2018年安全漏洞統計出爐 微軟Office成頭號攻擊目標
至頂網安全頻道 03月21日 編譯: 隨著網路釣魚攻擊(包括操縱Word與Excel等Officer檔案附件的方法)不斷增加,過去一年當中網路犯罪分子在惡意活動中對微軟Office漏洞的大量利用自然不足為奇。
根據Recorded Future公司釋出的一項最新研究顯示,2018年全球範圍內利用率最高的十大安全漏洞當中,有八項源自Office。在餘下的兩項中,一項為Adobe Flash漏洞(第二位),另一項為Android漏洞(排名第十)。在這份榜單中,名列第一的是一項Windows遠端程式碼執行漏洞,其已經被列入多種漏洞利用工具包,包括Fallout、KaiXin、LCG Kit、Magnitude、RIG、Trickbot以及Underminer等等。
Recorded Future公司威脅情報分析師Alan Liska指出,這種狀況可謂是自然發展的結果。因為如今網路犯罪分子正逐步轉向技術門檻更低、實施效率更高的網路釣魚攻擊,而對Web漏洞利用工具包的使用必然引發這樣的整體趨勢。
Liska表示,不再將目光投向瀏覽器漏洞利用的主要原因,在於目前開發人員已經能夠更好地保護並實施瀏覽器軟體更新。在此次榜單的前十位漏洞當中,僅有三項與瀏覽器相關,且主要涉及IE瀏覽器的陳舊版本。“這意味著仍有不少陳舊系統在執行著未經修復的網路瀏覽器。”
與此同時,根據此項研究對程式碼庫、暗網論壇/帖子以及其它相關元資料的分析,2018年年內僅新增5種新型漏洞利用工具包——這一數字遠低於2017年的10種以及2016年的62種。在此之中,又只有Fallout與LCG Kit這兩種新型漏洞利用工具包進入2018年安全榜單的前十位置。
雖然Recorded Future公司並沒有將民族國家集團單獨列入此份榜單,但他們在研究當中發現如今的網路犯罪分子與民族國家支援的黑客正在顛覆老派攻擊者的思路:他們更傾向於使用被盜的使用者憑證,包括遠端桌面協議(簡稱RDP)以及VPN登入或憑證填充攻擊,而不再像過去那樣想辦法向受害者傳遞惡意軟體。
Liska指出,“我認為漏洞利用工具包在數量上的減少已經體現出這樣的趨勢。當然,還有其它一些傳統的安全漏洞部署入口點逐漸在黑客群體中失去吸引力。例如,很多攻擊者現在專注於利用工具以暴力破解的方式完成入侵,而不再硬性依賴於漏洞利用工具包或者其它能夠竊取登入憑證的方法。”
圖片來源: Recorded Future公司
ThreatStop公司網路安全研究主管John Bambenek指出,“我們在威脅共享方面投入了大量資金。但如果沒有指標可供分享,那麼除非人們願意直接分享憑證,否則也只能依靠提高密碼強度來儘可能鞏固安全水平了。”
此外,包括零日漏洞在內的多種漏洞利用工具如今成為民族國家的主要關注方向,這實際上標誌著零日漏洞從網路犯罪分子向國家機器的轉型。他解釋稱,“零日漏洞是一種非常寶貴的資源。如果大家能夠將其出售給智慧財產權代理商並獲得數百萬美元的鉅額利潤時,為什麼還要將其新增至漏洞利用工具包?無論如何,犯罪分子都迎來了大筆撈錢的好日子……而且只需要郵件列表與郵件伺服器就能實現。”
Android 基本告別前十榜單
在此次Recorded Future前十榜單當中,唯一的移動裝置漏洞來自部分Android裝置核心中存在的一項2015年本地許可權提升高危漏洞。根據Liska的介紹,這項漏洞是第一次進入榜單,而評判標準與微軟Office基本相同:Android代表著一套具有廣泛攻擊面的高人氣平臺。當然,即使是在這同樣的開源移動系統之內,一部分Android裝置實際上也要比其它同類裝置更加安全。
Liska指出,“我們在Android平臺上看到的大部分漏洞利用行為,都與應用有關——例如釋出惡意應用或者操縱某些應用等等。
不過移動裝置只是當前攻擊面中的一小部分。Sophos公司最近的一項研究發現,有10%的網路攻擊活動出現在移動裝置之上,有37%於伺服器中被檢測到,而另有37%現身於網路層面。Sophos公司首席研究科學家Chester Wisniewski表示,“我們並沒有看到大量移動入侵行為的出現。事實上,大部分重大安全事件都跟手機裝置沒什麼關聯。”
與此同時,微軟IE瀏覽器中的“Double Kill”漏洞工具包成功佔據本輪榜單的頭把交椅——由於能夠在多個版本的IE與Windows系統上起效,因此其獲得了極高的“人氣”。根據Liska的介紹,“其起效方式在於首先發送一個探針——一般由JavaScript編寫而成——並在瀏覽器上查詢資訊,以便儘可能多地蒐羅與受害者裝置上所安裝的作業系統、瀏覽器版本以及補丁安裝情況相關的結果。在此之後,即可根據當前安全狀況選擇後續攻擊方法。整個使用過程非常簡單。”
去年利用率次高的安全漏洞為CVE-2018-4878,這是一項Adobe Flash Player當中存在的釋放後使用型缺陷。目前被囊括於多種漏洞利用工具包當中——包括Fallout與前Nuclear工具包。Fallout還一直在傳播GandCrab勒索軟體,這種勒索軟體正被越來越多用於實施指向大型組織的針對性攻擊,併為攻擊帶來了相當可觀的收益。
Adobe公司計劃在2020年徹底放棄具有“優良歷史傳統”的漏洞集散地Flash Player——此前沒完沒了的更新仍然無法應對攻擊者們的狂轟濫炸。具體而言,Flash一直保持著漏洞被最快利用這一毫不光彩的紀錄。根據Liska的介紹,每次Adobe公司公開發布針對Flash漏洞的修復程式,平均兩天之後該漏洞就會被攻擊者用於入侵尚未及時更新的受害者。
此次,Recorded Future的榜單上還出現了一種遠端訪問木馬,其指向的是漏洞CVE-2017-8570——一項Office遠端執行漏洞。這種木馬出自Sisfader RAT之手。
如何保障安全?
此次十大漏洞利用榜單旨在幫助組織與個人使用者優先安排補丁更新次序,而Recorded Future公司給出的通行性安全建議仍然還是老一套:儘量不使用網站上的Flash資源、利用瀏覽器廣告攔截器阻擋惡意廣告、頻繁執行備份,並通過電子郵件培訓使用者建立對網路釣魚以及其它詐騙行為的認知。此外,該公司還建議大家使用谷歌Chrome瀏覽器,其被廣泛認定為安全性最高的瀏覽器選項之一。