等。不僅如此,中國周邊的國家以及中國的"一帶一路"國家,也成為APT組織重點關注的對象。
APT組織的高端攻擊技巧對普通網絡黑產從業者起到教科書般的指導示范作用,一些剛出現時的高端攻擊技巧,一段時間之后,會發現被普通黑產所采用。比如在精心構造的魚叉釣魚郵件附件中使用帶漏洞攻擊或宏代碼攻擊的特殊文檔,利用高危漏洞入侵企業服務器系統等。針對企業的APT攻擊最終會殃及普通網民,2018年典型的攻擊案例之一是黑客團伙對驅動人生公司的定向攻擊,通過控制、篡改服務器配置,利用正常軟件的升級通道大規模安裝云控木馬。
騰訊御見威脅情報中心高級持續性威脅(APT)研究小組在長期對全球范圍內的APT組織進行長期深入的跟蹤和分析,我們根據我們的研究成果以及各大安全廠商的APT攻擊報告,完成了該份2018年APT研究報告。
二、APT全球攻擊概況
為了掌握APT攻擊在全球的活動情況,騰訊御見威脅情報中心的研究團隊針對全球所有安全團隊的安全研究報告進行研究,并提取了相關的指標進行持續的研究和跟蹤工作。我們發現,在2018年全年,我們發現共有35個安全機構發布了208篇APT相關的研究報告,涉及個58個APT組織。當然由于安全公司眾多,監測可能有所遺漏,敬請諒解。
經過統計,相關攻擊報告最多的幾個APT組織如下(只選取報告中有明確組織信息的):
針對被攻擊地區分布,相關的安全報告的統計如下(之選取報告中有明確的攻擊組織和對象):
由此可以看出,無論是攻擊組織和攻擊報告數量,東亞和東南亞都遙遙領先于世界其他地區,是專業APT組織特別關注的敏感地域。而由于中東局勢的混亂,針對中東地區的APT攻擊和組織也相對較多。歐洲和北美則保持精英化的狀態,雖然攻擊組織不多,但是都是實力雄厚的攻擊組織。
三、針對中國境內的APT攻擊
隨著中國在全球化進程中影響力的不斷增長,中國政府、企業及民間機構與世界各國聯系的不斷增強,中國已成為跨國APT組織的重點攻擊目標。中國也是世界上受APT攻擊最嚴重的國家的之一。
1、針對中國境內的APT組織分布
至2018年12月底,騰訊御見威脅情報中心已監測到2018年針對中國境內目標發動攻擊的境內外APT組織至少有7個,且均處于高度活躍狀態。下表列出部分攻擊組織的相關活動情況:
2、針對中國境內的攻擊的行業和地域分布
根據騰訊御見威脅情報中心的統計顯示(不含港澳臺地區):2018年,中國大陸受APT攻擊最多的地區是遼寧、北京和廣東,其次是湖南、四川、云南、江蘇、上海、浙江、福建等地。詳見下圖(不含港澳臺地區)。
而從行業上的分布,政府部門依然是APT組織最為關注的目標,其次能源、通信、航空、軍工、核等基礎設施也是重要的攻擊目標。而近些年來,金融、貿易、科研機構、媒體等行業也逐漸的被一些APT組織列為了攻擊目標。
3、針對中國境內的重點攻擊活動盤點
1)海蓮花(OceanLotus、APT32)
海蓮花APT組織是一個長期針對中國及其他東亞、東南亞國家(地區)政府、科研機構、海運企業等領域進行攻擊的APT組織。該組織也是針對中國境內的最活躍的APT組織之一。2018年該組織多次對中國境內的目標進行了攻擊,騰訊御見威脅情報中心也多次發布了該組織的相關攻擊動向。
海蓮花攻擊組織擅長使用魚叉攻擊和水坑攻擊,NSA的武器庫曝光后,同樣還使用了永恒系列漏洞進行了攻擊。除此,投遞的攻擊武器也是種類繁多,RAT包括Denis、CobaltStrike、PHOREAL、salgorea等。
白加黑攻擊
白加黑攻擊是海蓮花組織常用的攻擊方式之一,該組織在今年的攻擊活動中多次使用了該方式。白加黑組合包括dot1xtray.exe+ rastls.dll、SoftManager.exe+dbghelp.dll等。
腳本攻擊
使用bat生成加密的js:
最終在內存中調用loader類,加載最終的由CobaltStrike生成的beacon.dll木馬:
2)DarkHotel(黑店)
