網(wǎng)絡(luò)威脅情報(CTI)扮演的關(guān)鍵戰(zhàn)略和戰(zhàn)術(shù)角色之一是對軟件漏洞的跟蹤，分析和優(yōu)先級排序，這些漏洞可能會使組織的數(shù)據(jù)，員工和客戶面臨風(fēng)險。在這個由四部分組成的文章系列中，F(xiàn)ireEye Mandiant威脅情報分析了CTI在實現(xiàn)漏洞管理中的價值，并揭示了有關(guān)最新威脅，趨勢和建議的研究。

根據(jù)研究結(jié)果，與前3年相比，我們發(fā)現(xiàn)2019年被利用的零日(0-day)漏洞數(shù)量更多。雖然并非每次0-day利用都能溯源到特定的攻擊組織，但我們發(fā)現(xiàn)越來越多的攻擊組織已經(jīng)逐步具備這類能力。此外，有些攻擊組織會購買商業(yè)公司提供的進攻性網(wǎng)絡(luò)產(chǎn)品及服務(wù)，所利用的0-day數(shù)量也越來越多，并且隨著時間的推移，針對中東的0-day攻擊事件也越來越多。現(xiàn)在有許多組織/個人在提供攻擊性網(wǎng)絡(luò)武器服務(wù)，展望未來，我們認為會有更多攻擊者開始使用0-day。

國家和地區(qū)的0-day 漏洞使用情況

自2017年底以來，F(xiàn)ireEye Mandiant威脅情報指出，已知或懷疑為提供攻擊性網(wǎng)絡(luò)工具和服務(wù)的私人公司的客戶的組織利用的0-Day 漏洞工作天數(shù)顯著增加。此外，我們觀察到針對中東和/或與該地區(qū)有可疑聯(lián)系的團體所利用的0-Day 漏洞有所增加。

示例包括：[[322957]]

(1) 研究人員將其稱為 stealth-falcon 和 FruityArmor 的一個小組是一個間諜團體，據(jù)報道 以中東的記者和活動人士為目標。在2016年，該小組使用了NSO小組出售的惡意軟件，該軟件利用了三個iOS 0-Day 漏洞。從2016年到2019年，該小組使用的0-Day 漏洞工作時間超過其他任何小組。

(2) 此攻擊活動被稱為“沙貓”(SandCat)，被懷疑與烏茲別克斯坦的國家情報有關(guān)，在針對中東目標的行動中使用0-Day 漏洞進行了偵查。該小組可能是通過從NSO組之類的私營公司購買惡意軟件獲得0-Day 漏洞的，因為在SandCat運營中使用的0-Day 漏洞也被用于Stealth Falcon行動中，而且這些不同的活動集不可能獨立地發(fā)現(xiàn)相同的三個0-Day 漏洞。

(3) 在2016年和2017年全年，BlackOasis的活動(主要針對中東實體，并且過去很可能從私營公司Gamma Group獲得了至少一個0-Day 漏洞)也表現(xiàn)出了類似的頻繁獲取0-Day 漏洞的機會。

• https://citizenlab.ca/2016/05/stealth-falcon/
• https://www.securityweek.com/windows-zero-day-exploited-fruityarmor-sandcat-threat-groups
• https://www.welivesecurity.com/2019/09/09/backdoor-stealth-falcon-group/
• https://www.vice.com/en_us/article/3kx5y3/uzbekistan-hacking-operations-uncovered-due-to-spectacularly-bad-opsec
• https://www.securityweek.com/middle-east-group-uses-flash-zero-day-deliver-spyware
• https://www.securityweek.com/middle-east-group-uses-flash-zero-day-deliver-spyware

我們還注意到了0-Day 漏洞利用的例子，這些事例并未歸因于受追蹤的群體組織，但似乎已被私人安全公司提供的工具所利用，例如：

(1) 據(jù)報道，2019年，WhatsApp(CVE-2019-3568)中的0-Day 漏洞被用來分發(fā)由以色列軟件公司NSO集團開發(fā)的間諜軟件。

