2018年Windows漏洞年度盤點——老漏洞經久不衰,新0day層出不窮
目錄
1 前言
2 2018年Windows平臺漏洞盤點
2.1 2018年Windows安全公告數量
2.2 Windows漏洞影響產品&系統分佈
2.3 2018年漏洞攻擊的地區&行業分佈
2.4 國內用戶整體漏洞修復情況&高危漏洞修復情況
2.5 Windows漏洞危害類型分佈&漏洞危害等級分佈
2.6 Windows漏洞利用病毒分佈&被利用的漏洞分佈
2.7 2018年Windows平臺高危漏洞盤點
3 2018典型漏洞安全事件
3.1 「新一代幽靈」——英特爾CPU漏洞持續升級
3.2 Office公式編輯器再曝新漏洞,商貿信釣魚攻擊屢試不爽 (CVE-2017-11882、CVE-2018-0802、CVE-2018-0798)
3.3 Adobe系列產品多次報警,0day漏洞屢遭曝光
3.4 老漏洞被反覆利用,「永恆之藍」是否真的永恆?
3.5 Windows下半年頻現0day漏洞
4 如何做好漏洞防護
4.1 個人用戶漏洞防護
4.2 企業用戶漏洞防護
5 回顧2018,展望2019
5.1 思維進化,道高一丈
5.2 千里之堤毀於蟻穴,人永遠是最大的漏洞
5.3 需建設多維、立體的安全能力體系
1 前言
漏洞是影響網路安全的重要因素,而漏洞攻擊作為惡意攻擊的最常用手段,更是有著目標行業化、手段多樣化的趨勢,不論是個人還是企業,都面臨著嚴峻的漏洞威脅。
2018年在轟動式的「幽靈」、「熔斷」兩大CPU漏洞中揭開序幕。「震網3漏洞利用挖礦」、「412掛馬風暴」等安全事件發生表明,漏洞利用攻擊,不再是APT組織的「專屬」,漏洞利用正往「低成本化」趨勢發展。過去一年,Windows、Office、IE、Flash等高危漏洞頻繁被曝光,而各種野外漏洞利用更是攻擊層出不窮,更給個人和企業的網路安全帶來了嚴峻的威脅。本報告主要重點分析2018年Windows平臺的漏洞攻擊態勢,並給個人和企業合理化的漏洞防護建議。
2 2018年Windows平臺漏洞盤點
2018年對於安全行業是頗具考驗的一年,據安全資料庫網站http://cvedetails.com的漏洞提交數據統計,自1999年起,Windows操作系統的漏洞提交數量就呈逐年上漲的趨勢,而在近幾年達到了一個爆發期,今年的安全漏洞提交數相較過往三年同比上升最高超過40%,安全漏洞的數量和嚴重性創下歷史新高。
2.1 2018年Windows安全公告數量
在軟硬體漏洞遍地都是的今天,補丁管理作為網路安全最基礎的一環,就顯得尤為重要。在企業選擇產品時亦需要注意廠商對其產品安全性的投入,只有軟體/平臺開發商對於產品安全性投入高,產品纔有保障。微軟作為全球知名的軟體開發商,對其名下產品的安全性投入是比較到位的,每月都會進行維護髮布補丁修復安全漏洞。2018全年微軟共為其產品(Windows,IE/Edge,office等)發布了874個補丁,修復了728個漏洞,平均每月修復多達60個漏洞。
2.2 Windows漏洞影響產品&系統分佈
2018年,在所有漏洞影響的Windows產品中,Windows系統組件漏洞佔到了35%的比例,瀏覽器漏洞佔25%,Office漏洞則佔比17% 。
根據騰訊御見威脅情報中心的數據監測,雖然Office和Adobe(主要是Flash)被曝光的漏洞相對較少,但漏洞利用的比例最高。可見,黑客挑選漏洞時,更可能是優先考慮漏洞利用的成本,並參考其攻擊目標人羣與產品用戶的重合度,而與產品本身漏洞量的多少並無正相關。
相比較2017年,2018年Office和.net的漏洞曝光量上升比較明顯,相對Windows系統組件漏洞,Office漏洞常被大家忽視,但卻備受黑客喜愛,眾多專業黑客組織對重要目標的攻擊,會選擇使用Office高危漏洞,騰訊御見威脅情報中心再次提醒大家需及時安裝Office漏洞補丁,避免偶然打開一個文檔就被植入後門。
在所有Windows各版本中,受到最多漏洞影響的卻是Windows 10系統,這說明Windows 10已是主流的操作系統版本,其漏洞曝光量正越來越多,同時提醒廣大用戶,即便使用最新版本的操作系統,也不可忽視漏洞風險,每個月及時安裝安全更新是防範黑客入侵的必要步驟。
