一、序言
漏洞是影响网络安全的主要成分,而漏洞攻击作为恶意攻击的最常用手段,更是有着目标行业化、手段多样化的趋势,不论是个人还是企业,都面临着严厉的漏洞威胁。
2018年在轰动式的“幽灵”、“熔断”两大CPU漏洞中揭开序幕。“震网3漏洞利用挖矿”、“412挂马风暴”等安全事宜发生表明,漏洞利用攻击,不再是APT组织的“专属”,漏洞利用正往“低本钱化”趋势发展。过去一年,Windows、Office、IE、Flash等高危漏洞频繁被曝光,而各种野外漏洞利用更是攻击层出不穷,更给个人和企业的网络安全带来了严厉的威胁。本报告紧张重点剖析2018年Windows平台的漏洞攻击态势,并给个人和企业合理化的漏洞防护建议。
二、2018年Windows平台漏洞盘点
2018年对付安全行业是颇具磨练的一年,据安全数据库网站cvedetails.com的漏洞提交数据统计,自1999年起,Windows操作系统的漏洞提交数量就呈逐年上涨的趋势,而在近几年达到了一个爆发期,今年的安全漏洞提交数相较过往三年同比上升最高超过40%,安全漏洞的数量和严重性创下历史新高。
2.1 2018年Windows安全公告数量
在软硬件漏洞各处都是的本日,补丁管理作为网络安全最根本的一环,就显得尤为主要。在企业选择产品时亦须要把稳厂商对其产品安全性的投入,只有软件/平台开拓商对付产品安全性投入高,产品才有保障。微软作为环球有名的软件开拓商,对其名下产品的安全性投入是比较到位的,每月都会进行掩护发布补丁修复安全漏洞。2018整年微软共为其产品(Windows,IE/Edge,office等)发布了874个补丁,修复了728个漏洞,均匀每月修复多达60个漏洞。
2.2 Windows漏洞影响产品&系统分布
2018年,在所有漏洞影响的Windows产品中,Windows系统组件漏洞占到了35%的比例,浏览器漏洞占25%,Office漏洞则占比17% 。
根据腾讯御见威胁情报中央的数据监测,虽然Office和Adobe(紧张是Flash)被曝光的漏洞相对较少,但漏洞利用的比例最高。可见,黑客挑选漏洞时,更可能是优先考虑漏洞利用的本钱,并参考其攻击目标人群与产品用户的重合度,而与产品本身漏洞量的多少并无正干系。
比较较2017年,2018年Office和.net的漏洞曝光量上升比较明显,相对Windows系统组件漏洞,Office漏洞常被大家忽略,但却备受黑客喜好,浩瀚专业黑客组织对主要目标的攻击,会选择利用Office高危漏洞,腾讯御见威胁情报中央再次提醒大家需及时安装Office漏洞补丁,避免有时打开一个文档就被植入后门。
在所有Windows各版本中,受到最多漏洞影响的却是Windows 10系统,这解释Windows 10已是主流的操作系统版本,其漏洞曝光量正越来越多,同时提醒广大用户,即便利用最新版本的操作系统,也不可忽略漏洞风险,每个月及时安装安全更新是戒备黑客入侵的必要步骤。
从2017年同比数据也可以看出,Windows Server 2016上报告的漏洞数增加了近7%,同时可预测,针对新版做事器操作系统的漏洞也将越来越多。
2.3 2018年漏洞攻击的地区&行业分布
2018年漏洞攻击地区分布与当地经济水平及信息化遍及程度干系。2018年漏洞攻击集中在北上广三地,个中以国家政府机关、高科技人才和经济富余人士搜集的都城北京首当其冲。北上广是全国经济、政治和科技要地,更是走在中国国际化的前列,大量可见利益搜集,是不法黑客首选的攻击目标。
根据腾讯御见威胁情报中央数据监测, Windows操作系统存在高危漏洞在教诲、政府、卫生医疗行业占比最高。
从受攻击量的比拟数据看,政府、教诲、医疗卫生行业由于其系统存在大量高危漏洞未及时修复,所受攻击次数也相对较高。而科技行业虽然漏洞存在量相对较少,受攻击量却是最高的,这样从另一方面解释,漏洞利用攻击者常日是有目的针对性地采纳攻击,对科技行业的攻击,泄取机密每每成为首选目的。