DarkHotel(黑店)是一個被認為來自韓國的APT組織(亦有研究團隊認為與朝鮮有關),該組織是近幾年來最活躍的APT組織之一,主要攻擊目標為電子行業、通信行業的企業高管及有關國家政要人物,其攻擊范圍遍布中國、朝鮮、日本、緬甸、俄羅斯等多個國家。
該組織技術實力深厚,在多次攻擊行動中都使用了0day進行攻擊,比如今年新曝光的CVE-2018-8174、CVE-2018-8373等。表明該組織實力雄厚,為達目標,不惜代價。在2018年,該組織也多次針對中國的目標進行了攻擊活動,如針對中朝貿易公司的高管、香港某貿易公司高管等。
該組織的一大特色是喜歡把木馬隱藏在開源的代碼中進行偽裝,如putty、openssl、zlib等,把少量木馬代碼隱藏在大量的開源代碼中,從而實現躲避檢測的目的,因此將被稱為“寄生獸”。
注:2018年12月,大量機構(其中不乏國家要害機構)的內部系統因采用的某開源代碼設計了一個界面彩蛋而引發嚴重風波,也證實許多機構在使用開源代碼時,并未仔細進行代碼審計,從而有可能在引入的開源系統中,混入的有害代碼不被察覺。
針對幾次攻擊活動,騰訊御見威脅情報中心也進行了披露。
如使用msfte.dll和msTracer.dll,來進行持久性攻擊,并把下發的shellcode隱藏在圖片文件中:
DarkHotel(黑店)APT組織用于隱藏惡意代碼的圖片之一
DarkHotel(黑店)APT組織用于隱藏惡意代碼的圖片之二
同時通過下發插件的方式,完成相關的任務:
3)白象(摩訶草、Patchwork)
白象是一個來自于南亞地區的境外APT組織,組織主要針對中國、巴基斯坦等亞洲地區和國家的政府機構、科研教育領域進行攻擊。部分基礎設施和代碼和蔓靈花、孔子重合,這幾個組織間疑似有千絲萬縷的關系。
該組織在2018年同樣多次對中國的多個目標進行了攻擊活動。該組織同樣使用魚叉攻擊,誘餌文檔帶有強烈的政治意味:
白象APT組織使用的誘餌文檔之一
白象APT組織使用的誘餌文檔之二
最終釋放的特馬為開源的Quasar RAT:
4)蔓靈花(BITTER)
蔓靈花APT組織是一個長期針對中國、巴基斯坦等國家進行攻擊活動的APT組織,該組織主要針對政府、軍工業、電力、核等單位進行攻擊,竊取敏感資料,具有強烈的政治背景。
2018年,騰訊御見威脅情報中心多次捕捉到了該組織針對中國境內多個目標的攻擊活動, 并發布了分析報告《蔓靈花(BITTER)APT組織針對中國境內政府、軍工、核能等敏感機構的最新攻擊活動報告》。
該組織主要使用魚叉釣魚進行攻擊,投遞偽裝成word圖標的自解壓文件:
運行后,除了會執行惡意文件外,還會打開一個doc文檔,用于迷惑用戶,讓用戶以為打開的文件就是一個doc文檔。誘餌文檔內容極盡誘惑力:
最終會下發鍵盤記錄、上傳文件、遠控等插件,完成資料的竊取工作。
同時經過關聯分析,我們還發現該組織疑似和白象、孔子(confucius)等組織也有千絲萬縷的關系。該組織的圖譜如下:
5)窮奇&藍寶菇
窮奇和藍寶菇疑似來自東亞某地區的攻擊組織,主要針對中國大陸的政府、軍事、核工業、科研等敏感機構進行攻擊活動。該兩個組織之間使用的攻擊武器庫有部分重疊,以至于很長一段時間我們都認為是同一個組織。因此我們猜測,這兩個組織為同一攻擊團隊的兩個小組。
藍寶菇在2018年多次對中國大陸的目標進行了攻擊,包括上海進博會期間的攻擊。
藍寶菇APT組織使用的誘餌文檔之一
藍寶菇APT組織使用的誘餌文檔之二
最終的攻擊武器包括bfnet遠控、竊取文件的powershell腳本等。
四、APT攻擊技術
1、攻擊方式
魚叉攻擊
2018年,魚叉攻擊依然是APT攻擊的最主要方式,使用魚叉結合社工類的方式,投遞帶有惡意文件的附件,誘使被攻擊者打開。雖然該方式攻擊成本極低,但是效果卻出人意料的好。這也進一步體現了被攻擊目標的人員的安全意識亟需加強。從曝光的APT活動來看,2018年使用魚叉攻擊的APT活動比例高達95%以上。
如DarkHotel(黑店)APT組織針對中國某行業精心設計的釣魚郵件:
