2019年各国0-day漏洞使用情况介绍数据、员工和客户都面临风险。在这个由四部分组成的系列文章中,FireEyeMandiant威胁情报分析了CTI在实现漏洞管理方面的价值,并揭示了对最新威胁、趋势和建议的研究。根据调查结果,我们发现与前3年相比,2019年被利用的零日漏洞数量更多。虽然不是每一个0-dayexploit都可以追溯到特定的攻击组织,但我们发现越来越多的攻击组织逐渐具备了这种能力。此外,一些攻击团伙会购买商业公司提供的攻击性网络产品和服务,使用的0-day数量越来越多,而且随着时间的推移,针对中东地区的0-day攻击也越来越多。许多。现在有很多组织/个人提供攻击性网络武器服务,展望未来,我们相信会有更多的攻击者开始使用0-day。按国家和地区划分的0-day漏洞使用情况自2017年底以来,FireEyeMandiant威胁情报表明,已知或疑似是提供攻击性网络工具和服务的私营公司客户的组织使用了大量0-day漏洞。增加。此外,我们观察到针对中东和/或与该地区有可疑关系的团体的零日攻击有所增加。来自主要网络力量的0-Day漏洞图示例包括:(1)一个被研究人员称为stealth-falcon和FruityArmor的组织,这是一个据报道以中东的记者和活动家为目标的间谍组织。2016年,该组织使用了NSO组织出售的恶意软件,该恶意软件利用了三个iOS0-Day漏洞。从2016年到2019年,该小组从事的零日攻击比其他任何小组都多。(2)这场名为SandCat的运动被怀疑与乌兹别克斯坦的国家情报有关,并在针对中东目标的行动中使用0-Day漏洞检测到。该组织很可能通过从NSO集团等私营公司购买恶意软件获得了0-day漏洞,因为SandCat行动中使用的0-day漏洞也被用于隐形猎鹰行动,而且这些不同的活动集并不相同三个0-Day漏洞可能是独立发现的。(3)在整个2016年和2017年,BlackOasis活动(主要针对中东实体并且可能在过去从私营公司GammaGroup获得至少一个0-day漏洞)也表现出类似的频率获得0-days漏洞机会。https://citizenlab.ca/2016/05/stealth-falcon/https://www.securityweek.com/windows-zero-day-exploited-fruityarmor-sandcat-threat-groupshttps://www.welivesecurity.com/2019/09/09/backdoor-stealth-falcon-group/https://www.vice.com/en_us/article/3kx5y3/uzbekistan-hacking-operations-uncovered-due-to-spectacularly-bad-opsechttps://www.securityweek.com/middle-east-group-uses-flash-zero-day-deliver-spywarehttps://www.securityweek.com/middle-east-group-uses-flash-zero-day-deliver-间谍软件我们还注意到了0-Day漏洞利用的示例,这些漏洞并未归因于被跟踪的团体组织,但似乎已被私人安全公司提供的工具利用,例如:(1)据报道,在2019年,一个WhatsApp中的零日漏洞(CVE-2019-3568)用于分发以色列软件公司NSOGroup开发的间谍软件。(2)FireEye分析了针对一家俄罗斯医疗机构利用2018年AdobeFlash0-Day漏洞(CVE-2018-15982)的攻击活动,该漏洞可能与HackingTeam泄露的源代码有关。(3)据报道,NSOGroup工具于2019年10月在野利用了Android0-Day漏洞CVE-2019-2215。https://www.itpro.co.uk/spyware/33632/whatsapp-call-hack-installs-spyware-on-users-phoneshttps://thehackernews.com/2019/10/android-kernel-vulnerability.html主要网络大国的间谍组织可以看到对零日漏洞的利用。(1)据研究人员称,中国间谍组织APT3在2016年使用CVE-2019-0703进行了针对性攻击。(2)FireEye观察到朝鲜组织APT37在2017年利用Adob??eFlash漏洞CVE-2018-4878,并且该组织还展示了在发现漏洞后不久快速利用漏洞的能力增强。(3)从2017年12月到2018年1月,我们观察到多个中国组织利用CVE-2018-0802在欧洲、俄罗斯、东南亚和台湾的多个行业开展活动。在发布此漏洞的补丁之前,至少使用了六分之三的样本。(4)2017年,俄罗斯组织APT28和Turla利用了MicrosoftOffice产品中的多个0-Day漏洞。https://www.symantec.com/blogs/threat-intelligence/buckeye-windows-zero-day-exploithttps://www.fireeye.com/blog/threat-research/2017/05/eps-processing-zero-days.html此外,我们认为一些最危险的国家支持的入侵越来越多地展示了快速利用公开披露的漏洞的能力。在许多情况下,与这些国家/地区有联系的组织已经能够利用漏洞将其武器化并将其纳入其运营中,从而利用漏洞披露和补丁安装之间的时间窗口。2019年5月,我们报道了FIN6在2019年2月的一次定向入侵中使用了WindowsServer2019UAF0-Day漏洞(CVE-2019-0859),一些证据表明该组织可能已经使用了该漏洞。尽管公开消息表明该组织可能从一个代号为BuggiCorp的地下组织获得了零日漏洞,但我们没有找到直接证据表明该组织参与了该漏洞的开发或销售。分析结论根据民营企业潜在客户对0-day的利用情况和比例,我们推测攻击者对0-day的利用有越来越商业化的趋势。出现这种情况的原因可能如下:与过去相比,私营公司可能会创建和服务更多的0-Day漏洞利用,从而导致资源充足的群体集中使用0-Day漏洞利用资源能力。私营公司可能会越来越多地向总体能力较低的团体和/或不太关心操作安全的团体提供攻击能力,这也将导致更频繁的零日利用活动。各州可能会继续支持内部漏洞利用的发现和开发;然而,通过私营公司提供0-day漏洞利用服务可能比依赖国内解决方案或地下市场更具吸引力。因此我们认为,如果能够并愿意投入资金,能够访问这些类型漏洞的攻击者的数量将继续上升,并且增长速度超过他们自身的整体网络攻击能力。