2.4 海内用户整体漏洞修复情形&高危漏洞修复情形
2018海内用户整体漏洞修复中,Windows漏洞和.NET漏洞达到了70%以上的修复率,其次是IE、Flash和Office漏洞修复率徘徊在60%高下。整体漏洞修复率偏低可以反响出海内的个人用户目前的信息安全意识亟待提升,公众对付安全漏洞的危害认知尚不到位。
而在四类高危漏洞(存在野外利用的漏洞)修复中,Windows高危漏洞达到了82%的修复率,其次是IE和.NET高危漏洞修复率约达到70%,Flash和Office高危漏洞则修复率较低,仅有约50%。
Flash高危漏洞修复率偏低是由于许多第三方软件会自带一个Flash插件,而微软官方供应的Flash补丁仅能更新个中一小部分,无法完备覆盖第三方浏览器目录下的所有Flash插件,导致部分用户电脑上的Flash漏洞较难得到彻底修复办理。
Office软件本身对更新做的是相对较弱的提示,如果没有第三方安全软件的强提醒,一样平常用户主动安装补丁修复Office安全漏洞的较少;另一方面,海内存在大量盗版Office用户,而这些盗版镜像每每经由镜像制作者的修正,难以正常安装补丁。对付主要确当局机构、企奇迹单位、科研机构来说,软件系统的正版化对降落黑客入侵风险具有十分主要的意义。
2.5 Windows漏洞危害类型分布&漏洞危害等级分布
在2018年曝光的Windows平台漏洞中,远程实行代码类漏洞达到了42%的高占比,其次是信息透露类漏洞和特权提升类漏洞各占20%。远程实行代码类漏洞由于其兼具暗藏性与自由度,广受黑客攻击者欢迎,今年曝出的两个IE“双杀”0day漏洞(CVE-2018-8174、CVE-2018-8373)便是被广泛利用于恶意攻击的最好例子。
2018年曝光的Windows平台漏洞中,“危急”等级(漏洞危害第一流级)的漏洞占比23%,“危急”等级的漏洞量依然霸占着较高的比例。
2.6 Windows漏洞利用病毒分布&被利用的漏洞分布
在2018年利用漏洞进行攻击的病毒中,非PE(文件格式)占了66%的高比例,而PE文件占了31%。常见非PE漏洞攻击病毒有Office宏类病毒、脚本类病毒。比较较PE,非PE病毒的攻击手腕更灵巧,对安全软件来说检测非PE病毒更为困难。
2.7 2018年Windows平台高危漏洞盘点
2018年1月,Microsoft Office公式编辑器再次曝出两个高危漏洞CVE-2018-0798和CVE-2018-0802。CVE-2018-0798是Office公式编辑器在解析Matrix Record(0x05)的内容时,没有对行与列的成员进行特定的长度校验,这就导致黑客可以通过精心布局内容任意指定后续读入的行与列长度,从而造成栈溢出。CVE-2018-0802技能事理与之类似,微软在1月9日通过发布移除公式编辑器的补丁修复这两个漏洞。
2月,Adobe Flash被曝出一个0day漏洞CVE-2018-4878。该漏洞影响版本在28.0.0.137以下的Adobe Flash,通过修正Flash脚本工具ByteArray的值至分外长度来实现任意地址读写,实现漏洞利用,再将Adobe Flash Player嵌入Office文档和邮件等载体中并诱利用户打开的路子快速传播漏洞,在解析ATF文件时访问内部数据构造利用了无效的指针偏移导致漏洞,成功攻击后可能会导致敏感信息透露。该漏洞在2月6日被修复;
3月,Ulf Frisk曝光了一个Windows内核提权高危漏洞Totel Meltdown(CVE-2018-1038 )。该漏洞是由微软先前发布用于修复“Meltdown”漏洞的补丁产生的新问题,补丁缺点地将PML4权限设定成用户级,可以让任意进程读取并修正页表项目,该漏洞仅影响Windows7 x64 和 Windows Server 2008 R2系统,并在3月29日被修复;