從2017年同比數據也可以看出,Windows Server 2016上報告的漏洞數增加了近7%,同時可預測,針對新版伺服器操作系統的漏洞也將越來越多。
2.3 2018年漏洞攻擊的地區&行業分佈
2018年漏洞攻擊地區分佈與當地經濟水平及信息化普及程度相關。2018年漏洞攻擊集中在北上廣三地,其中以國家政府機關、高科技人才和經濟富裕人士彙集的首都北京首當其衝。北上廣是全國經濟、政治和科技要地,更是走在中國國際化的前列,大量可見利益彙集,是不法黑客首選的攻擊目標。
根據騰訊御見威脅情報中心數據監測, Windows操作系統存在高危漏洞在教育、政府、衛生醫療行業佔比最高。
從受攻擊量的對比數據看,政府、教育、醫療衛生行業因為其系統存在大量高危漏洞未及時修復,所受攻擊次數也相對較高。而科技行業雖然漏洞存在量相對較少,受攻擊量卻是最高的,這樣從另一方面說明,漏洞利用攻擊者通常是有目的針對性地採取攻擊,對科技行業的攻擊,泄取機密往往成為首選目的。
2.4 國內用戶整體漏洞修復情況&高危漏洞修復情況
2018國內用戶整體漏洞修復中,Windows漏洞和.NET漏洞達到了70%以上的修復率,其次是IE、Flash和Office漏洞修復率徘徊在60%上下。整體漏洞修復率偏低可以反映出國內的個人用戶目前的信息安全意識亟待提升,公眾對於安全漏洞的危害認知尚不到位。
而在四類高危漏洞(存在野外利用的漏洞)修復中,Windows高危漏洞達到了82%的修復率,其次是IE和.NET高危漏洞修復率約達到70%,Flash和Office高危漏洞則修復率較低,僅有約50%。
Flash高危漏洞修復率偏低是由於許多第三方軟體會自帶一個Flash插件,而微軟官方提供的Flash補丁僅能更新其中一小部分,無法完全覆蓋第三方瀏覽器目錄下的所有Flash插件,導致部分用戶電腦上的Flash漏洞較難得到徹底修復解決。
Office軟體本身對更新做的是相對較弱的提示,如果沒有第三方安全軟體的強提醒,一般用戶主動安裝補丁修復Office安全漏洞的較少;另一方面,國內存在大量盜版Office用戶,而這些盜版鏡像往往經過鏡像製作者的修改,難以正常安裝補丁。對於重要的政府機構、企事業單位、科研機構來說,軟體系統的正版化對降低黑客入侵風險具有十分重要的意義。
2.5 Windows漏洞危害類型分佈&漏洞危害等級分佈
在2018年曝光的Windows平臺漏洞中,遠程執行代碼類漏洞達到了42%的高佔比,其次是信息泄露類漏洞和特權提升類漏洞各佔20%。遠程執行代碼類漏洞由於其兼具隱蔽性與自由度,廣受黑客攻擊者歡迎,今年曝出的兩枚IE「雙殺」0day漏洞(CVE-2018-8174、CVE-2018-8373)就是被廣泛利用於惡意攻擊的最好例子。
2018年曝光的Windows平臺漏洞中,「危急」等級(漏洞危害最高等級)的漏洞佔比23%,「危急」等級的漏洞量依然佔據著較高的比例。
2.6 Windows漏洞利用病毒分佈&被利用的漏洞分佈
在2018年利用漏洞進行攻擊的病毒中,非PE(文件格式)佔了66%的高比例,而PE文件佔了31%。常見非PE漏洞攻擊病毒有Office宏類病毒、腳本類病毒。相比較PE,非PE病毒的攻擊手法更靈活,對安全軟體來說檢測非PE病毒更為困難。
在已知的被利用的漏洞中,佔最大比例的MS04-028是一個發現於2004年的Windows GDI JPG解析組件緩衝區溢出漏洞,該漏洞可導致程序在處理JPEG文件時 (GDI+) 緩衝區溢出,這將會允許黑客執行惡意代碼。MS04-028是一個相對老的漏洞,由此可以看出經過充分開發、穩定且容易反覆利用的漏洞,較受黑客攻擊者的歡迎;另一方面, CVE-2017-8570佔了8%,以及一系列相對較新的漏洞利用佔比也開始越來越高,往往因為漏洞修復補丁未能及時修復等原因,利用新漏洞的攻擊,更讓人措手不及。
2.7 2018年Windows平臺高危漏洞盤點
2018年1月,Microsoft Office公式編輯器再次曝出兩個高危漏洞CVE-2018-0798和CVE-2018-0802。CVE-2018-0798是Office公式編輯器在解析Matrix Record(0x05)的內容時,沒有對行與列的成員進行特定的長度校驗,這就導致黑客可以通過精心構造內容任意指定後續讀入的行與列長度,從而造成棧溢出。CVE-2018-0802技術原理與之類似,微軟在1月9日通過發布移除公式編輯器的補丁修復這兩個漏洞。
