Security vulnerability statistics released in 2018 Microsoft Office became the number one target
來源:
隨著網路釣魚攻擊(包括操縱Word與Excel等Officer文件附件的方法)不斷增加,過去一年當中網路犯罪分子,在惡意活動中,對微軟Office漏洞的大量利用,自然不足為奇。
根據Recorded Future公司發佈的一項最新研究顯示,2018年全球範圍內,利用率最高的十大安全漏洞當中,有八項源自Office。在餘下的兩項中,一項為Adobe Flash漏洞(第二位),另一項為Android漏洞(排名第十)。
在這份榜單中,名列第一的是一項Windows遠端代碼執行漏洞,其已經被列入多種漏洞利用工具包,包括Fallout、KaiXin、LCG Kit、Magnitude、RIG、Trickbot以及Underminer等等。
在這份榜單中,名列第一的是一項Windows遠端代碼執行漏洞,其已經被列入多種漏洞利用工具包,包括Fallout、KaiXin、LCG Kit、Magnitude、RIG、Trickbot以及Underminer等等。
Recorded Future公司威脅情報分析師Alan Liska指出,這種狀況可謂是自然發展的結果。因為如今網路犯罪分子,正逐步轉向技術門檻更低、實施效率更高的網路釣魚攻擊,而對Web漏洞,利用工具包的使用,必然引發這樣的整體趨勢。
Liska表示,不再將目光投向瀏覽器漏洞,利用的主要原因,在於目前開發人員,已經能夠更好地保護,並實施瀏覽器軟體更新。在此次榜單的前十位漏洞當中,僅有三項與瀏覽器相關,且主要涉及IE瀏覽器的陳舊版本。
這意味著仍有不少陳舊系統,在運行著未經修復的網路瀏覽器。
這意味著仍有不少陳舊系統,在運行著未經修復的網路瀏覽器。
與此同時,根據此項研究對代碼庫、暗網論壇/帖子,以及其它相關元數據的分析,2018年年內僅新增5種新型漏洞,利用工具包——這一數字遠低於2017年的10種,以及2016年的62種。在此之中,又只有Fallout與LCG Kit這兩種新型漏洞,利用工具包,進入2018年安全榜單的前十位置。
雖然Recorded Future公司並沒有將民族國家集團,單獨列入此份榜單,但他們在研究當中發現如今的網路犯罪分子,與民族國家支持的駭客,正在顛覆老派攻擊者的思路:他們更傾向於使用被盜的用戶憑證,包括遠端桌面協議(簡稱RDP)以及VPN登錄或憑證填充攻擊,而不再像過去那樣,想辦法向受害者傳遞惡意軟體。
Liska指出,「我認為漏洞利用工具包,在數量上的減少,已經體現出這樣的趨勢。當然,還有其它一些傳統的安全漏洞,部署入口點,逐漸在駭客群體中失去吸引力。例如,很多攻擊者現在專注於利用工具,以暴力破解的方式,完成入侵,而不再硬性依賴於漏洞利用工具包,或者其它能夠竊取登錄憑證的方法。」
ThreatStop公司網路安全研究主管John Bambenek指出,「我們在威脅共享方面,投入了大量資金。但如果沒有指標可供分享,那麼除非人們願意直接分享憑證,否則也只能依靠提高密碼強度,來盡可能鞏固安全水準了。」
此外,包括零日漏洞在內的多種漏洞利用工具,如今成為民族國家的主要關注方向,這實際上標誌著零日漏洞,從網路犯罪分子向國家機器的轉型。
他解釋稱,「零日漏洞,是一種非常寶貴的資源。如果大家能夠將其出售給知識產權代理商,並獲得數百萬美元的巨額利潤時,為什麼還要將其添加至漏洞利用工具包?無論如何,犯罪分子,都迎來了大筆撈錢的好日子……而且只需要郵件列表,與郵件伺服器就能實現。」
Android基本告別前十榜單
在此次Recorded Future前十榜單當中,唯一的行動設備漏洞,來自部分Android設備內核中,存在的一項2015年本地權限,提升高危漏洞。
根據Liska的介紹,這項漏洞是第一次進入榜單,而評判標準與微軟Office基本相同:Android代表著一套,具有廣泛攻擊面的高人氣平台。當然,即使是在這同樣的開源行動系統之內,一部分Android設備,實際上也要比其它同類設備更加安全。
Liska指出,「我們在Android平台上,看到的大部分漏洞利用行為,都與應用有關——例如發佈惡意應用,或者操縱某些應用等等。不過行動設備只是當前攻擊面中的一小部分。
Sophos公司最近的一項研究發現,有10%的網路攻擊活動出現在行動設備之上,有37%於伺服器中被檢測到,而另有37%現身於網路層面。
Sophos公司首席研究科學家Chester Wisniewski表示,「我們並沒有看到大量行動入侵行為的出現。事實上,大部分重大安全事件,都跟手機設備沒什麼關聯。」
與此同時,微軟IE瀏覽器中的「Double Kill」漏洞工具包,成功佔據本輪榜單的頭把交椅——由於能夠在多個版本的IE與Windows系統上起效,因此其獲得了極高的「人氣」。
根據Liska的介紹,「其起效方式在於首先發送一個探針——一般由JavaScript編寫而成——並在瀏覽器上查詢資訊,以便盡可能多地蒐羅與受害者設備上,所安裝的操作系統、瀏覽器版本,以及補丁安裝情況相關的結果。在此之後,即可根據當前安全狀況,選擇後續攻擊方法。整個使用過程非常簡單。」
去年利用率次高的安全漏洞為CVE-2018-4878,這是一項Adobe Flash Player當中,存在的釋放後使用型缺陷。目前被囊括於多種漏洞,利用工具包當中——包括Fallout與前Nuclear工具包。Fallout還一直在傳播GandCrab勒索軟體,這種勒索軟體,正被越來越多用於,實施指向大型組織的針對性攻擊,並為攻擊帶來了相當可觀的收益。
Adobe公司計劃在2020年,徹底放棄具有「優良歷史傳統」的漏洞集散地Flash Player——此前沒完沒了的更新,仍然無法應對攻擊者們的狂轟濫炸。
具體而言,Flash一直保持著漏洞被最快利用,這一毫不光彩的紀錄。根據Liska的介紹,每次Adobe公司公開發佈,針對Flash漏洞的修復程式,平均兩天之後,該漏洞就會被攻擊者,用於入侵尚未即時更新的受害者。
具體而言,Flash一直保持著漏洞被最快利用,這一毫不光彩的紀錄。根據Liska的介紹,每次Adobe公司公開發佈,針對Flash漏洞的修復程式,平均兩天之後,該漏洞就會被攻擊者,用於入侵尚未即時更新的受害者。
此次,Recorded Future的榜單上,還出現了一種遠端訪問木馬,其指向的是漏洞CVE-2017-8570——一項Office遠端程執行漏洞。這種木馬出自Sisfader RAT之手。
如何保障安全?
此次十大漏洞利用榜單,旨在幫助組織與個人用戶,優先安排補丁更新次序,而Recorded Future公司給出的通行性安全建議,仍然還是老一套:盡量不使用網站上的Flash資源、利用瀏覽器廣告攔截器,阻擋惡意廣告、頻繁執行備份,並透過電子郵件,培訓用戶建立對網路釣魚,以及其它詐騙行為的認知。
沒有留言:
張貼留言