漏洞利用链(也称为漏洞利用链)是一种网络攻击方法,它将多个漏洞利用组合在一起以破坏目标。网络罪犯更喜欢使用它们来破坏设备或系统,以造成比专注于单一入口点更大的破坏或影响。据Forrester分析师SteveTurner称,漏洞利用链攻击的目标是获得内核/根/系统级访问权限以危害系统以执行攻击。利用漏洞利用链允许攻击者通过使用正常系统进程中的漏洞来绕过众多防御机制来快速升级自己,从而融入组织的环境。虽然利用链攻击通常需要网络犯罪分子更多的时间、精力和专业知识,但将利用组合在一起可以让恶意行为者执行更复杂且难以修复的攻击,具体取决于利用序列的长度和复杂性。漏洞利用链的风险漏洞利用链给组织带来的风险可能很大。漏洞利用链的执行往往发生得非常快,大多数组织没有适当的政策、流程和工具来积极预防或遏制此类威胁,Turner说。VulcanCyber??研究团队负责人OrtalKeizman表示,不幸的现实是IT安全团队背负着这样一个事实,即几乎所有的漏洞利用都利用了已知的漏洞和漏洞利用链,但由于各种原因尚未得到缓解。可以说,漏洞管理是当今IT安全行业面临的一场大型“打地鼠游戏”。至少56%的企业组织缺乏快速、大规模修复漏洞以保护其业务的能力。可以合理地假设大多数网络安全领导者也在查看NIST报告的漏洞列表或CISA已知被利用的漏洞列表,因为他们根本没有牢牢把握自己的风险态势。对此,凯兹曼表示,如果不能衡量风险,就谈不上降低风险,如果不符合特定组织或业务部门定制的风险承受能力,风险优先级排序就毫无意义。漏洞利用链用例和示例下面的漏洞利用链攻击场景示例要么发生在现实世界中,要么是假设的(但很可能发生)。SolarWinds攻击SolarWinds漏洞利用是现实世界中漏洞利用链攻击的最佳示例之一,它向我们展示了利用多个(待修复)漏洞和多个(待保护)供应链后门是多么具有破坏性。在此事件中,攻击者首先通过利用软件供应链的关键层开发了一种高级持续性威胁,这些关键层允许在专用网络内进行远程访问和权限升级。一旦向SoftwareFactory打开后门,攻击者就能够使用概念验证(PoC)漏洞通过已知(但由于各种原因尚未缓解)漏洞确保进一步渗透目标系统。针对移动设备的漏洞利用链Netenrich的首席威胁猎手JohnBambenek发现漏洞利用链最常用于移动设备。鉴于手机架构的性质,需要使用多种漏洞利用来获得根访问权限以执行移动恶意软件所需的操作。安全公司Lookout的研究证实了这一点,该研究详细介绍了各种Android监控工具。浏览器的漏洞利用链浏览器的漏洞利用链也是可能的,Tripwire的漏洞和暴露研究团队的成员TylerReguly发现,攻击者可以使用网络钓鱼电子邮件将用户引导至网页,然后再启动“直通”驱动-by”攻击以利用浏览器漏洞。然后将它们与第二个漏洞链接起来以执行沙箱逃逸,然后是第三个漏洞利用以提升权限。在这种情况下,攻击者希望利用漏洞在整个网络中传播并获得访问权限Reguly补充道,“当我想到漏洞利用链时,脑海中总会浮现一个画面:《老友记》中Ross反复大喊‘Pivot’的场景。攻击者希望使用他们的漏洞利用链来创建枢轴点以在系统和网络中移动。”勒索软件攻击者使用的漏洞利用工具包Turner表示,漏洞利用链正被用作勒索软件攻击者和其他攻击者团体使用的商品化漏洞利用工具包的一部分。变得越来越普遍。两个流行的例子是零点击漏洞利用链,用户无需执行任何操作即可;和ProxyLogon之类的东西,攻击者可以利用一系列漏洞来获得管理员访问权限,以执行他们想要的任何代码。这种方法经常被勒索软件团伙用来快速在环境中站稳脚跟,以窃取数据,然后对组织进行勒索。Turner补充说:“我们有信心地预计,攻击者将利用著名的RCE漏洞(例如Log4j漏洞)来创建额外的漏洞利用工具包,将一系列漏洞利用链接在一起,并快速获得对他们想要的系统的访问权限。/Kernel级访问。”漏洞利用链攻击防御建议在谈到降低漏洞利用链攻击的风险时,Reguly强调,最重要的是要记住,你可以破坏“链”中的任何一个环节。一些损害可能已经造成,但断开任何链接都可以阻止进一步的潜在损害。一个强大而成熟的网络安全计划实施有效的技术、策略和程序(TTP)来破坏“链”中的每个环节,提供最大数量的潜在缓解或保护以抵御每一种可能的攻击。如果这在您的组织中不起作用,那么考虑“网络杀伤链”及其可以停止的点也是一个很好的建议。虽然漏洞利用链可能令人望而生畏,但如果可以检测到某些东西(无论是在漏洞利用链中还是在其他攻击者行为中),响应者就??可以了解问题并修复它。对于Keizman来说,正面解决漏洞利用链需要大型开源社区和闭源软件供应商之间的协调努力。开源软件开发实践已经并将提供很大帮助,但现在是商业和开源软件开发阵营走到一起的最佳时机。对于CISO,Keizman支持实施基于风险的整体网络卫生,而不是在每个漏洞出现时盲目解决。组织必须制定战略,在威胁发生之前解决威胁,根据自己的特定业务需求确定优先级,否则就会输掉比赛。本文翻译自:https://img.ydisp.cn/news/20220810/j01ahtygwq3