2月,Adobe Flash被曝出一個0day漏洞CVE-2018-4878。該漏洞影響版本在28.0.0.137以下的Adobe Flash,通過修改Flash腳本對象ByteArray的值至特殊長度來實現任意地址讀寫,實現漏洞利用,再將Adobe Flash Player嵌入Office文檔和郵件等載體中並誘使用戶打開的途徑快速傳播漏洞,在解析ATF文件時訪問內部數據結構使用了無效的指針偏移導致漏洞,成功攻擊後可能會導致敏感信息泄露。該漏洞在2月6日被修復;
3月,Ulf Frisk曝光了一個Windows內核提權高危漏洞Totel Meltdown(CVE-2018-1038 )。該漏洞是由微軟先前發布用於修復「Meltdown」漏洞的補丁產生的新問題,補丁錯誤地將PML4許可權設定成用戶級,可以讓任意進程讀取並修改頁表項目,該漏洞僅影響Windows7 x64 和 Windows Server 2008 R2系統,並在3月29日被修復;
4月,Internet Explorer被曝出一個0day漏洞「雙殺」(CVE-2018-8174)。該漏洞通過VBScriptClass::Release函數中存在的缺陷訪問未分配內存,從而觸發漏洞達到任意地址讀寫的目的。該漏洞通過精心構造的頁面或往郵件或Office文檔中嵌入VBScript腳本即可觸發,危害性較強,也因此被命名為「雙殺」漏洞,且一遭曝光便第一時間被APT組織利用於黑客活動。該漏洞於5月8日被修復;
5月,Windows操作系統和Adobe Acrobat/Reader PDF閱讀器被ESET公佈了兩個捆綁在一起的0day漏洞。(CVE-2018-8120、CVE-2018-4990)這是源於ESET在3月捕獲的用於攻擊測試的一個PDF樣本。CVE-2018-4990實際上是一個堆內存越界訪問任意地址釋放漏洞,原樣本精準地使用堆噴射佈局內存,然後釋放兩塊大小為0xfff8的相鄰堆塊,在Windows堆分配演算法將堆塊合併後,利用該堆塊改寫一個ArrayBuffer對象的長度為0x66666666從而實現任意地址讀寫。CVE-2018-8120則是由於內核函數 SetImeInfoEx 未對其目標窗口站 tagWINDOWSTATION的指針成員域 spklList 的指向地址進行有效性校驗,而是直接進行讀取訪問。這兩個漏洞已在5月被修復;
6月,Windows 10被曝出一個0day漏洞(CVE-2018-8414)。這是一個Windows Shell 遠程執行代碼漏洞,由於Windows Shell在某些情況下會不正確地驗證文件路徑,通過精心構造的惡意腳本觸發該漏洞,可以達到任意讀寫的目的。該漏洞僅適用於Windows 10的新文件類型「.SettingContent-ms」,該漏洞直到8月14日才正式分配CVE編號並修復。
7月,Internet Explorer被曝光0day漏洞「雙殺」二代(CVE-2018-8242),它的出現是由於4月「雙殺」一代(CVE-2018-8174)的修復補丁並未完全解決漏洞,導致VBScript腳本引擎中仍存在類似問題,該漏洞由360Vulcan團隊發現並提交,並在7月10日被修復;
8月
(1) Exchange Server被公開了一個內存損壞漏洞(CVE-2018-8302)的POC,攻擊者可使用釣魚攻擊觸發漏洞利用攻擊企業用戶計算機,並再次發起攻擊直至接管Exchange Server伺服器。Exchange對語音郵件的接收存儲過程中,會轉換語音郵件讀取TopNWords.Data並通過.NET BinaryFormatter對它反序列化,該漏洞就存在於反序列化過程中。
(2) Internet Explorer被Trendmicro曝出0day漏洞「雙殺」三代(CVE-2018-8373),它基於與「雙殺」一代相似的原理,通過VBScript.dll中存在的缺陷獲取任意讀取許可權。兩例漏洞都於8月14日被修復;
9月
