行业新闻

火眼0day漏洞利用研究(一)

火眼0day漏洞利用研究(一)

网络威胁情报(CTI)在关键战略和战术中有着重要地位,CTI可跟踪,分析和确定软件漏洞等级,分析漏洞可能会对组织,员工和客户造成的威胁。FireEye Mandiant威胁情报强调了CTI在漏洞管理中的价值,并详细介绍了最新威胁,趋势和安全建议等研究数据。

2019年0day漏洞利用量比前三年都要多,但并不是每个0day都可以追溯到特定的组织。此外,越来越多的组织具备了使用0day漏洞的能力,许多组织会通过购买公司服务进行攻击,并且针对中东的0day攻击也在增加。未来可能会看到更多的组织使用0day。

0day利用情况

自2017年底以来,私人公司一直在为其客户提供攻击性网络工具和服务,0day数量显著提升。 此外针对中东或与该地区有联系的组织使用的0day数量也在增加。

研究人员有以下发现:

1、名为‘Stealth Falcon’和‘FruityArmor’的组织将目标锁定在中东的记者和活动家,在2016年,该组织使用了NSO出售的恶意软件,该软件利用了三个iOS零日漏洞。从2016年到2019年,该组织使用额0day远超其他组织。

2、名为‘SandCat’的网络攻击活动被怀疑与乌兹别克斯坦的国家情报机关有关,该组织在活动中使用了‘Stealth Falcon’相同的0day,推测其也是从NSO或相关私营公司中购买。

3、在2016年和2017年期间,针对中东的‘BlackOasis’组织同样也是从私营公司Gamma Group购买了一系列的0day。

研究人员还注意到一些0day漏洞未追溯到特定组织,但可以在私营公司提供的工具发现踪迹,例如:

1、2019年,WhatsApp(CVE-2019-3568)0day漏洞出现在NSO集团开发的间谍软件中。

2、FireEye分析了针对俄罗斯医疗保健组织的攻击活动,攻击组织利用了2018年Adobe Flash 0ayd漏洞(CVE-2018-15982),该漏洞可能与泄露的Hacking Team源码有关。

3、NSO Group工具利用了Android0day漏洞CVE-2019-2215。

网络大国0day力量

1、APT3在2016年利用CVE-2019-0703进行了有针对性的攻击。

2、2017年朝鲜组织APT37利用了Adobe Flash漏洞CVE-2018-487进行攻击。 该组织可在发现漏洞后可迅速利用。

3、从2017年12月到2018年1月,多个组织利用CVE-2018-0802针对欧洲,俄罗斯,东南亚和台湾多个行业发起攻击。

4、2017年,俄罗斯APT28和Turla在攻击中用了多个Microsoft Office0day。

此外,许多危险组织具有很强的公开漏洞利用能力。在漏洞发布的窗口期内(补丁发布前),这些组织能够迅速将漏洞武器化并运用到实际攻击中去。

经济利益驱动的组织

以经济利益驱动的组织也在利用0day进行攻击,其频率比间谍组织低。

FIN6在2019年2月攻击中使用了Windows Server 2019 UAF 0day漏洞(CVE-2019-0859)。公开消息表明该组织有可能从“BuggiCorp”购买0day,但尚未找到直接证据。

总结

根据对私营公司及其客户0day使用情况分析,0day漏洞变得越来越商品化。可能有以下原因:

1、私营公司挖掘0day能力日益突出,导致0day多集中在资源丰富的组织中。

2、私营公司可能会向总体能力较低的组织或对全性较少关注的组织提供服务,这使得0day利用数量大幅提高。

更多的组织会继续支持0day漏洞挖掘,只要有足够的能力和资金支持,攻击组织和0day数量都将不断增加。

*参考来源:fireeye,由Kriston编译,转载请注明来自FreeBuf.COM

关闭