根据 Check Point 的年中报告, 2020 年上半年观察到的攻击中, 80% 使用 2017 年及更早时间报告和注册的 "旧漏洞", 超过 20% 的攻击使用至少 7 年的高龄漏洞. 这表明我们在保持软件最新时有问题.
根据 SenseCy 的最新研究, 勒索软件攻击并不都是由 Windows 漏洞触发的, 很多攻击者利用了用于远程访问 Windows 网络的工具中的漏洞. 以下是研究人员发现的勒索软件热衷使用的四大漏洞:
CVE-2019-19781:Citrix 应用程序交付控制器
CVE-2019-19781 影响 Citrix 的远程访问设备, 于 2019 年 12 月披露, 1 月修复. 攻击者使用 Citrix 漏洞作为入口点, 然后转向其他 Windows 漏洞以获得进一步访问.
正如 FireEye 博客文章中指出的, Ragnarok 勒索软件攻击使用 Citrix 漏洞作为突破口, 然后下载用作 Windows 证书服务一部分的本机工具(在 MITRE ATT&CK 框架中归类为技术 11005). 然后, 攻击者下载执行 since1969.exe 二进制文件, 该二进制文件位于目录 C:\Users\Public 中, 并从当前用户的证书缓存中删除 URL.
为确保 Citrix 网关设备不受此漏洞影响, 可以下载并使用 GitHub 上的 FireEye/Citrix 扫描工具(https://github.com/fireeye/ioc-scanner-CVE-2019-19781). 这一漏洞可用于传播 Sodinokibi/REvil, Ragnarok,DopplePaymer,Maze,CLOP 以及 Nephilim 等多个勒索软件. Check Point 的报告提到了类似的远程访问攻击趋势: 使用远程访问技术(包括 RDP 和虚拟专用网导致 RDP 暴力攻击急剧上升.
CVE-2019-11510:Pulse 虚拟专用网漏洞
漏洞 CVE-2019-11510 今年被许多攻击者使用和滥用. Pulse Secure 是一种虚拟专用网连接服务, 随着远程办公的人的增加, 此类虚拟专用网软件的使用也急剧增加. 微软 4 月份的一篇博文指出:"REvil(也称为 Sodinokibi)因访问并出售虚拟专用网服务商及其客户的账户和敏感信息而臭名昭著. 在新冠疫情期间, 此类活动更加猖獗."
该漏洞曾被用于窃取和公开 900 多台虚拟专用网企业服务器的密码. 今年 6 月, 勒索软件 Black Kingdom 还利用 Pulse 虚拟专用网的这个漏洞发起攻击, 冒充谷歌 Chrome 的合法定时任务.
CVE 2012-0158: 微软 Office 通用控件
作为 2020 年勒索软件攻击最常用的四个漏洞之一, 诞生于 2012 年的 CVE 2012-0158 属于高龄漏洞, 但依然是 2019 年最危险的漏洞之一. 2020 年 3 月, 多家政府和医疗机构成为攻击目标, 攻击者试图通过发送名为 "20200323-sitrep-63-covid-19.doc" 的富文本格式文件 (RTF)来利用这一漏洞. 被受害者打开后, 该文件会尝试通过利用 Microsoft 在 MSCOMCTL.OCX 库中的 ListView/TreeView ActiveX 控件中的已知缓冲区溢出漏洞 (CVE-2012-0158) 来投放 EDA2 勒索软件.
CVE-2018-8453:Windows Win32k 组件
CVE-2018-8453 是 2018 年发现的 Windows win32k.sys 组件中的漏洞. 在巴西能源公司 Light S.A 遭受的勒索软件攻击中, 攻击者就利用了该公司 Windows Win32k 组件中的 32 位和 64 位漏洞来提权.
总结: 勒索软件全面防护, 始于漏洞管理
真正令人感到不安的趋势是, 上述四大漏洞的数量和年龄. 这表明大量企业的漏洞和补丁管理流程依然存在很大漏洞, 企业需要尽快修补入口点并扫描补丁工具遗漏的高龄漏洞.
对于企业的安全主管们来说, 不妨通过以下问题自查: 您的端点会因新冠大流行而增加吗? 新的端点是否得到及时的修补, 保护和监控? 您是否增加了遥测和汇报流程, 以便更好地在问题发生之前就收到警报?
来源: http://zhuanlan.51cto.com/art/202009/625954.htm