(1) Windows被曝出ALPC提權0day漏洞(CVE-2018-8440),它通過高級本地過程調用(ALPC)函數中SchRpcSetSecurity函數無法正確檢查用戶許可權的缺陷,獲得本地許可權提升(LPE)來執行惡意代碼。
(2) Microsoft Jet Database Engine被公開了一個遠程代碼執行0day漏洞(CVE-2018-8423)的POC,該漏洞是一種越界(OOB)寫入漏洞,可誘導用戶打開包含以JET資料庫格式存儲的數據的特製文件,通過對象鏈接和嵌入資料庫(OLEDB)的Microsoft組件打開Jet源來觸發漏洞,發起攻擊。兩例漏洞分別於9月11日和10月9日被修復;
10月
(1) Microsoft Edge被公開了一個關於Windows Shell的RCE高危漏洞(CVE-2018-8495)的POC,攻擊者可以使用該漏洞利用POC,通過Microsoft Edge構造包含特殊URI的網頁,誘導用戶打開即可實現在遠程計算機上運行惡意代碼。漏洞是由於Windows Shell處理URI時,未過濾特殊的URI所導致(如拉起腳本的Windows Script Host的URI為wshfile)。
(2) Windows被曝出一個Win32k提權0day漏洞(CVE-2018-8453),它的利用過程較為複雜,簡言之是利用了在win32k.sys組件的win32kfull!xxxDestroyWindow函數中的UAF漏洞從而獲取本地提權。兩例漏洞都於10月9日修復;
11月,Windows再被曝出Win32k提權0day漏洞(CVE-2018-8589)。它的出現是由於在win32k!xxxMoveWindow函數中存在不恰當的競爭條件,導致線程之間同時發送的信息可能被不當鎖定。該漏洞已在11月13日被修復;
12月
(1) Microsoft DNS Server被曝光存在一個堆溢出高危漏洞(CVE-2018-8626)。所有被設置為DNS伺服器的Windows伺服器都會受到此漏洞影響。攻擊者向Windows DNS伺服器發送精心構造的漏洞利用惡意請求,以觸發堆溢出並遠程代碼執行。漏洞於12月11日發布補丁修復。
(2) Windows連續第四個月被曝出0day漏洞。這次是一個更加高危的kernel內核事務管理器驅動程序的提權漏洞(CVE-2018-8611),它是源於kernel模式下對文件操作的不當處理引發內核事務管理器產生競爭條件,此漏洞繞過了現在主流web瀏覽器的進程緩解策略而從實現沙箱逃逸,這可讓黑客在web上構建完整的遠程代碼執行攻擊鏈。該漏洞最初在10月29日被發現,微軟於12月11日分配CVE號並公佈修復補丁;
3 2018典型漏洞安全事件
2018年的安全行業,可謂是「熱鬧非凡」。前有勒索病毒野火燒不盡,春風吹又生;後有隨著區塊鏈概念被炒熱,挖礦掛馬頻出;上有APT組織針對企業、政府、科研機構、事業單位的定向攻擊;下有針對外貿行業的「商貿信」釣魚郵件和針對個人用戶的釣魚郵件攻擊,小規模爆發。
而專業APT組織的攻擊手法,對普通病毒木馬黑產起到教科書般的指導和示範作用,致使高危漏洞的利用從高端到大眾快速傳播普及,高危漏洞對信息安全的影響力之大,由此便可見一斑。
3.1 「新一代幽靈」——英特爾CPU漏洞持續升級
繼年初發現的CPU漏洞Meltdown和Spectre後,英特爾處理器在2018年5月初又被Google Project Zero安全研究團隊曝出發現8個新的「幽靈式」硬體漏洞,被稱為「新一代幽靈」——Spectre-NG。利用該漏洞可繞過雲主機系統與虛擬機的隔離,實現虛擬機逃逸,竊取機密信息。並且,利用該漏洞還可以攻擊同一伺服器的其它虛擬機。
然而,在下半年再次發現了英特爾CPU存在TLBleed、Foreshadow、PortSmash等多個超線程漏洞。11月初發現的PortSmash漏洞(CVE-2018-5407)影響所有支持超線程技術的Intel處理器。利用該漏洞,攻擊者所在的進程可以竊取運行在同一個物理內核的另外一個進程的隱私數據,安全研究人員已經實現從OpenSSL進程中竊取私鑰。
一系列的CPU漏洞,對晶元漏洞的修復同樣一波三折,倉促發布的補丁帶來新的風險,同時導致CPU性能下降,補丁不得不發行了多個版本,最終促使英特爾加快新一代處理器的發布進程,並成為把超線程技術徹底砍掉的最後一根稻草。
