安全漏洞在網(wǎng)絡(luò)攻擊中影響多大?勒索組織趁漏洞修補(bǔ)時(shí)機(jī)發(fā)起攻擊

軟件中的安全漏洞對網(wǎng)絡(luò)攻擊有多大影響?數(shù)據(jù)顯示90%的網(wǎng)絡(luò)攻擊事件與漏洞利用有關(guān)，漏洞數(shù)量的增加為犯罪分子增加更多機(jī)會(huì)。修補(bǔ)漏洞的間隙，讓犯罪分子引發(fā)了一場影響廣泛的供應(yīng)鏈攻擊。因此在軟件開發(fā)期間及時(shí)發(fā)現(xiàn)軟件安全漏洞并修正，是降低漏洞利用的有效方式。

由Ivanti、Cyber Security Works和Cyware發(fā)布的2021年第三季度勒索軟件指數(shù)聚焦報(bào)告發(fā)現(xiàn)，2021年第三季度與2021年第二季度相比，與勒索軟件相關(guān)的CVE增加了4.5%，勒索軟件家族增加3.4%。

報(bào)告顯示，自2021年第二季度以來，勒索軟件集團(tuán)在數(shù)量、復(fù)雜性和大膽程度上都在不斷增加。相比之下，本季度勒索軟件攻擊中使用了12個(gè)新漏洞，使與勒索軟件相關(guān)的漏洞總數(shù)達(dá)到278個(gè)，使第三季度勒索軟件相關(guān)的通用漏洞披露增加了4.5%，被廣泛利用的熱門漏洞增加了4.5%，勒索軟件種類增加了3.4%，舊漏洞增加了1.2%。

在新發(fā)現(xiàn)的12個(gè)漏洞中，5個(gè)可以用來實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行(RCE)，而2個(gè)可以用來利用web應(yīng)用程序和啟動(dòng)拒絕服務(wù)(DoS)攻擊。這絕對不是什么好消息，但另一項(xiàng)研究顯示，本季度分布式DoS (DDoS)攻擊也打破了記錄。

早起的鳥兒有蟲吃

第三季度勒索軟件分析還發(fā)現(xiàn)，勒索軟件組織仍舊在持續(xù)行動(dòng)，他們趕在修補(bǔ)CVE之前尋找和利用零日漏洞。例如：飽受詬病的REvil勒索軟件團(tuán)伙發(fā)現(xiàn)并利用了Kaseya VSA軟件中的漏洞，當(dāng)時(shí)該公司的安全團(tuán)隊(duì)仍在開發(fā)三個(gè)補(bǔ)丁。

7月2日，REvil團(tuán)伙在超過5,000次攻擊中破壞了Kaseya的虛擬系統(tǒng)/服務(wù)器管理員 (VSA) 平臺(tái)中的3個(gè)零日漏洞。

截至7月5日，全球范圍內(nèi)的攻擊已在22個(gè)國家/地區(qū)發(fā)動(dòng)，不僅影響了Kaseya的托管服務(wù)提供商(MSP)客戶群，而且鑒于其中許多使用VSA來管理其他企業(yè)的網(wǎng)絡(luò)，還觸及了這些MSP自己的客戶。

勒索軟件數(shù)量在各個(gè)方面都在增加

第三季度還發(fā)現(xiàn)了與勒索軟件相關(guān)的九個(gè)嚴(yán)重等級較低的新漏洞。此外，通過此次勒索軟件指數(shù)的更新發(fā)現(xiàn)，勒索組織在第三季度通過12個(gè)新漏洞擴(kuò)大了其攻擊庫。

利用全新的勒索軟件，掌握升級的攻擊技術(shù)

第三季度的分析還發(fā)現(xiàn)了五個(gè)新的勒索軟件家族，使總數(shù)達(dá)到151個(gè)。在PrintNightmare、PetitPotam和ProxyShell等最危險(xiǎn)的漏洞開始流行幾周后，新的勒索軟件組織就迅速開始攻擊這些漏洞。

勒索軟件攻擊中使用的技術(shù)也變得越來越復(fù)雜。

報(bào)告中分析的一個(gè)例子：dropper as-a-service——一種允許技術(shù)不熟練/有犯罪傾向的行動(dòng)者通過dropper程序傳播惡意軟件的服務(wù)，這些程序可以在受害者的電腦上執(zhí)行惡意負(fù)載。