水坑攻擊
水坑攻擊也是APT組織常用的攻擊手段,2018年,海蓮花、socketplayer等組織均使用過該攻擊方式。除了插惡意代碼外,攻擊者還會判斷訪問該頁面的訪問者的ip,只有當訪問者在攻擊目標的ip范圍內,也會進行下一步的攻擊動作,依次來防止誤傷。
如某次海蓮花攻擊,該攻陷網站的某個js上插入了一段代碼,用于訪問惡意代碼:
遠程可執行漏洞和密碼爆破攻擊
除了魚叉和水坑攻擊,利用遠程可執行漏洞和服務器口令爆破進行攻擊,也成為了一種可選的攻擊方式。如專業黑客組織針對驅動人生公司的攻擊,該黑客組織得手后已對普通網民產生極大威脅。
2、攻擊誘餌種類
APT攻擊中,攻擊誘餌種類也是紛繁復雜,包括如下幾類:
文檔類:主要是office文檔、pdf文檔
腳本類:js腳本、vbs腳本、powershell腳本等
可執行文件:一般為經過RLO處理過的可執行文件、自解壓包
lnk:帶漏洞的(如震網漏洞)和執行powershell、cmd等命令的快捷方式
網頁類:html、hta等
其中,以office文檔類誘餌為最多,占80%以上。而office文檔中,payload的加載方式也包括利用漏洞(0day和Nday)、宏、DDE、內嵌OLE對象等
宏:在APT攻擊中,使用宏來進行攻擊的誘餌,占所有攻擊的誘餌的50%左右
注意工具欄下的宏安全警告
漏洞:構造的惡意誘餌中,使用漏洞占比也有40%左右
在office漏洞利用中,攻擊者最愛的依然還是公式編輯器的漏洞。包括CVE-2017-11882、CVE-2018-0802以及比較少見的CVE-2018-0798。此外IE漏洞CVE-2018-8174、CVE-2018-8373,和flash漏洞CVE-2018-4878、CVE-2018-5002、CVE-2018-15982也有APT組織使用,但是并未大規模使用開來。
DDE:DDE在2018年年初的時候有過一段火熱期
包括APT28、Gallmaker等APT組織都使用過DDE來進行攻擊。
3、APT攻擊的技術趨勢
1)Fileless攻擊(無文件攻擊)越來越多
隨著各安全廠商對PE文件的檢測和防御能力不斷的增強,APT攻擊者越來越多的開始使用無PE文件落地的攻擊方式進行攻擊。其主要特點是沒有長期駐留在磁盤的文件、核心payload存放在網絡或者注冊表中,啟動后通過系統進程拉取payload執行。
該方式大大增加了客戶端安全軟件基于文件掃描的防御難度。海蓮花、污水(MuddyWater)、APT29、FIN7等攻擊組織都擅長使用該方式進行攻擊。
如海蓮花組織事先的通過計劃任務執行命令,全程無文件落地:
2)C&C存放在公開的社交網站上
通信跟數據回傳是APT攻擊鏈中非常重要的環節,因此如何使得通信的C&C服務器被防火墻發現成為了攻擊者的難題。因此,除了注冊迷惑性極強的郁悶、使用DGA、隱蔽信道等方式外,攻擊者把目光集中到了公開的社交網絡上,如youtube、github、twitter等上。
如某次針對英國和瑞士的攻擊,C&C存放地址:
YouTube:
Twitter:
Wordpress博客:
Google plus:
3)公開或者開源工具的使用
往往,APT組織都有其自己研發的特定的攻擊武器庫,但是隨著安全廠商對APT組織研究的深入,APT組織開始使用一些公開或者開源的工具來進行攻擊,以此來增加溯源以及被發現的難度。
如SYSCON/KONNI,使用開源的babyface木馬和無界面的teamview(著名遠程控制工具)來進行攻擊:
4)多平臺攻擊和跨平臺攻擊
移動互聯網的成熟,使得人們已經很少在工作之余使用電腦里,因此使用移動端來進行攻擊,也越來越被APT攻擊組織使用。此外Mac OS的流行,也是的APT攻擊者也開始對Mac OS平臺進行攻擊。
如“人面馬”(APT34)、蔓靈花、Group123、雙尾蝎(APT-C-23)、黃金鼠(APT-C-27)等組織都擅長使用多平臺攻擊。此外黃金鼠(APT-C-27)還使用了在APK中打包了PE文件,運行后釋放到移動端外置存儲設備中的圖片目錄下,從而實現跨平臺的攻擊:
