对于安全管理团队来说,管理漏洞是一项艰巨的任务,经常忙于跟踪漏洞威胁形势。每天都会发现新的漏洞,因此安全团队经常被迫在没有充分规划的情况下进行漏洞修补,并且遗漏了存在重大风险的漏洞。结果导致网络犯罪分子和国家支持的威胁行为者通常可以利用未修补的漏洞来访问目标环境,并进行进一步的恶意活动。

对此,Digital Shadows的Photon研究团队探索了网络犯罪论坛,以了解威胁行为者如何利用安全团队的弱点,并研究了安全团队面临的漏洞修复挑战。研究发现:

  • 威胁行为者正在不知疲倦地利用被忽视的漏洞进行攻击;
  • 安全研究人员公开的概念验证(PoC)代码已被机会主义的威胁行为者利用,监控相关的IOC有助先降低组织风险;
  • 零日漏洞(0day)是网络犯罪论坛上宣传的最昂贵的漏洞。Digital Shadows发现,在调查期间,网络犯罪分子讨论的零日漏洞价格高达10,000,000美元;
  • 老旧的和被忽视的漏洞对网络犯罪分子来说仍然非常有价值,它们提供了进入目标环境的廉价而高效的入口点。低技能的威胁行为者可以轻松利用这些漏洞,依靠经验丰富的同行提供的预制工具和方法进行攻击;
  • 专家和新手网络犯罪分子经常合作并共享知识,以提高他们的利用技能,并进行破坏性攻击;

信息过载、内部资产缺乏远见、无法有效向高管有效传达风险和责任等只是阻碍有效补丁管理流程的部分障碍;

  • 基于风险的方法是对漏洞管理的有效防御。在处理大量漏洞时,应考虑风险和漏洞利用的可能性。漏洞情报有助于采取主动安全态势,并在分类、理解和缓解漏洞方面提供支持。

一、 漏洞修复危机

1、漏洞修复现状

在现实生活中,由于代码是由人类编写的,难免会出现错误。操作系统和应用程序变得越来越复杂,在数百万行代码中总可能隐藏着一个问题。当修复补丁可用时,企业会真正的更新软件到最新版本吗?更新会破坏已经安装的其他应用程序和系统吗?一旦推出更新,用户可能会遇到哪些不可预见的问题?如何确定优先级?哪些补丁最关键?

漏洞公布后,攻击者都希望通过将PoC武器化或开发自己的漏洞来利用。尽管很多公司都在主动管理漏洞,但总有一些公司没有修复漏洞,或者漏洞修复的速度太慢,这非常适合机会主义攻击。此外,攻击者可能会入侵到公司的重要资产中。

2、漏洞管理风险

随着过去十年信息技术(IT)发展成为一个新旧技术高度复杂的环境,保护组织的网络和服务器已成为处理各种硬件和软件、位置和漏洞类型的问题。

有效的漏洞管理可以降低网络风险,然而许多组织在修复安全漏洞方面仍然遇到重大问题。缺乏资源、角色和职责不明确、以及缺乏有效变革的管理批准,可能会使漏洞管理程序处于缺陷状态。持续的新冠疫情也给信息安全专业人员带来了更大的压力,数百万员工进行远程办公。

漏洞管理的主要问题之一是在对风险进行分类时无法统一。对漏洞进行分类,通过识别可能导致最大问题的漏洞,并首先修复这类漏洞应该是漏洞管理团队最需要考虑的因素。每个组织的分类需要考虑的因素差异很大,但一般来说包括:

  • 漏洞是否被利用;
  • 是否可以在开源中使用有效的PoC漏洞;
  • 成功利用可能造成的影响。

造成的影响通常是通过考虑哪些资产受到漏洞影响及其整体作用来确定的。例如,可利用且面向外部的中危漏洞应优先于成为攻击目标机会有限的严重漏洞。

另外一个核心问题是许多组织的漏洞管理不协调。尽管高度依赖于组织的规模、资源和结构,但修补工作最好由单个实体或部门协调。如果多个部门都自己修复漏洞,可能导致漏洞处理不一致。这可能导致业务的某些部分在不同级别被优先考虑或修复。或者随着问题未得到解决,漏洞可能会堆积起来,这可能意味着重大问题。