4月,Internet Explorer被曝出一个0day漏洞“双杀”(CVE-2018-8174)。该漏洞通过VBScriptClass::Release函数中存在的毛病访问未分配内存,从而触发漏洞达到任意地址读写的目的。该漏洞通过精心布局的页面或往邮件或Office文档中嵌入VBScript脚本即可触发,危害性较强,也因此被命名为“双杀”漏洞,且一遭曝光便第一韶光被APT组织利用于黑客活动。该漏洞于5月8日被修复;
5月,Windows操作系统和Adobe Acrobat/Reader PDF阅读器被ESET公布了两个捆绑在一起的0day漏洞。(CVE-2018-8120、CVE-2018-4990)这是源于ESET在3月捕获的用于攻击测试的一个PDF样本。CVE-2018-4990实际上是一个堆内存越界访问任意地址开释漏洞,原样本精准地利用堆喷射布局内存,然后开释两块大小为0xfff8的相邻堆块,在Windows堆分配算法将堆块合并后,利用该堆块改写一个ArrayBuffer工具的长度为0x66666666从而实现任意地址读写。CVE-2018-8120则是由于内核函数 SetImeInfoEx 未对其目标窗口站 tagWINDOWSTATION的指针成员域 spklList 的指向地址进行有效性校验,而是直接进行读取访问。这两个漏洞已在5月被修复;
6月,Windows 10被曝出一个0day漏洞(CVE-2018-8414)。这是一个Windows Shell 远程实行代码漏洞,由于Windows Shell在某些情形下会禁绝确地验证文件路径,通过精心布局的恶意脚本触发该漏洞,可以达到任意读写的目的。该漏洞仅适用于Windows 10的新文件类型“.SettingContent-ms”,该漏洞直到8月14日才正式分配CVE编号并修复。
7月,Internet Explorer被曝光0day漏洞“双杀”二代(CVE-2018-8242),它的涌现是由于4月“双杀”一代(CVE-2018-8174)的修复补丁并未完备办理漏洞,导致VBScript脚本引擎中仍存在类似问题,该漏洞由360Vulcan团队创造并提交,并在7月10日被修复;
8月
(1) Exchange Server被公开了一个内存破坏漏洞(CVE-2018-8302)的POC,攻击者可利用钓鱼攻击触发漏洞利用攻击企业用户打算机,并再次发起攻击直至接管Exchange Server做事器。Exchange对语音邮件的吸收存储过程中,会转换语音邮件读取TopNWords.Data并通过.NET BinaryFormatter对它反序列化,该漏洞就存在于反序列化过程中。
(2) Internet Explorer被Trendmicro曝出0day漏洞“双杀”三代(CVE-2018-8373),它基于与“双杀”一代相似的事理,通过VBScript.dll中存在的毛病获取任意读取权限。两例漏洞都于8月14日被修复;
9月
(1) Windows被曝出ALPC提权0day漏洞(CVE-2018-8440),它通过高等本地过程调用(ALPC)函数中SchRpcSetSecurity函数无法精确检讨用户权限的毛病,得到本地权限提升(LPE)来实行恶意代码。
(2) Microsoft Jet Database Engine被公开了一个远程代码实行0day漏洞(CVE-2018-8423)的POC,该漏洞是一种越界(OOB)写入漏洞,可勾引用户打开包含以JET数据库格式存储的数据的特制文件,通过工具链接和嵌入数据库(OLEDB)的Microsoft组件打开Jet源来触发漏洞,发起攻击。两例漏洞分别于9月11日和10月9日被修复;
10月