3.2 Office公式編輯器再曝新漏洞,商貿信釣魚攻擊屢試不爽 (CVE-2017-11882、CVE-2018-0802、CVE-2018-0798)
Office公式編輯器漏洞(CVE-2017-11882)是典型的棧溢出漏洞,存在於Eqnedit.exe組件中,該漏洞影響所有Office版本且極易利用,由於該漏洞在2017年11月14日僅僅被Windows添加了ASLR(地址隨機化)漏洞緩解措施,實際上並未真正修復,且大量用戶並不升級Office補丁,因此至今仍能見到許多野外攻擊案例。
2017年12月20日,騰訊御見威脅情報中心就發現Eqnedt32模塊還存在其他漏洞,同時捕獲了一例「黑鳳梨」(BlackTech)APT組織利用Office公式編輯器中的0day漏洞(CVE-2018-0802)進行攻擊的樣本,該樣本採用魚叉攻擊的方式將攜帶惡意代碼的Office文檔偽裝成辦公文件進行傳播,影響範圍較為廣泛。
2018年1月9日,Office公式編輯器再曝出新漏洞,這次Windows乾脆直接通過刪掉公式編輯器的途徑來修復漏洞,一了百了。但漏洞補丁剛發布一週,就已開始出現多例CVE-2018-0798漏洞的變種和在野利用。
2018年2月26日騰訊御見威脅情報中心捕獲到doc文檔樣本利用了CVE-2017-11882,通過下載並運行已被公開源碼的「波尼」木馬,竊取用戶比特幣錢包文件等敏感信息。
2018年6月1日,騰訊御見威脅情報中心再次檢測到針對中國進出口企業投放的,利用CVE-2017-11882的大規模「商貿信」攻擊,此類攻擊郵件的投放量每天達上千封之多,病毒變種也層出不窮。
由此可以預見,未來相當長的一段時間內,魚叉攻擊+簡單易用又十分符合辦公場景的Office公式編輯器漏洞,仍會成為備受歡迎的針對中小型企業的攻擊手段之一。
3.3 Adobe系列產品多次報警,0day漏洞屢遭曝光
3.3.1 Adobe Flash再曝0day野外利用(CVE-2018-4878、CVE-2018-5002)
2018年2月1日, Adobe官方發布了安全通告(APSA18-01)稱一個最新的Adobe Flash零日漏洞被發現用於針對韓國地區的人員發起魚叉攻擊。該0day漏洞編號為CVE-2018-4878,官方已於2月5日發布補丁進行修復。漏洞公佈後,隨即發現大量垃圾郵件迅速利用該漏洞進行傳播,攻擊者發送帶有短鏈接的惡意Word文檔的電子郵件,在下載並打開Word文檔後,利用該漏洞打開命令行,再用鏈接到的惡意域的惡意shellcode遠程注入命令,下載一個名為m.db的DLL文件,並使用regsvr32進程執行,完成攻擊鏈。
CVE-2018-5002則在2018年6月7日被發現野外利用,由APT組織Hacking Team通過即時聊天工具或郵箱發送包含外交部官員基本工資情況(阿拉伯語)的釣魚文檔進行攻擊,在誘餌文檔被用戶打開後在宿主進程excel中執行惡意代碼,並利用假冒的網站作為木馬下載站達成進攻目的。攻擊者將Loader、Exploit、Payload實行分離部署,加大安全工程師逆向還原漏洞利用代碼的難度,顯然是經過精心準備。
該APT組織費盡心思精心構造了攻擊鏈,並使用0day漏洞攻擊政府相關部門,可見其具有一定的政治意圖。
3.3.2 Adobe Reader被發現0day漏洞在野利用攻擊(CVE-2018-8120、CVE-2018-4990)
2018年5月15日, ESET捕獲了一個使用兩枚0day漏洞聯合進行攻擊的PDF樣本,其中包括一個Adobe Reader的0day漏洞(CVE-2018-4990)和Win32k的內核提權0day漏洞(CVE-2018-8120)。其中CVE-2018-8120是Win32k特權提升漏洞,CVE-2018-4990是Adobe Acrobat/Reader的堆內存越界訪問任意地址釋放漏洞,攻擊樣本通過CVE-2018-4990獲取代碼執行許可權,再通過利用內核提權漏洞繞過Adobe Acrobat/Reader的沙盒保護並實現任意代碼執行。而有意思的是該樣本僅是一個測試樣本,兩枚0day漏洞還沒來得及利用於攻擊便已被修復。
3.4 老漏洞被反覆利用,「永恆之藍」是否真的永恆?