漏洞管理团队应该了解组织的架构,并拥有正在使用的设备、硬件、软件和服务的完整资产清单,以便立即发现问题。理论上讲,还应该跟踪每项组织资产的生命周期,从购买之日到退役之日。

但是组织在不断变化,这就是为什么管理支持对于漏洞管理进行降低风险的更改绝对必不可少的原因。漏洞管理团队应该强制通知所有架构变化、合并、收购、新服务器等。如果不这样做,可能会在网络盲点中留下未知的漏洞,为威胁行为者打开大门。

漏洞管理团队可能会遇到几个问题,尤其是更新设备的阻力,因为有时认为风险是可以接受的,因为存在备份,或者因为补丁被认为是不可信或不必要的。漏洞补丁经常会导致问题,这就是为什么本地测试和经理级别的支持对于漏洞管理团队在面对本地管理员或系统所有者的阻力时批准和实施更改至关重要。

二、漏洞利用趋势

Photon研究团队从网络犯罪社区收集了大量数据,以更好了解网络犯罪情况,并跟上漏洞威胁形势。但威胁行为者潜伏在幕后:网络犯罪分子和国家支持的组织不断扫描互联网,以寻找宝贵的资源,以保持领先地位,并随时击败安全捍卫者。

除了监控网络犯罪社区来了解勒索软件趋势、初始访问代理活动、流行的TTP等关键内容外,研究人员还密切关注着漏洞威胁的形势。在暗网社区中,充斥着各种各样的威胁行为者,他们拥有全方位的技术专长和动机。这个地下组织的技术讨论实际上有助于形成一个非常有凝聚力的、众包的关于漏洞和漏洞利用的知识体系。

在过去几年中,研究人员在网络犯罪论坛的对话中观察到了一些关键趋势,并确定了在这些平台上活跃的威胁行为者的主要类型。

1、零日漏洞

零日漏洞市场是一个极其昂贵且竞争激烈的市场,它通常是国家支持的威胁组织的特权。然而,正如在过去几年中经常讨论的那样,某些知名的网络犯罪组织积累了惊人的财富,可以与零日漏洞利用的传统买家竞争。

图1 威胁行为者为RCE零日漏洞出价300万美元

这可能就是零日漏洞卖家将拍卖转移到网络犯罪论坛的原因:在这个庞大而富裕的池子里钓鱼。零日漏洞利用的成本非常高,有威胁行为者声称,他们可能会以高达10,000,000美元的价格出价。这些价格可能看起来很高,但有一个关键方面需要牢记:无论合法的漏洞赏金计划金额是多少,通常是数百万美元,考虑到非法活动(即洗钱)所需的风险(监禁时间)和额外要求,网络犯罪分子必须提供更多的赏金以与他们竞争。

这就是为什么一直以来零日漏洞由国家支持的威胁行为者参与,很少有网络犯罪分子有那么多钱来攻击漏洞。当组织的网络中仍然有面向公众的远程桌面协议(RDP)设备时,实际上会有更少的人会真正愿意投资这笔钱。但是,如果国家资助的APT组织的间谍活动,涉及到宝贵的信息,则可以轻松解释将资金投入独家零日漏洞是合理的。

2、漏洞利用即服务

如果觉得数百万美元的零日漏洞太昂贵的话,不用担心,还有另一种选择。在调查中,研究人员观察到,网络犯罪分子正在讨论“漏洞利用即服务”(exploit-as-a-service)模型的想法,这将降低访问复杂漏洞利用的障碍。

该模型将允许有能力的威胁行为者将零日漏洞“租赁”给其他网络犯罪分子,以进行网络攻击。事实上,虽然开发人员在销售零日漏洞时可以获得巨额利润,但通常需要花费大量时间来完成此类销售。然而,漏洞利用即服务模式使零日漏洞开发者能够通过在等待最终买家的同时,将零日漏洞出租出去,来获得可观的收益。此外,使用此模型,租赁方可以测试零日漏洞,然后决定是否独家还是非独家购买漏洞。