而除了PC端和移動端,路由器平臺的也稱為了APT組織的攻擊對象,如VPNFilter,已經攻擊了10多個國家的至少50萬臺的路由器設備。
五、2018年重要的攻擊活動和組織
1、2018年活躍境外APT組織盤點
1)中東
在中東地區活躍的APT組織包括APT33、APT34(人面馬)、MuddyWater(污水)、黃金鼠等。其中數MuddyWater(污水)最為活躍。騰訊御見威脅情報中心也多次曝光過該組織的攻擊活動。
如MuddyWater針對土耳其安全部門的攻擊活動:
該組織的最大特點就是使用了一個用powershell腳本寫的RAT,并且往往內置多個C&C地址,某次內置了500多個C&C地址。
2)歐洲
針對歐洲地區,活躍的APT組織包括APT28、APT29、Fin7、Turla、Gamaredon Group、Gallmaker等,但其中數APT28最為活躍。APT28是活躍在歐洲地區乃至全球的最活躍的APT攻擊組織之一,該組織疑似與俄羅斯情報機構GRU有關。
在2018年,該組織異常活躍,尤其是進入9月份以來,APT28使用zebrocy特馬對烏克蘭、白俄羅斯、北約等目標頻繁的進行了攻擊。不僅攻擊頻繁,其特馬的版本也非常多樣,包括C#、delphi、C++、GO、AutoIt等均被使用過。而最終的第二階段特馬,除了之前常用的Xagent、Seduploader外,還出現了名為"Cannon"的特馬,而"Cannon"目前也已經發現了delphi和C#兩個版本。
如針對白俄羅斯的魚叉攻擊:
3)東亞、東南亞
東亞、東南亞地區活躍的APT組織眾多,除了海蓮花、白象、蔓靈花、DarkHotel等,還包括Lazarus、Group123(APT37)、SideWinder、Donot Team等組織對朝鮮、韓國、巴基斯坦、印度、越南、柬埔寨、馬來西亞等國家進行攻擊。如Group123,2018年針對韓國、日本、越南等國家進行了攻擊活動。
4)北美
針對北美的攻擊,有APT28、APT29、Fin7、Lazarus 等,其中Lazarus APT組織是針對美國金融和政府進行攻擊的活躍的APT組織。騰訊御見威脅情報中心也對相關活動進行了披露,如使用Flash漏洞CVE-2018-4878進行攻擊活動:
除此,2018年6月,美國司法部還對lazarus的組織成員進行了起訴:
2、2018年新被披露的APT組織
1)響尾蛇(SideWinder)
響尾蛇(SideWinder)APT攻擊組織是一個疑似來自印度的攻擊組織,主要針對巴基斯坦等南亞國家的軍事目標進行攻擊。該組織的攻擊活多最早可追溯到2012年,但是該組織最早在2018年5月由騰訊御見威脅情報中心進行了公開披露。
某次攻擊活動的攻擊流程圖:
最終會收集相關計算機信息,發送給C&C服務器:
2)White Company
該組織針對巴基斯坦的空軍進行了代號為"沙欣行動"的APT攻擊活動,該行動和組織最早在2018年11月被cylance公司進行了披露。
該組織有極強的技術能力,還有完善的攻擊武器利用平臺,可以根據目標環境不同隨時研發客制化工具。
該組織所使用的惡意代碼能夠規避大多數主流殺毒軟件的檢測,包括Sophos、ESET、Kaspersky、BitDefender、Avira、Avast、AVG和Quickheal。另外,在這場間諜活動中被使用的惡意軟件實現了至少五種不同的打包技術,為最終的有效載荷提供了極有效的保護。
3)WindShift
WindShift組織是一個針對中東地區的政府部門和關鍵基礎設施部門的特定工作人員進行攻擊的APT組織,該組織可利用自定義URL Scheme來遠程感染macOS目標。該組織最早在2018年8月的新加坡HITB GSEC會議上由Dark Matter LLC公司的安全研究員進行了披露。