多數黑客進攻個人電腦和企業伺服器的目的,還是從不法途徑謀取利益。往往是美味的蛋糕在哪裡,不法黑客的身影就出現在哪裡,病毒與木馬也就如影隨形地進攻到哪裡。而這批利益至上的黑客們,對易用又穩定的老漏洞可謂是愛不釋手,讓我們再來看看2018年那些利用老漏洞進行攻擊的熱點安全事件。
3.4.1 「永恆之藍」系列漏洞:從勒索病毒到挖礦木馬
「永恆之藍」是一個於2017年被曝光的,存在於445埠上的SMB文件共享協議漏洞,不法分子利用此漏洞獲取系統最高許可權,將病毒木馬等惡意軟體植入Windows系統。近兩年來, 「永恆之藍」漏洞已經成為被利用程度最高的安全漏洞之一。
勒索病毒主要通過三種途徑傳播:漏洞利用、釣魚郵件和廣告。其中通過漏洞發起的攻擊佔攻擊總數的80%以上,其中的典型案例就是以利用「永恆之藍」漏洞主動傳播的蠕蟲式勒索病毒,「永恆之藍」(WannaCry)可以說是開啟了勒索病毒的新時代,並將這樣的勢頭延續到了今年。另外,隨著區塊鏈的概念越發火熱,今年越來越多的人加入炒幣行列,而不法黑客自然不會放過這個謀利的好機會。
今年3月,騰訊御見情報威脅中心就捕獲一個門羅幣挖礦木馬WannaMiner利用「永恆之藍」漏洞在區域網內傳播,將染毒機器打造成龐大的殭屍網路,長期潛伏挖礦,國內600多家企業超3萬臺電腦受到感染;
今年5月,捕獲一款門羅幣挖礦木馬「微笑」通過掃描「永恆之藍」漏洞攻擊企業伺服器悄悄在後臺進行挖礦。該木馬從3月就開始活動,截至5月,其已經累計挖取846枚門羅幣,挖礦收入一度高達120萬人民幣;
6月1日,捕獲一款Glupteba惡意代理木馬利用「永恆之藍」漏洞在區域網迅速傳播,感染量激增;
今年8月,臺積電曝出遭受WannaCry勒索病毒攻擊導致產線癱瘓,造成25.96億新臺幣損失;
8月9日,捕獲蠕蟲病毒bulehero利用「永恆之藍」漏洞在企業內網攻擊傳播;
11月,又有一家知名半導體企業合晶科技,其位於大陸的工廠全線感染WannaCry勒索病毒,造成產線癱瘓,工廠全部停產。
由於越大型的單位和機械繫統,越追求穩定性,使用的越是win7sp0、xp等微軟早已停止提供更新服務的操作系統,因此存在大量無法及時修復的漏洞。而只要漏洞場景存在,安全威脅就不會消失,與勒索病毒和挖礦木馬的抗爭,就必須持續進行下去。
3.4.2 國內首例利用「震網3」LNK漏洞實施挖礦
2018年3月,騰訊御見威脅情報中心監測到,國內首例使用U盤作為傳播載體,利用lnk遠程代碼執行漏洞(CVE-2017-8464)作為主要傳播手段的門羅幣挖礦木馬。
病毒樣本通過利用Lnk漏洞執行惡意代碼,還會自動感染其它插入的可移動磁碟。使用U盤作為傳播載體,可被用來攻擊基礎設施、存放關鍵資料的核心隔離系統等,對政企單位的內網安全有較大威脅。由於該次攻擊主要影響羣體為頻繁使用U盤進行文件傳送的區域網用戶,使得校園和政企等單位頻頻中招。
其實「震網3」這種通過快捷方式產生的漏洞本身沒什麼技術含量,但由於其超鏈接的特性能夠執行系統上任意程序或腳本,自由度極高且隱蔽性強而在漏洞利用攻擊中喜聞樂見。
3.4.3 「412」掛馬風暴(CVE-2016-0189)
2018年4月12日,騰訊御見威脅情報中心監控到大量客戶端的內嵌新聞頁中被嵌入惡意代碼,導致用戶在毫無知情的情況,被植入挖礦木馬、銀行木馬、以及遠控木馬等。本波掛馬波及到的客戶端多達50多個,影響超過20w用戶,影響面非常之廣。該掛馬利用了一個2016年3月的vbscript腳本引擎損壞漏洞(CVE-2016-0189)來下載惡意腳本。CVE-2016-0189與今年新的IE「雙殺」0day漏洞CVE-2018-8174一樣,曾經是一個被用於APT攻擊的0day漏洞,該漏洞利用了VBScript腳本引擎vbscript.dll中存在的數組訪問越界問題來執行惡意代碼。