零日漏洞利用开发者可以通过向政府支持的威胁行为者出售产品来获得巨额利润,但这个过程会消耗时间,并促使开发者寻找其他收入来源。这就是漏洞利用即服务变得可行的时候,从各个感兴趣的人士那里获取收入,导致越来越多出于经济动机的威胁行为者使用危险工具。

3、老旧漏洞

新的零日漏洞意味着新的和未被发现的问题,在不知情的情况下被利用。雄心勃勃且技术过硬的威胁行为者不断发现新的安全漏洞。但较早的、已经披露的漏洞也可以帮助网络犯罪分子获取黄金。一些组织仍然没有来得及更新他们忘记拥有的产品,或者他们认为技术没有漏洞。研究人员发现,威胁行为者共享了一个完整的公司数据库,这些公司尚未针对Microsoft Exchange Server漏洞应用补丁。

图2 在网络犯罪论坛XSS上共享的未修复Microsoft Exchange Server的用户数据库 

老旧漏洞的用户基础很广泛。首先,许多低技能的网络犯罪分子需要一些时间才能利用新漏洞,甚至可能需要网络犯罪社区的支持,例如如何使用最新漏洞的教程或指南。尽管网络犯罪带来了高额回报,但研究人员都意识到,最好的零日漏洞利用并不便宜。等待漏洞变得更加主流是值得的,相应的PoC或漏洞利用会以更低的价格或免费发布。

4、知识共享

正如情报界在信息共享方面蓬勃发展一样,网络犯罪分子也会交换知识。暗网网络犯罪平台上会散布大量漏洞信息。为了克服漏洞利用挑战,他们经常利用彼此的知识和众包信息或发起一个线程,已经精通的人可以传授一些他们的智慧。

除了分享教程之外,经验丰富、值得信赖的用户通常会提供他们在市场上首选或最不喜欢的工具的评论,就像任何其他优秀消费者一样。评论涵盖了从漏洞扫描工具到在线防弹托管服务的方方面面,很多都包括对其工作方式的详细描述。这些勤奋的评论者正在帮助他们的同行识别相关产品的漏洞利用,并做出更明智的决策。

除了这些善意的网络犯罪分子帮助新手外,还有其他网络犯罪分子试图欺骗或控制论坛成员。说到底,罪犯就是罪犯。但研究人员也注意到,经验丰富的论坛成员警告新用户,这是提高威胁行为者能力的另一种慷慨形式,并导致安全管理人员更多的不眠之夜。

图3 论坛用户推荐工具,并提供自研工具

5、参与者类型

网络犯罪地下组织有各种各样的参与者,每个人都为现场做出了贡献。漏洞利用社区的成员包括:

高价购买者:威胁行为者以1,000,000美元以上的价格买卖零日漏洞利用。可能由民族国家提供资金,有时只是成功的企业家。

普通卖家:其他卖家处理不太严重的漏洞、漏洞利用工具包、以及列出未修补漏洞的公司的名称和IP地址的数据库。

普通买家:感兴趣的买家是至少是“技术人员”,在极少数情况下是高价购买者。这些参与者通常会等待漏洞利用价格下降,然后再从其他网络犯罪分子那里购买。

代码传播者:在GitHub上分享和宣传PoC的威胁行为者在论坛上扮演着持久的角色,新发现的漏洞创造了对PoC的需求。并且循环无限重复。

炫耀者:毫不奇怪,漏洞社区的一些成员展示了他们的技术专长。很常见的情况是,他们深入讨论漏洞、参加论坛竞赛、或者自由分享漏洞利用知识。

新手:技术水平较低的用户从经验丰富的同行那里吸收信息,并加以应用,甚至可能在各种平台上传播。分享这些信息的意图可能是善意的,或者可能只是为了夸大分享“原创”信息的声誉。

新闻传播者:最后还有一些社区贡献者,会定期分享与最近披露的漏洞相关的文章和新鲜新闻。在俄语论坛XSS和Exploit上,用户分享有关漏洞的媒体报道,并将其从英语翻译成俄语是很常见的。

参考链接:

【1】Digital Shadows, Vulnerability Intelligence: Do You Know Where Your Flaws Are?

【2】https://www.digitalshadows.com/blog-and-research/vulnerability-intelligence-whats-the-word-in-dark-web-forums/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。