(2) FireEye分析了針對一家俄羅斯醫(yī)療保健組織的活動，該組織利用了2018年Adobe Flash0-Day 漏洞(CVE-2018-15982)，該0-Day 漏洞可能與Hacking Team泄露的源代碼有關(guān)。

(3) 據(jù)報道，NSO Group工具于2019年10月在野外利用了 Android0-Day 漏洞CVE-2019-2215 。

• https://www.itpro.co.uk/spyware/33632/whatsapp-call-hack-installs-spyware-on-users-phones
• https://thehackernews.com/2019/10/android-kernel-vulnerability.html

可以看到主要網(wǎng)絡(luò)大國的間諜組織對0-Day 漏洞的利用。

(1) 據(jù)研究人員稱，中國間諜組織APT3 在2016年利用CVE-2019-0703進行了有針對性的攻擊。

(2) FireEye觀察到朝鮮小組APT37開展了2017年的活動，該活動利用了Adobe Flash漏洞CVE-2018-4878，該小組還顯示出在發(fā)現(xiàn)漏洞后不久即可迅速利用這些漏洞的能力有所增強。

(3) 從2017年12月到2018年1月，我們觀察到多個中國集團利用CVE-2018-0802在針對歐洲，俄羅斯，東南亞和臺灣的多個行業(yè)的活動中。在發(fā)布此漏洞的補丁之前，至少使用了六分之三的樣本。

(4) 2017年，俄羅斯組織APT28和Turla在Microsoft Office產(chǎn)品中利用了多個0-Day 漏洞。

• https://www.symantec.com/blogs/threat-intelligence/buckeye-windows-zero-day-exploit
• https://www.fireeye.com/blog/threat-research/2017/05/eps-processing-zero-days.html

此外，我們認為，某些最危險的國家贊助的入侵正在日益顯示出迅速利用已公開的漏洞的能力。在許多情況下，與這些國家有聯(lián)系的組織已經(jīng)能夠利用漏洞將其武器化并將其納入其運營中，利用漏洞披露與補丁安裝之間的時間窗口。

在2019年5月，我們報告FIN6在2019年2月有針對性的入侵中使用Windows Server 2019的UAF 0-Day 漏洞(CVE-2019-0859)，一些證據(jù)表明，該組織可能自2018年8月以來就使用了該漏洞利用程序。盡管公開消息表明該組織有可能從代號為BuggiCorp的地下組織那里獲得0-Day 漏洞，但我們還沒有找到直接證據(jù)證明該組織與該漏洞利用程序的開發(fā)或銷售有關(guān)。

分析結(jié)論

根據(jù)私營企業(yè)潛在客戶對0-day的利用情況及比例，我們推測現(xiàn)在攻擊者對0-day的利用趨勢已經(jīng)越來越商品化。之所以會出現(xiàn)這種情況，可能有如下原因：

• 私營公司可能會創(chuàng)造和提供比過去更多的0-Day 漏洞服務(wù)，導(dǎo)致0-Day 漏洞資源能力集中在資源豐富的團體中。
• 私營公司可能會越來越多地向總體能力較低的團體和/或?qū)\營安全性較少關(guān)注的團體提供攻擊能力，這也將導(dǎo)致0-day利用活動越來越頻繁。

各國可能會繼續(xù)支持內(nèi)部漏洞利用程序的發(fā)現(xiàn)和開發(fā);但是，通過私營公司提供0-Day 漏洞服務(wù)可能比依靠國內(nèi)解決方案或地下市場提供更具吸引力的選擇。因此我們認為，如果攻擊者有能力且愿意投入金錢，那么能夠獲取這類漏洞的攻擊者數(shù)量將不斷上升，并且增長速度將比其自身的整體網(wǎng)絡(luò)攻擊能力增長速度要快。