可以看到,黑客們也會「偷懶」,幾乎所有被大量使用的漏洞,都是那些簡單易用、穩定又成功率高的漏洞。對於黑客而言,除非是為了完成一些特殊的任務,否則那些漏洞利用中的技術壁壘則是必須要考慮的因素之一。
3.5 Windows下半年頻現0day漏洞
今年是0day漏洞持續爆發的一年,Windows系產品可謂是多災多難,不僅在補丁發布和Win10子版本升級方面BUG頻出,讓用戶叫苦不迭;更是在短短半年時間內被連續曝出10枚0day漏洞,7枚已發現野外利用,而其中有6枚在被發現的短短几天時間內,就迅速被APT組織利用於盜竊企業、政府機構的機密信息,0day漏洞的重要性,從這些黑客的手上就能夠讀懂。
3.5.1 「雙殺」0day漏洞被APT組織DarkHotel(黑店)APT組織利用(CVE-2018-8174、CVE-2018-8242、CVE-2018-8373)
2018年4月18日,首個IE「雙殺」系列漏洞CVE-2018-8174的在野攻擊樣本被發現,由此開啟了Windows下半年每月「穩定供應」一個0day漏洞的節奏。
據報道稱,該樣本來自一個被命名為Darkhotel(APT-C-06)的APT組織。該APT組織善於利用高危漏洞針對企事業單位進行定向攻擊,竊取國家機密,DarkHotel早在年初就利用Office公式編輯器漏洞發起過針對政府單位的攻擊。
在接下來的7月、8月裏,Internet Explorer又相繼被曝出「雙殺」二代(CVE-2018-8242)和「雙殺」三代(CVE-2018-8373)0day漏洞。DarkHotel組織再度使用相同的攻擊技術,利用 「雙殺」三代針對企業高管、國防工業、電子工業等重要機構發起定向攻擊。
除被APT組織多次利用外,「雙殺」一代(CVE-2018-8174)還在6月16日被騰訊御見威脅情報中心捕獲到一個木馬傳播利用的案例。一款名為「流量寶流量版」的軟體在軟體內嵌的IE瀏覽器中利用該漏洞執行shellcode並下載DDoS木馬和挖礦木馬等將受害電腦控制為肉雞。來自該樣本的漏洞利用攻擊請求次數,最高曾高達30多萬次。
3.5.2 APT組織Darkhydrus和摩訶草對CVE-2018-8414的利用
2018年6月,一種關於Windows 10新引入的文件類型「.SettingContent-ms」的任意代碼執行攻擊技巧被公開了POC,該漏洞一遭公開就迅速被不法黑客和APT組織利用。在野外攻擊中,捕獲多個利用該0day漏洞的攻擊樣本。
據報道,曾發現Darkhydrus使用該漏洞利用技術,用於投遞DNS隧道通信攻擊,另外,疑似APT組織摩訶草也曾利用該漏洞投放攻擊樣本。
直到2018年8月14日微軟才發布相應漏洞補丁並給予漏洞編號CVE-2018-8414。
3.5.3 APT組織FruityArmor對CVE-2018-8453的利用
CVE-2018-8453是一個位於win32kfull!xxxDestroyWindow函數中的UAF遠程代碼漏洞,該漏洞最早在8月由卡巴斯基實驗室發現被APT組織FruityArmor利用於近期的攻擊活動中,據悉,卡巴斯基實驗室捕獲的攻擊樣本使用的shellcode長期以來只被FruityArmor在C2領域所使用,而這次,FuityArmor利用該漏洞發起的攻擊似乎有高度針對性,僅影響了中東地區的十幾名用戶。
3.5.4 APT組織SandCat對兩枚0day提權漏洞的利用(CVE-2018-8589、CVE-2018-8611)
10月17日,卡巴斯基實驗室發現一例APT組織SandCat針對中東地區用戶進行的小範圍針對性攻擊,該攻擊利用了Windows Win32k本地提權漏洞CVE-2018-8589,該漏洞僅影響Windows 7 x86以及Windows Server 2008操作系統,暫時僅被發現利用於APT活動。