(1) Microsoft Edge被公开了一个关于Windows Shell的RCE高危漏洞(CVE-2018-8495)的POC,攻击者可以利用该漏洞利用POC,通过Microsoft Edge布局包含分外URI的网页,勾引用户打开即可实现在远程打算机上运行恶意代码。漏洞是由于Windows Shell处理URI时,未过滤分外的URI所导致(如拉起脚本的Windows Script Host的URI为wshfile)。
(2) Windows被曝出一个Win32k提权0day漏洞(CVE-2018-8453),它的利用过程较为繁芜,简言之是利用了在win32k.sys组件的win32kfull!xxxDestroyWindow函数中的UAF漏洞从而获取本地提权。两例漏洞都于10月9日修复;
11月,Windows再被曝出Win32k提权0day漏洞(CVE-2018-8589)。它的涌现是由于在win32k!xxxMoveWindow函数中存在不恰当的竞争条件,导致线程之间同时发送的信息可能被不当锁定。该漏洞已在11月13日被修复;
12月
(1) Microsoft DNS Server被曝光存在一个堆溢出高危漏洞(CVE-2018-8626)。所有被设置为DNS做事器的Windows做事器都会受到此漏洞影响。攻击者向Windows DNS做事器发送精心布局的漏洞利用恶意要求,以触发堆溢出并远程代码实行。漏洞于12月11日发布补丁修复。
(2) Windows连续第四个月被曝出0day漏洞。这次是一个更加高危的kernel内核事务管理器驱动程序的提权漏洞(CVE-2018-8611),它是源于kernel模式下对文件操作的不当处理引发内核事务管理器产生竞争条件,此漏洞绕过了现在主流web浏览器的进程缓解策略而从实现沙箱逃逸,这可让黑客在web上构建完全的远程代码实行攻击链。该漏洞最初在10月29日被创造,微软于12月11日分配CVE号并公布修复补丁;
三、2018范例漏洞安全事宜
2018年的安全行业,可谓是“热闹非凡”。前有打单病毒野火烧不尽,东风吹又生;后有随着区块链观点被炒热,挖矿挂马频出;上有APT组织针对企业、政府、科研机构、奇迹单位的定向攻击;下有针对外贸行业的“商贸信”钓鱼邮件和针对个人用户的钓鱼邮件攻击,小规模爆发。
而专业APT组织的攻击手腕,对普通病毒木马黑产起到教科书般的辅导和示范浸染,致使高危漏洞的利用从高端到大众快速传播遍及,高危漏洞对信息安全的影响力之大,由此便可见一斑。
3.1 “新一代幽灵”——英特尔CPU漏洞持续升级
继年初创造的CPU漏洞Meltdown和Spectre后,英特尔处理器在2018年5月初又被Google Project Zero安全研究团队曝出发现8个新的“幽灵式”硬件漏洞,被称为“新一代幽灵”——Spectre-NG。利用该漏洞可绕过云主机系统与虚拟机的隔离,实现虚拟机逃逸,盗取机密信息。并且,利用该漏洞还可以攻击同一做事器的其它虚拟机。
然而,不才半年再次创造了英特尔CPU存在TLBleed、Foreshadow、PortSmash等多个超线程漏洞。11月初创造的PortSmash漏洞(CVE-2018-5407)影响所有支持超线程技能的Intel处理器。利用该漏洞,攻击者所在的进程可以盗取运行在同一个物理内核的其余一个进程的隐私数据,安全研究职员已经实现从OpenSSL进程中盗取私钥。
一系列的CPU漏洞,对芯片漏洞的修复同样一波三折,仓促发布的补丁带来新的风险,同时导致CPU性能低落,补丁不得不发行了多个版本,终极匆匆使英特尔加快新一代处理器的发布进程,并成为把超线程技能彻底砍掉的末了一根稻草。
3.2 Office公式编辑器再曝新漏洞,商贸信钓鱼攻击屡试不爽 (CVE-2017-11882、CVE-2018-0802、CVE-2018-0798)
