曝光|漏洞黑暗森林的“潜规则”
2020-06-24
根据js1996官网登录发布的《漏洞发展趋势报告》显示,由于攻击门槛低,十年以上高龄漏洞在攻击事件中仍然被攻击者大量使用。
攻击事件使用到的漏洞"年龄"分布图
十年以上“高龄漏洞”无法退休背后,是大量长期未更新的软件和系统
攻击事件中使用的漏洞和具体的操作系统环境相关,如物理隔离环境下的内网,就可能存在没有及时更新补丁或版本的核心系统、数据库,攻击者一旦进入内网就可以利用这些成熟的漏洞利用代码发起有效的攻击。总体来说随着时间的推移,老的漏洞会不断被修补,新的漏洞不断产生,攻防之间的对抗将会一直持续。
一年65+万次攻击,不死的EternalBlue(永恒之蓝)
漏洞利用是攻击的常用手段,通过对漏洞攻击事件的监测可以掌握攻击者的技术特点、行为习惯,进而可以对攻击者进行行为画像,为漏洞预警提供帮助。2017年4月ShadowBrokers发布了针对Windows操作系统以及其它服务器系统软件的多个高危漏洞利用工具。同年5月,EternalBlue工具被WannaCry勒索软件蠕虫利用,在全球范围大爆发,影响了包括中国在内的多个国家。EternalBlue相关的漏洞主要有CVE-2017-0144、CVE-2017-0145以及CVE-2017-0147,对应Microsoft的安全公告MS17-010。
根据金沙js1996威胁情报中心监测数据显示,利用CVE-2017-0144的攻击事件共计4919441次,利用CVE-2017-0145的攻击事件共计27276次,利用CVE-2017-0147的攻击事件共计1567618次。可以看到在2019年中,利用这些漏洞的网络攻击持续活跃在真实网络中。
利用EternalBlue漏洞的攻击事件
让安全漏洞可控,全生命周期视角下的蠕虫级RDP漏洞—CVE-2019-0708
2019年5月,Microsoft在当月的安全更新中,对一个新的RDP漏洞CVE-2019-0708发布了警告,该漏洞可以被用作蠕虫攻击,8月又披露了两个类似可用作蠕虫的漏洞CVE-2019-1181/1182。随后的9月针对CVE-2019-0708的可利用攻击脚本被公开。截止2020年3月,金沙js1996威胁情报中心监测到相关攻击事件87211次。
利用CVE-2019-0708漏洞的攻击事件
在漏洞刚披露的5月份,漏洞的时效性强,并非所有用户都及时修复,漏洞利用价值高,攻击组织在网络中发起攻击,攻击事件出现了短暂的峰值。7月份漏洞利用的代码被公开,更多黑产、脚本小子等攻击者开始使用,攻击事件再次呈现快速增长的趋势。随着攻击事件的持续发生,越来越多的用户开始更新补丁、修复漏洞,针对该漏洞的攻击事件逐渐下降。
攻击者关注稳定、高效的漏洞利用技术
攻击者关注稳定、高效的漏洞利用技术,在漏洞的选择上追求易用性、时效性以及是否能获取目标控制权限的攻击能力。根据金沙js1996威胁情报中心监测的安全事件,本文整理出了2019年1月-2020年3月与漏洞利用相关的攻击事件,提取了漏洞利用较高的十个漏洞信息。
漏洞利用较高的CVE信息
浏览器漏洞利用占比48.44%,浏览器的更新与防护仍需关注
浏览器作为网络攻击的入口,在实际利用中占比48.44%,影响范围广。浏览器的漏洞种类复杂多样,2009年之前漏洞主要以ActiveX控件和基于栈的缓冲区溢出为主,2013年越界访问、释放后重用等新型漏洞一度呈现快速增长的趋势。近年来,各大浏览器为了提高网页的加载和JavaScript脚本的运行速度,大量使用了即时编译(Just-in-time)系统,一时间JIT引擎成为攻击者主要的目标。