而該漏洞被發現還不到一個月,在10月29日,再次發現一枚新的Windows內核提權0day漏洞CVE-2018-8611被同一組織利用。新的漏洞可以繞過了主流web瀏覽器的沙箱,相較於CVE-2018-8589而言更具威脅性。
Windows下半年被曝出的0day漏洞,幾乎都是通過APT組織投放的攻擊樣本發現,可以看出APT組織較喜愛利用0day漏洞,以達到出其不意,一擊必殺的目的,且將攻擊影響範圍縮到最小,確保攻擊活動的隱匿性。
4 如何做好漏洞防護
4.1 個人用戶漏洞防護
4.1.1 及時修復安全漏洞開啟安全軟體實時防護
防範漏洞攻擊最直接有效的方法就是使用新版本的系統,並且及時修復系統環境中存在的安全漏洞。騰訊電腦管家漏洞雲庫收集了超過千款補丁,支持Windows,Office,Flash等產品的漏洞修復,採用快速修復引擎,降低50%的漏洞修復時間,100%還原windows update功能,保證了漏洞修復的準確性和系統兼容性。並且開啟電腦管家實時防護可以有效攔截利用漏洞觸發傳播的病毒,有效彌補因各種原因未能及時修復漏洞的不足。
4.1.2 培養良好的計算機使用習慣
個人需提高計算機網路安全意識,不輕易下載不明軟體程序,不輕易打開不明郵件夾帶的可疑附件,注意識別&不輕易打開可疑的網站,及時備份重要的數據文件。
4.2 企業用戶漏洞防護
4.2.1 建立有效的漏洞情報監控體系,建設完善的漏洞補丁管理能力
建立起有效的安全情報監控體系,密切關注各大安全媒體如「御見威脅情報中心」的威脅情報預警。
同時需要做好生產力工具的安全管理,積極安裝最新補丁,修復漏洞,時刻保證個人/企業使用的設備、軟體、硬體的安全性,縮短漏洞平均存續期,可以大大減少被不法分子攻擊的可能。使用騰訊御點終端安全管理系統可以全網統一安裝系統補丁,提升客戶端的安全性。
4.2.2 安全演練,培養員工良好的信息安全意識
定期組織企業信息安全演練,以釣魚郵件、釣魚網頁、社會工程等擬真攻擊手段來提高員工安全意識,能使員工對信息安全有更深刻的印象與認識,從終端杜絕安全威脅。
5 回顧2018,展望2019
回顧2018,勒索病毒、挖礦木馬大行其道,智能合約、智能硬體、人工智慧等新技術帶來新趨勢的同時更帶來新的安全威脅,全球各領域漏洞提交數量持續上漲而0day漏洞正變得愈發常見,全球各行各業的重大信息泄露事件層見迭出,APT組織帶有政治意味的攻擊也愈發猖狂,國際信息安全態勢正處於弓弦逐漸緊繃的時刻,而作為信息安全守護者的我們,更應該時刻思考如何應對新的變化,永遠做好迎接全新挑戰的準備。
5.1 思維進化,道高一丈
2018年12月,國內黑客就用一起典型的、針對軟體供應鏈發起的攻擊結合利用漏洞傳播木馬的安全事件(廣東省深圳市某知名軟體廠商軟體升級通道傳播木馬),拉開了安全攻防新時代的巨幕。在技術革新不斷發生的時代,「進攻方」的手段在不斷演化升級,作為「防守方」更要時刻開闊眼界,與時俱進,不死守陳舊的防守觀,追求「魔高一尺道高一丈」,才能真正成為信息安全的守護神。
5.2 千里之堤毀於蟻穴,人永遠是最大的漏洞
釣魚、廣告甚至社會工程學等傳統、低技術含量的手段能夠屢試不爽,成為黑客們最喜愛的傳播病毒、木馬的手段,恰恰說明瞭信息安全中最大的漏洞還是在人身上。低技術含量的攻擊手段本身,就是個高效的篩選器,可以過濾掉那些對計算機和網路十分了解的精明用戶,將安全意識低下的目標人羣篩選出來,真正地達到高精準的定點攻擊,基於這樣的情況,企業、政府等機構更是需要多進行安全事件演習,加強業務人員的信息安全意識,才能在真正意義上「修復漏洞」,保障信息安全。
5.3 需建設多維、立體的安全能力體系
安全漏洞涉及計算機的方方面面,企業信息安全不能再只作簡單的網路隔離,更要全方位地加強企業生產力設備中網路、軟體、硬體的安全性,做好補丁管理及時更新企業軟硬體,並建設一定的漏洞檢測、安全應急響應、威脅情報監控、攻擊溯源追蹤能力,才能擁有一道更堅固的信息安全防火牆。
推薦閱讀:
