作者:Avenger,转载于freebuf.com。
Cognyte 对全球的活跃攻击者进行了大规模的研究,也对地下论坛进行了深入的跟踪与分析。借此了解攻击者的行为模式与常用的漏洞,帮助防守方洞察理解攻击者。
Cognyte 对特别活跃的攻击者进行了全面的研究,统计分析了:
490 次攻击活动
66 个攻击组织
525 个攻击工具
173 个 MITRE ATT&CK 技术项
98 个漏洞
研究想要发现攻击常用的媒介、攻击者的 TTP、最常用的漏洞、攻击的动机和目标等。
最大的威胁仍然来自国家支持的攻击者,而黑客主义攻击者与其相差无几。
Windows 是最易受攻击的系统,Office 是最易受攻击的软件。
攻击者会抓住一些可利用的机会发起攻击,最常见的三个漏洞是 CVE-2017-0199、CVE-2017-11882 和 CVE-2012-0158。
美国受到的攻击高居首位,占比达到 13.2%。其次是中国(9.6%)、英国(8.2%)和法国(6.8%)。
政府、关键基础设施和媒体行业经常受到攻击者的青睐。
我们应该更加重视失效账户、计划任务和脚本。
地下论坛上网络犯罪分子的讨论中可以统计攻击者对哪些已知的漏洞感兴趣,这对防御者需要优先注意什么提供了线索。
紧接着 Cognyte 对地下论坛的此类讨论进行了收集与分析,对此类讨论进行了分析,又研究了 2020 年 1 月至 2021 年 3 月期间 15 个网络犯罪论坛的讨论信息。
攻击者经常讨论的漏洞信息可能就是武器化要攻击的重点。但实际上,发现相关帖子数量最多的前五个 CVE 并不是在地下论坛中被提及最多的漏洞。
研究人员发现,在 2020 年 1 月至 2021 年 3 月期间,ZeroLogon、SMBGhost 和 BlueKeep 是攻击者最受关注的漏洞。
CVE-2020-1472(又名 ZeroLogon)
CVE-2020-0796(又名 SMBGhost)
CVE-2019-19781
CVE-2019-0708(又名 BlueKeep)
CVE-2017-11882
CVE-2017-0199
大多数漏洞都被国家支持的攻击组织或者经济利益的网络犯罪分子(例如勒索软件)所利用,针对全球发起攻击。
值得注意的是,攻击者关心的仍然是这些旧的漏洞,这意味着只要打了补丁进行修复就可以抵御攻击。
报告表示在 2020 年的疫情大流行期间,攻击者仍能成功利用已有 9 年历史的 CVE-2012-0158,这表明组织在近十年里都没有修补他们的系统。
暗网上最流行的六个漏洞中五个与微软有关,但即便是微软也很难让用户进行漏洞修复。
ZeroLogon 就是一个典型的例子。漏洞允许攻击者访问域控制器并破坏所有活动目录的服务。而实际上修补 ZeroLogon 的速度太慢了,于是微软在 1 月份宣布将开始使用“强制模式”阻止活动目录域访问未打补丁的系统。
2020 年 3 月,微软修复了漏洞 CVE-2020-0796。但直到 10 月,仍有超过十万个 Windows 系统存在漏洞。
地下论坛根据语言的不同,讨论的漏洞也不相同。
俄语论坛最青睐的漏洞是 CVE-2019-19781
英文论坛最青睐的漏洞是 CVE-2020-0688 和 CVE-2019-19781
土耳其文论坛最青睐的漏洞是 CVE-2019-6340
被监控的地下论坛中有一半都是讲俄语的,而西班牙语地下论坛没有明确提及漏洞。
攻击者的动机与目标、运营模式和技术能力对实施防御来说都至关重要。通过对暗网市场、地下论坛等恶意平台的跟踪,可以深入理解网络攻击的变化趋势,把握防御节奏和方向。
Cognyte
HelpnetSecurity
如有侵权,请联系删除
推荐阅读