Office公式编辑器漏洞(CVE-2017-11882)是范例的栈溢出漏洞,存在于Eqnedit.exe组件中,该漏洞影响所有Office版本且极易利用,由于该漏洞在2017年11月14日仅仅被Windows添加了ASLR(地址随机化)漏洞缓解方法,实际上并未真正修复,且大量用户并不升级Office补丁,因此至今仍能见到许多野外攻击案例。
2017年12月20日,腾讯御见威胁情报中央就创造Eqnedt32模块还存在其他漏洞,同时捕获了一例“黑凤梨”(BlackTech)APT组织利用Office公式编辑器中的0day漏洞(CVE-2018-0802)进行攻击的样本,该样本采取鱼叉攻击的办法将携带恶意代码的Office文档伪装成办公函件进行传播,影响范围较为广泛。
2018年1月9日,Office公式编辑器再曝出新漏洞,这次Windows干脆直接通过删掉公式编辑器的路子来修复漏洞,一了百了。但漏洞补丁刚发布一周,就已开始涌现多例CVE-2018-0798漏洞的变种和在野利用。
2018年2月26日腾讯御见威胁情报中央捕获到doc文档样本利用了CVE-2017-11882,通过***并运行已被公开源码的“波尼”木马,盗取用户比特币钱包文件等敏感信息。
2018年6月1日,腾讯御见威胁情报中央再次检测到针对中国进出口企业投放的,利用CVE-2017-11882的大规模“商贸信”攻击,此类攻击邮件的投放量每天达上千封之多,病毒变种也层出不穷。
由此可以预见,未来相称长的一段韶光内,鱼叉攻击+大略易用又十分符合办公场景的Office公式编辑器漏洞,仍会成为备受欢迎的针对中小型企业的攻击手段之一。
3.3 Adobe系列产品多次报警,0day漏洞屡遭曝光
3.3.1 Adobe Flash再曝0day野外利用(CVE-2018-4878、CVE-2018-5002)
2018年2月1日, Adobe官方发布了安全通知布告(APSA18-01)称一个最新的Adobe Flash零日漏洞被创造用于针对韩国地区的职员发起鱼叉攻击。该0day漏洞编号为CVE-2018-4878,官方已于2月5日发布补丁进行修复。漏洞公布后,随即创造大量垃圾邮件迅速利用该漏洞进行传播,攻击者发送带有短链接的恶意Word文档的电子邮件,不才载并打开Word文档后,利用该漏洞打开命令行,再用链接到的恶意域的恶意shellcode远程注入命令,***一个名为m.db的DLL文件,并利用regsvr32进程实行,完成攻击链。
CVE-2018-5002则在2018年6月7日被创造野外利用,由APT组织Hacking Team通过即时谈天工具或邮箱发送包含外交部官员基本人为情形(阿拉伯语)的钓鱼文档进行攻击,在诱饵文档被用户打开后在宿主进程excel中实行恶意代码,并利用假冒的网站作为木马***站达成进攻目的。攻击者将Loader、Exploit、Payload实施分离支配,加大安全工程师逆向还原漏洞利用代码的难度,显然是经由精心准备。
该APT组织费尽心思精心布局了攻击链,并利用0day漏洞攻击政府干系部门,可见其具有一定的政治意图。
3.3.2 Adobe Reader被创造0day漏洞在野利用攻击(CVE-2018-8120、CVE-2018-4990)
2018年5月15日, ESET捕获了一个利用两个0day漏洞联合进行攻击的PDF样本,个中包括一个Adobe Reader的0day漏洞(CVE-2018-4990)和Win32k的内核提权0day漏洞(CVE-2018-8120)。
CVE-2018-8120是Win32k特权提升漏洞,CVE-2018-4990是Adobe Acrobat/Reader的堆内存越界访问任意地址开释漏洞,攻击样本通过CVE-2018-4990获取代码实行权限,再通过利用内核提权漏洞绕过Adobe Acrobat/Reader的沙盒保护并实现任意代码实行。而故意思的是该样本仅是一个测试样本,两个0day漏洞还没来得及利用于攻击便已被修复。
3.4 老漏洞被反复利用,“永恒之蓝”是否真的永恒?