另一種是“木馬即服務(wù)”(trojan as-a-service)，也被稱為“惡意軟件即服務(wù)”(malware as-a-service):這種服務(wù)可以讓任何有互聯(lián)網(wǎng)連接的人租用定制的惡意軟件服務(wù)，允許他們在云上獲得、實(shí)施和兌現(xiàn)服務(wù)，所有這些都無需安裝。

所有這些勒索軟件似乎都可以出租，例如，勒索軟件即服務(wù)(RaaS)助長了勒索軟件的傳播，讓那些想要詐騙的人不必因?yàn)榇a而感到頭大。

新瓶裝舊酒

在2021年第三季度，有3個(gè)可追溯到2020年或更早的漏洞新與勒索軟件關(guān)聯(lián)，使與勒索軟件相關(guān)的舊漏洞總數(shù)達(dá)到258個(gè)，占所有與勒索軟件相關(guān)漏洞的92.4%。

由此可見，舊的漏洞即便早已發(fā)布補(bǔ)丁，但并不是所有用戶能及時(shí)跟上腳步。前幾天Rapid7披露，GitLab半年多以前披露的一個(gè)高危漏洞，直到現(xiàn)在竟還有一多半服務(wù)器仍沒有進(jìn)行修復(fù)。因此，減少網(wǎng)絡(luò)攻擊僅靠防御和打補(bǔ)丁仍舊存在安全漏洞，而在軟件開發(fā)時(shí)利用靜態(tài)代碼分析技術(shù)來從源頭減少代碼缺陷或漏洞，能有效降低軟件中的安全漏洞，降低遭到勒索軟件攻擊的風(fēng)險(xiǎn)。

該分析指出，Cring勒索軟件組織是一個(gè)顯著的例子：該組織針對ColdFusion的兩個(gè)老漏洞——CVE-2009-3960和CVE-2010-2861，而這兩個(gè)漏洞早在十多年前就已經(jīng)有了補(bǔ)丁。

Ivanti的安全產(chǎn)品高級副總裁Srinivas?Mukkamala提出：“勒索軟件集團(tuán)一直在完善戰(zhàn)術(shù)，增加攻擊方法，并針對企業(yè)未修補(bǔ)的漏洞進(jìn)行攻擊。這份報(bào)告旨在幫助企業(yè)認(rèn)識(shí)到其環(huán)境和端點(diǎn)所面臨的安全風(fēng)險(xiǎn)和漏洞暴露，為企業(yè)提供可操作的情報(bào)，以盡早進(jìn)行補(bǔ)救。企業(yè)必須采取積極主動(dòng)、基于風(fēng)險(xiǎn)的補(bǔ)丁管理策略，利用自動(dòng)化安全測試技術(shù)來減少勒索軟件攻擊和其他網(wǎng)絡(luò)威脅的平均檢測、發(fā)現(xiàn)、補(bǔ)救和響應(yīng)時(shí)間?！?/p>

Cyware首席執(zhí)行官Anuj?Goel表示：“這項(xiàng)報(bào)告明確指出，勒索軟件正在不斷發(fā)展，并正變得越來越危險(xiǎn)，可能會(huì)對目標(biāo)企業(yè)造成災(zāi)難性的破壞。對許多企業(yè)來說更棘手的是，無論什么垂直行業(yè)都無法以籌劃、執(zhí)行和傳播的方式，迅速分享具體的失陷標(biāo)示(IOC)，以便在攻擊發(fā)生前采取行動(dòng)。管理企業(yè)風(fēng)險(xiǎn)意味著企業(yè)應(yīng)該尋求一種集體防御策略，從提高軟件自身安全開始，持續(xù)掌握攻擊和風(fēng)險(xiǎn)面，以減少巨大的聲譽(yù)、客戶和財(cái)務(wù)損失。網(wǎng)絡(luò)團(tuán)隊(duì)把IT自動(dòng)化和流程整合的越好，抵御勒索軟件的效率也就越高”。

參讀鏈接：

https://threatpost.com/12-new-flaws-used-in-ransomware-attacks-in-q3/176137/