該組織攻擊目標均位于所謂的海灣合作委員會(GCC)地區,即沙特阿拉伯,科威特,阿聯酋,卡塔爾,巴林和阿曼。這些目標被發送包含黑客運行的網站的鏈接的郵件。一旦目標點擊鏈接,且受害者進行了交互,則會下載被稱為 WindTale 和 WindTape 的惡意軟件并進行感染。
4)Gallmaker
Gallmaker組織是一個以政府、軍事、國防部門及東歐國家的海外使館為攻擊目標的APT組織,該組織至少自2017年12月開始運營,最近一次的活動在2018年6月。該組織在在2018年10月由賽門鐵克進行了曝光。
該組織最大的特點是使用公開的工具進行攻擊,因此來隱藏自己的身份。
如某次攻擊活動:
攻擊成功后,他們就會使用下列公開的攻擊工具:
WindowsRoamingToolsTask:用于調度PowerShell腳本和任務
Metasploit的“reverse_tcp”:通過PowerShell來下載該反向shell
WinZip控制臺的合法版本:創建一個任務來執行命令并與C&C通信,它也可能用于存檔數據或者過濾新
Rex PowerShell庫:github上開源的庫,該庫幫助創建和操作PowerShell腳本,以便于Metasploit漏洞一起運行
5)Donot Team
Donot Team是針對巴基斯坦等南亞國家進行攻擊的APT組織,該組織最早在2018年3月由NetScout公司的ASERT團隊進行了披露,隨后國內的廠商360也進行了披露。
該組織采用魚叉攻擊進行攻擊,并且該組織有成熟的惡意代碼框架EHDevel和yty,目前已經至少已經更新到了4.0版本:
6)Gorgon Group
Gorgon Group是一個被認為來自巴基斯坦的攻擊組織。該組織在8月份由Palo Alto的Unit42團隊進行了披露。和其他組織不同的是,該組織最常見的攻擊是針對全球的外貿人士進行攻擊,同騰訊御見威脅情報中心多次披露的"商貿信",但是奇怪的是,該組織還發現針對英國、西班牙、俄羅斯、美國等政府目標發起了攻擊。
針對撒網式的外貿目標,主要的文件名包括:
SWIFT {日期}.doc
SWIFT COPY.doc
PURCHASE ORDER {隨機數}.doc
DHL_RECEIPT {隨機數}.doc
SHIPPING RECEIPT {日期}.doc
Payment Detail.doc 等
而所用的武器庫均為一些商用的RAT,包括:
Azorult
NjRAT
RevengeRAT
LokiBot
RemcosRAT
NanoCoreRAT等
而針對政府的定向攻擊,主要使用一些政治意味強的文件名,如
Rigging in Pakistan Senate.doc
Raw Sect Vikram report on Pak Army Confidential.doc
Afghan Terrorist group report.doc等
3、2018年使用0day進行攻擊的APT組織
1)DarkHotel
DarkHotel在2018年多次使用IE 0day漏洞對攻擊目標進行了攻擊。其中CVE-2018-8174,該漏洞由國內的廠商360和國外的卡巴斯基進行了披露,而另一個漏洞CVE-2018-8373則由趨勢科技進行了披露。
2)Lazarus
Lazarus使用Flash漏洞CVE-2018-4878針對韓國的目標進行了攻擊。該在野0day最早被韓國CERT進行了披露。
3)BlackTech
BlackTech使用office漏洞CVE-2018-0802針對相關目標進行了攻擊,該漏洞是公式編輯器的一個漏洞,如今已經成為攻擊者最愛使用的office漏洞。該漏洞最早由騰訊御見威脅情報中心進行了披露。
4)HackingTeam
HackingTeam在2018年也多次使用了Flash 0day漏洞對相關目標進行了攻擊。其中CVE-2018-5002由騰訊御見威脅情報中心和360以及國外廠商ICEBRG進行了披露,另一個漏洞CVE-2018-15982則由國內的廠商360和國外的廠商Gigamom進行了披露。