多数黑客进攻个人电脑和企业做事器的目的,还是从不法路子谋取利益。每每是美味的蛋糕在哪里,不法黑客的身影就涌如今哪里,病毒与木马也就跬步不离地进攻到哪里。而这批利益至上的黑客们,对易用又稳定的老漏洞可谓是爱不释手,让我们再来看看2018年那些利用老漏洞进行攻击的热点安全事宜。
3.4.1 “永恒之蓝”系列漏洞:从打单病毒到挖矿木马
“永恒之蓝”是一个于2017年被曝光的,存在于445端口上的SMB文件共享协议漏洞,不法分子利用此漏洞获取系统最高权限,将病毒木马等恶意软件植入Windows系统。近两年来, “永恒之蓝”漏洞已经成为被利用程度最高的安全漏洞之一。
打单病毒紧张通过三种路子传播:漏洞利用、钓鱼邮件和广告。个中通过漏洞发起的攻击占攻击总数的80%以上,范例案例便是以利用“永恒之蓝”漏洞主动传播的蠕虫式打单病毒。“永恒之蓝”(WannaCry)可以说是开启了打单病毒的新时期,并将这样的势头延续到了今年。其余,随着区块链的观点加倍火热,今年越来越多的人加入炒币行列,而不法黑客自然不会放过这个牟利的好机会。
今年3月,腾讯御见情报威胁中央就捕获一个门罗币挖矿木马WannaMiner利用“永恒之蓝”漏洞在局域网内传播,将染毒机器打造成弘大的僵尸网络,长期潜伏挖矿,海内600多家企业超3万台电脑受到传染;
今年5月,捕获一款门罗币挖矿木马“微笑”通过扫描“永恒之蓝”漏洞攻击企业做事器悄悄在后台进行挖矿。该木马从3月就开始活动,截至5月,其已经累计挖取846枚门罗币,挖矿收入一度高达120万公民币;
6月1日,捕获一款Glupteba恶意代理木马利用“永恒之蓝”漏洞在局域网迅速传播,传染量激增;
今年8月,台积电曝出遭受WannaCry打单病毒攻击导致产线瘫痪,造成25.96亿新台币丢失;
8月9日,捕获蠕虫病毒bulehero利用“永恒之蓝”漏洞在企业内网攻击传播;
11月,又有一家有名半导体企业合晶科技,其位于大陆的工厂全线传染WannaCry打单病毒,造成产线瘫痪,工厂全部停产。
由于越大型的单位和机器系统,越追求稳定性,利用的越是win7sp0、xp等微软早已停滞供应更新做事的操作系统,因此存在大量无法及时修复的漏洞。而只要漏洞场景存在,安全威胁就不会消逝,与打单病毒和挖矿木马的抗争,就必须持续进行下去。
3.4.2 海内首例利用“震网3”LNK漏洞履行挖矿
2018年3月,腾讯御见威胁情报中央监测到,海内首例利用U盘作为传播载体,利用lnk远程代码实行漏洞(CVE-2017-8464)作为紧张传播手段的门罗币挖矿木马。
病毒样本通过利用Lnk漏洞实行恶意代码,还会自动传染其它插入的可移动磁盘。利用U盘作为传播载体,可被用来攻击根本举动步伐、存放关键资料的核心隔离系统等,对政企单位的内网安全有较大威胁。由于该次攻击紧张影响群体为频繁利用U盘进行文件传送的局域网用户,使得校园和政企等单位频频中招。
实在“震网3”这种通过快捷办法产生的漏洞本身没什么技能含量,但由于其超链接的特性能够实行系统上任意程序或脚本,自由度极高且暗藏性强而在漏洞利用攻击中喜闻乐见。
3.4.3 “412”挂马风暴(CVE-2016-0189)
2018年4月12日,腾讯御见威胁情报中央监控到大量客户真个内嵌***页中被嵌入恶意代码,导致用户在毫无知情的情形,被植入挖矿木马、银行木马、以及远控木马等。本波挂马波及到的客户端多达50多个,影响超过20w用户,影响面非常之广。该挂马利用了一个2016年3月的vbscript脚本引擎破坏漏洞(CVE-2016-0189)来***恶意脚本。CVE-2016-0189与今年新的IE“双杀”0day漏洞CVE-2018-8174一样,曾经是一个被用于APT攻击的0day漏洞,该漏洞利用了VBScript脚本引擎vbscript.dll中存在的数组访问越界问题来实行恶意代码。
