[[412934]]

Cognyte 對(duì)全球的活躍攻擊者進(jìn)行了大規(guī)模的研究，也對(duì)地下論壇進(jìn)行了深入的跟蹤與分析。借此了解攻擊者的行為模式與常用的漏洞，幫助防守方洞察理解攻擊者。

Cognyte 對(duì)特別活躍的攻擊者進(jìn)行了全面的研究，統(tǒng)計(jì)分析了:

• 490 次攻擊活動(dòng)
• 66 個(gè)攻擊組織
• 525 個(gè)攻擊工具
• 173 個(gè) MITRE ATT&CK 技術(shù)項(xiàng)
• 98 個(gè)漏洞

研究想要發(fā)現(xiàn)攻擊常用的媒介、攻擊者的 TTP、最常用的漏洞、攻擊的動(dòng)機(jī)和目標(biāo)等。

最大威脅的來(lái)源

最大的威脅仍然來(lái)自國(guó)家支持的攻擊者，而黑客主義攻擊者與其相差無(wú)幾。

最多漏洞的產(chǎn)品

Windows 是最易受攻擊的系統(tǒng)，Office 是最易受攻擊的軟件。

利用最多的漏洞

攻擊者會(huì)抓住一些可利用的機(jī)會(huì)發(fā)起攻擊，最常見(jiàn)的三個(gè)漏洞是 CVE-2017-0199、CVE-2017-11882 和 CVE-2012-0158。

攻擊最多的國(guó)家/地區(qū)

美國(guó)受到的攻擊高居首位，占比達(dá)到 13.2%。其次是中國(guó)(9.6%)、英國(guó)(8.2%)和法國(guó)(6.8%)。

攻擊最多的行業(yè)

政府、關(guān)鍵基礎(chǔ)設(shè)施和媒體行業(yè)經(jīng)常受到攻擊者的青睞。

頻繁使用的技術(shù)項(xiàng)

我們應(yīng)該更加重視失效賬戶、計(jì)劃任務(wù)和腳本。

地下論壇的討論

地下論壇上網(wǎng)絡(luò)犯罪分子的討論中可以統(tǒng)計(jì)攻擊者對(duì)哪些已知的漏洞感興趣，這對(duì)防御者需要優(yōu)先注意什么提供了線索。

緊接著 Cognyte 對(duì)地下論壇的此類討論進(jìn)行了收集與分析，對(duì)此類討論進(jìn)行了分析，又研究了 2020 年 1 月至 2021 年 3 月期間 15 個(gè)網(wǎng)絡(luò)犯罪論壇的討論信息。

攻擊者經(jīng)常討論的漏洞信息可能就是武器化要攻擊的重點(diǎn)。但實(shí)際上，發(fā)現(xiàn)相關(guān)帖子數(shù)量最多的前五個(gè) CVE 并不是在地下論壇中被提及最多的漏洞。

研究人員發(fā)現(xiàn)，在 2020 年 1 月至 2021 年 3 月期間，ZeroLogon、SMBGhost 和 BlueKeep 是攻擊者最受關(guān)注的漏洞。

犯罪分子最喜歡的漏洞

• CVE-2020-1472(又名 ZeroLogon)
• CVE-2020-0796(又名 SMBGhost)
• CVE-2019-19781
• CVE-2019-0708(又名 BlueKeep)
• CVE-2017-11882
• CVE-2017-0199

大多數(shù)漏洞都被國(guó)家支持的攻擊組織或者經(jīng)濟(jì)利益的網(wǎng)絡(luò)犯罪分子(例如勒索軟件)所利用，針對(duì)全球發(fā)起攻擊。

修復(fù)過(guò)慢

值得注意的是，攻擊者關(guān)心的仍然是這些舊的漏洞，這意味著只要打了補(bǔ)丁進(jìn)行修復(fù)就可以抵御攻擊。

報(bào)告表示在 2020 年的疫情大流行期間，攻擊者仍能成功利用已有 9 年歷史的 CVE-2012-0158，這表明組織在近十年里都沒(méi)有修補(bǔ)他們的系統(tǒng)。

暗網(wǎng)上最流行的六個(gè)漏洞中五個(gè)與微軟有關(guān)，但即便是微軟也很難讓用戶進(jìn)行漏洞修復(fù)。

ZeroLogon 就是一個(gè)典型的例子。漏洞允許攻擊者訪問(wèn)域控制器并破壞所有活動(dòng)目錄的服務(wù)。而實(shí)際上修補(bǔ) ZeroLogon 的速度太慢了，于是微軟在 1 月份宣布將開始使用“強(qiáng)制模式”阻止活動(dòng)目錄域訪問(wèn)未打補(bǔ)丁的系統(tǒng)。

2020 年 3 月，微軟修復(fù)了漏洞 CVE-2020-0796。但直到 10 月，仍有超過(guò)十萬(wàn)個(gè) Windows 系統(tǒng)存在漏洞。

各國(guó)最愛(ài)討論的漏洞

地下論壇根據(jù)語(yǔ)言的不同，討論的漏洞也不相同。

• 俄語(yǔ)論壇最青睞的漏洞是 CVE-2019-19781
• 英文論壇最青睞的漏洞是 CVE-2020-0688 和 CVE-2019-19781
• 土耳其文論壇最青睞的漏洞是 CVE-2019-6340

被監(jiān)控的地下論壇中有一半都是講俄語(yǔ)的，而西班牙語(yǔ)地下論壇沒(méi)有明確提及漏洞。

總結(jié)

攻擊者的動(dòng)機(jī)與目標(biāo)、運(yùn)營(yíng)模式和技術(shù)能力對(duì)實(shí)施防御來(lái)說(shuō)都至關(guān)重要。通過(guò)對(duì)暗網(wǎng)市場(chǎng)、地下論壇等惡意平臺(tái)的跟蹤，可以深入理解網(wǎng)絡(luò)攻擊的變化趨勢(shì)，把握防御節(jié)奏和方向。

參考來(lái)源：HelpnetSecurity