应用软件漏洞利用分布
利用文件格式漏洞的鱼叉式钓鱼攻击,成为网络安全的主要威胁之一
文档类型漏洞中,AcrobatReader为载体的PDF漏洞数量共1823个,占据文档类型的59.07%,但在实际攻击场景中却并不常见,实际利用占比1.19%。Office相关的漏洞数量虽然比PDF格式的要少,但在实际攻击中备受黑客关注,攻击者只需考虑版本兼容,不需过多考虑产品兼容,一个稳定的漏洞利用文档基本可以实现一个产品的全覆盖。
Flash漏洞大限将近,但漏洞安全仍不容忽视
Flash漏洞作为曾经的研究焦点,2015和2016年爆出的漏洞总数占据Flash漏洞的55.09%,在实际利用中占比13.08%。但是Flash漏洞利用不能由单纯的SWF文件完成,需要在浏览器、Office、PDF中以插件的形式来完成攻击。在实际攻击中常以插件形式被嵌套在各种ExploitKit工具包,可以达到稳定利用,更新速度快以及免杀的效果。
开源软件面临漏洞利用和软件供应链的“双重攻击”
开源软件便于研究员进行基于源代码的白盒测试。Web类开源框架的利用代码公开后可以在短时间内被集成到成熟的攻击框架中,降低了漏洞利用的门槛。拥有复杂的处理逻辑,并且广泛使用的开源软件更容易成为研究员或者黑客的目标。随着开源软件开发模式的兴起,针对软件供应链的攻击成为一种新兴威胁,相当于给攻击者的恶意代码披上了“合法”的外衣,传播速度更快,影响范围更广,危害更大,同时也更隐蔽。
一年上涨1082%,移动安全的风暴从未停息
近些年来研究人员对智能终端系统的漏洞关注度逐渐提高,2015年Android系统漏洞整体呈现爆发式增长。其中,Application Framework & Libraries的漏洞总量达130个,同比上涨1082%。2018年8月Google发布的Android 9中,为部分守护进程和内核引入了控制流完整性CFI(Control Flow Integrity)防护机制,能够直接对抗常用ROP/JOP/COOP代码重用利用技巧。新的保护机制的引入和Google对Android系统安全逐渐重视使得2017年后漏洞数量显著减少。
iOS系统由于硬件与软件高度集成,一向以安全著称。2015年iOS系统漏洞总量达369个,同比上涨156.25%。2019年8月Google安全团队公布了5个漏洞利用链及相关联的14个安全漏洞 ,涉及从 iOS 10 到 iOS 12的版本,这无疑为其它攻击者提供了一个很好的着手点,对iOS系统的安全性提出了巨大的挑战。
Android历年漏洞数量
iOS系统历年漏洞数量
物联网成“危”联网
物联网设备数量和种类增长迅速,但是防御措施少。下表给出了2019年物联网漏洞利用数量前十的漏洞信息。
物联网漏洞利用数量Top10
其中CVE-2015-2051、CVE-2017-17215、CVE-2014-8361这三个漏洞都与UPnP协议有关。UPnP使用SOAP协议实现对设备的控制。js1996官网登录《2019年物联网安全年报》显示,SOAP服务可访问的设备占UPnP设备总量的46.9%,这些设备中,61%的设备存在中危及以上的漏洞。
已经监测的漏洞利用所对应目标设备以路由器和视频监控设备为主。这些安全问题主要来源于两点,一是由于大多数的固件在出厂时就存在弱口令、甚至无需口令校验的问题,这种不安全的固件配置大大提高了攻击者的攻击效率。二是固件所调用的第三方组件漏洞甚至是操作系统内核漏洞,不能够及时追踪修复。
网络安全的本质是攻与防的对抗,未知攻焉知防,只有在了解了各种攻击技术和手段后才能采取更加有效的防御策略,从而避免安全事件的发生。