可以看到,黑客们也会“偷
3.5 Windows下半年频现0day漏洞
今年是0day漏洞持续爆发的一年,Windows系产品可谓是多难多难,不仅在补丁发布和Win10子版本升级方面BUG频出,让用户叫苦不迭;更是在短短半年韶光内被连续曝出10个0day漏洞,7个已创造野外利用,而个中有6个在被创造的短短几天韶光内,就迅速被APT组织利用于盗窃企业、政府机构的机密信息,0day漏洞的主要性,从这些黑客的手上就能够读懂。
3.5.1 “双杀”0day漏洞被APT组织DarkHotel(黑店)APT组织利用(CVE-2018-8174、CVE-2018-8242、CVE-2018-8373)
2018年4月18日,首个IE“双杀”系列漏洞CVE-2018-8174的在野攻击样本被创造,由此开启了Windows下半年每月“稳定供应”一个0day漏洞的节奏。
据宣布称,该样本来自一个被命名为Darkhotel(APT-C-06)的APT组织。该APT组织长于利用高危漏洞针对企奇迹单位进行定向攻击,盗取国家机密,DarkHotel早在年初就利用Office公式编辑器漏洞发起过针对政府单位的攻击。
在接下来的7月、8月里,Internet Explorer又相继被曝出“双杀”二代(CVE-2018-8242)和“双杀”三代(CVE-2018-8373)0day漏洞。DarkHotel组织再度利用相同的攻击技能,利用 “双杀”三代针对企业高管、国防工业、电子工业等主要机构发起定向攻击。
除被APT组织多次利用外,“双杀”一代(CVE-2018-8174)还在6月16日被腾讯御见威胁情报中央捕获到一个木马传播利用的案例。一款名为“流量宝流量版”的软件在软件内嵌的IE浏览器中利用该漏洞实行shellcode并***DDoS木马和挖矿木马等将受害电脑掌握为肉鸡。来自该样本的漏洞利用攻击要求次数,最高曾高达30多万次。
3.5.2 APT组织Darkhydrus和摩诃草对CVE-2018-8414的利用
2018年6月,一种关于Windows 10新引入的文件类型“.SettingContent-ms”的任意代码实行攻击技巧被公开了POC,该漏洞一遭公开就迅速被不法黑客和APT组织利用。在野外攻击中,捕获多个利用该0day漏洞的攻击样本。
据宣布,曾创造Darkhydrus利用该漏洞利用技能,用于投递DNS隧道通信攻击,其余,疑似APT组织摩诃草也曾利用该漏洞投放攻击样本。
直到2018年8月14日微软才发布相应漏洞补丁并给予漏洞编号CVE-2018-8414。
3.5.3 APT组织FruityArmor对CVE-2018-8453的利用
CVE-2018-8453是一个位于win32kfull!xxxDestroyWindow函数中的UAF远程代码漏洞,该漏洞最早在8月由卡巴斯基实验室创造被APT组织FruityArmor利用于近期的攻击活动中,据悉,卡巴斯基实验室捕获的攻击样本利用的shellcode长期以来只被FruityArmor在C2领域所利用,而这次,FuityArmor利用该漏洞发起的攻击彷佛有高度针对性,仅影响了中东地区的十几名用户。
3.5.4 APT组织SandCat对两个0day提权漏洞的利用(CVE-2018-8589、CVE-2018-8611)
10月17日,卡巴斯基实验室创造一例APT组织SandCat针对中东地区用户进行的小范围针对性攻击,该攻击利用了Windows Win32k本地提权漏洞CVE-2018-8589,该漏洞仅影响Windows 7 x86以及Windows Server 2008操作系统,暂时仅被创造利用于APT活动。
而该漏洞被创造还不到一个月,在10月29日,再次创造一个新的Windows内核提权0day漏洞CVE-2018-8611被同一组织利用。新的漏洞可以绕过了主流web浏览器的沙箱,相较于CVE-2018-8589而言更具威胁性。