如CVE-2018-5002的攻擊過程:
5)FruityArmor
FruityArmor組織在針對中東的目標的時候也使用了一個0day CVE-2018-8453在野漏洞,所幸該漏洞只是提權漏洞,未像遠程執行漏洞一樣造成大的危害。該在野0day由卡巴斯基進行了披露。
6)其他
在2018年,還發生了一件有意思的是,某個攻擊者在把攻擊樣本上傳到VT進行測試的時候,無意中泄露了兩枚0day。包括pdf漏洞CVE-2018-4990和windows提權漏洞CVE-2018-8120。該野外0day被ESET進行披露。該漏洞還未開始進行正式的攻擊活動,就被捕獲并且修補,實在是萬幸。
六、總結
雖然和平與安全是當今世界的主題,但是當前全球競爭態勢下各類沖突不斷發生,國家間的APT攻擊活動有愈演愈烈之勢。此外也有部分APT組織已經開始以經濟利益針對不同的目標進行了攻擊。
雖然隨著國內外各大安全廠商對APT攻擊活動披露的越來越多,也使得之前各大APT組織的相關攻擊武器失效,攻擊的成本也越來越高,但是,只要存在利益,APT攻擊就不會停止,因此各相關部門、相關單位和企業且不可掉以輕心,必須時刻以最高的安全意識,應對各種不同的網絡風險和攻擊。
另外,由于APT組織高超的攻擊技巧對普通網絡黑產起到教科書般的示范作用。剛剛被發現時所采用的攻擊技巧一段時間之后會被普通黑產所采用,從最初針對政府機關、高精尖企業、科研機構的攻擊,演變為針對一般企業的網絡攻擊,對整個互聯網的安全體系建設構成新的挑戰。
七、安全建議
1、各大機關和企業,以及個人用戶,及時修補系統補丁和重要軟件的補丁;
2、提升安全意識,不要打開來歷不明的郵件的附件;除非文檔來源可靠,用途明確,否則不要輕易啟用Office的宏代碼。
3、使用殺毒軟件防御可能得病毒木馬攻擊,對于企業用戶,推薦使用騰訊御點終端安全管理系統。騰訊御點內置全網漏洞修復和病毒防御功能,可幫助企業用戶降低病毒木馬入侵風險;
4、使用騰訊御界高級威脅檢測系統。御界高級威脅檢測系統,是基于騰訊反病毒實驗室的安全能力、依托騰訊在云和端的海量數據,研發出的獨特威脅情報和惡意檢測模型系統。
八、參考鏈接
1、https://www.symantec.com/blogs/threat-intelligence/gallmaker-attack-group
2、https://unit42.paloaltonetworks.com/unit42-gorgon-group-slithering-nation-state-cybercrime/
3、https://www.welivesecurity.com/2018/11/20/oceanlotus-new-watering-hole-attack-southeast-asia/
4、https://gsec.hitb.org/materials/sg2018/D1%20COMMSEC%20-%20In%20the%20Trails%20of%20WINDSHIFT%20APT%20-%20Taha%20Karim.pdf
5、https://gsec.hitb.org/materials/sg2018/D1%20COMMSEC%20-%20In%20the%20Trails%20of%20WINDSHIFT%20APT%20-%20Taha%20Karim.pdf
6、https://www.welivesecurity.com/2018/05/15/tale-two-zero-days/
7、https://blog.trendmicro.com/trendlabs-security-intelligence/new-cve-2018-8373-exploit-spotted/
來源:騰訊御見
北京市公安局海淀分局備案號:11010802023656號