Windows下半年被曝出的0day漏洞,险些都是通过APT组织投放的攻击样本创造,可以看出APT组织较喜好利用0day漏洞,以达到出其不虞,一击必杀的目的,且将攻击影响范围缩到最小,确保攻击活动的隐匿性。
四、 如何做好漏洞防护
4.1 个人用户漏洞防护
4.1.1 及时修复安全漏洞开启安全软件实时防护
戒备漏洞攻击最直接有效的方法便是利用新版本的系统,并且及时修复系统环境中存在的安全漏洞。腾讯电脑管家漏洞云库网络了超过千款补丁,支持Windows,Office,Flash等产品的漏洞修复,采取快速修复引擎,降落50%的漏洞修复韶光,100%还原windows update功能,担保了漏洞修复的准确性和系统兼容性。并且开启电脑管家实时防护可以有效拦截利用漏洞触发传播的病毒,有效填补因各种缘故原由未能及时修复漏洞的不敷。
4.1.2 培养良好的打算机利用习气
个人需提高打算机网络安全意识,不轻易***不明软件程序,不轻易打开不明邮件夹带的可疑附件,把稳识别&不轻易打开可疑的网站,及时备份主要的数据文件。
4.2 企业用户漏洞防护
4.2.1 建立有效的漏洞情报监控体系,培植完善的漏洞补丁管理能力
建立起有效的安全情报监控体系,密切关注各大安全媒体如“御见威胁情报中央”的威胁情报预警。
同时须要做好生产力工具的安全管理,积极安装最新补丁,修复漏洞,时候担保个人/企业利用的设备、软件、硬件的安全性,缩短漏洞均匀存续期,可以大大减少被不法分子攻击的可能。利用腾讯御点终端安全管理系统可以全网统一安装系统补丁,提升客户真个安全性。
4.2.2 安全演习训练,培养员工良好的信息安全意识
定期组织企业信息安全演习训练,以钓鱼邮件、钓鱼网页、社会工程等拟真攻击手段来提高员工安全意识,能使员工对信息安全有更深刻的印象与认识,从终端杜绝安全威胁。
五、 回顾2018,展望2019
回顾2018,打单病毒、挖矿木马大行其道,智能合约、智能硬件、人工智能等新技能带来新趋势的同时更带来新的安全威胁,环球各领域漏洞提交数量持续上涨而0day漏洞正变得愈发常见,环球各行各业的重大信息透露事宜层见迭出,APT组织带有政治意味的攻击也愈发专横狂,国际信息安全态势正处于弓弦逐渐紧绷的时候,而作为信息安全守护者的我们,更该当时候思考如何应对新的变革,永久做好欢迎全新寻衅的准备。
1. 思维进化,道高一丈
2018年12月,海内黑客就用一起范例的、针对软件供应链发起的攻击结合利用漏洞传播木马的安全事宜(广东省深圳市某有名软件厂商软件升级通道传播木马),拉开了安全攻防新时期的巨幕。在技能改造不断发生的时期,“进攻方”的手段在不断蜕变升级,作为“防守方”更要时候开阔眼界,与时俱进,不去世守迂腐的防守不雅观,追求“魔高一尺道高一丈”,才能真正成为信息安全的守护神。
2. 千里之堤毁于蚁穴,人永久是最大的漏洞
钓鱼、广告乃至社会工程学等传统、低技能含量的手段能够屡试不爽,成为黑客们最喜好的传播病毒、木马的手段,正好解释了信息安全中最大的漏洞还是在人身上。低技能含量的攻击手段本身,便是个高效的筛选器,可以过滤掉那些对打算机和网络十分理解的精明用户,将安全意识低下的目标人群筛选出来,真正地达到高精准的定点攻击,基于这样的情形,企业、政府等机构更是须要多进行安全事宜练习,加强业务职员的信息安全意识,才能在真正意义上“修复漏洞”,保障信息安全。
3. 需培植多维、立体的安全能力体系
安全漏洞涉及打算机的方方面面,企业信息安全不能再只作大略的网络隔离,更要全方位地加强企业生产力设备中网络、软件、硬件的安全性,做好补丁管理及时更新企业软硬件,并培植一定的漏洞检测、安全应急相应、威胁情报监控、攻击溯源追踪能力,才能拥有一道更坚固的信息安全防火墙。
