微软、Adobe利用

面包屑

你不可能对所有cve进行补丁, 所以专注于那些骗子愿意花钱的利用, 正如一项关于地下开采市场的研究所追踪到的.

一项对网络犯罪论坛地下市场长达一年的研究表明,骗子们对微软漏洞垂涎三尺, 哪些是最受欢迎和最畅销的利用.

根据研究人员(见下图),微软产品的请求占到了47%, 相比之下,, 说, 物联网(IoT)漏洞, 哪个只占5%.

利用市场正在适应网络骗子对微软产品的渴望, 根据趋势科技. 第二个数据点(见下表)显示61%的销售漏洞针对微软产品, 包括办公室, 窗户, Internet Explorer和Microsoft远程桌面协议(RDP).

没有惊喜. Flashpoint研究人员还在12月报告了RDP服务器访问的价格 一直在飙升.

这项研究在周一举行的2021年全虚拟RSA大会上公布, 趋势科技高级研究员Mayra Rosario Fuentes. 在她的课程中,题目是 来自地下的故事:脆弱性武器化生命周期, 富恩特斯说,这项研究在一年多的时间里跟踪了600多个地下论坛出售和请求的exploit.

研究人员发现,威胁行为者愿意为攻击付出的平均价格是2美元,000. 这些骗子正在搜捕新鲜的毒品, 温柔的新漏洞, 在他们的愿望清单上,52%的漏洞使用时间不到2年:这个年龄段的人占了销售漏洞的54%.

老古董,但好吃的还是很好吃

较老的漏洞仍有需求, 尽管如此:在地下出售的exploit中有22%是3年以上的历史, 根据富恩特斯. 最古老的弱点是完全的关节炎,可以追溯到1999年.

出售的“过时”漏洞, 45%是微软口味的, 第二个吸引骗子的是Adobe漏洞. 富恩特斯指出,修补一个面向互联网的系统的平均时间是71天:这对攻击者造成一些破坏来说是相当长的时间.

下面是一个利用请求的例子, 潜在买家想从哪里下手 cve - 2019 - 1151 -微软图形漏洞的远程代码执行(RCE).

另一个要求发表在12月12日. 23, 2020, 正在寻找Apache Web Server中的“一个潜在的1天RCE漏洞”:这不是一个令人惊讶的发现吗, 考虑到风险感知重点报道 报告 发现WordPress和Apache Struts web框架是 最有针对性的网络犯罪 in 2019.

趋势科技的研究人员发现,Office和Adobe漏洞在英语论坛中最为常见. 截至上周,全球领先的PDF阅读器Adobe Acrobat仍处于领先地位 在主动攻击 在一个可能导致RCE的漏洞被利用之后. 那次攻击同时影响了窗户和macOS系统——窗户是攻击者首选的攻击点之一.

漏洞的生命周期

和大多数市场一样,剥削市场既有买家也有卖家. 在这样一个“待售”的宣传中,卖家提供了两个严重等级为7的cve.5、价格为1000美元. 另一则广告提供了四种cve,售价30美元,000美元, 包括加载器脚本, 通过重新检查反病毒检测来确保可执行的恶意软件还没有被检测到,不会被阻止, 其他服务.

犯罪分子开发出一种exploit后,下一步就是出售它. 在它被公开之后,一个弱点就进入了公开披露的阶段. 接下来,供应商修补漏洞. 最后,这个弱点有两条路:如果修补好了,那就是生命的终结. 如果不是, 漏洞还在那里, 等待着被购买并释放那些还没有修复的不幸受害者.

富恩特斯给出了几个案例研究来说明生命周期. 下面是描述其中之一的时间轴:CVE-2020-9054的8个月生命周期:XSS网络犯罪论坛上出售的一个漏洞,售价20美元,2020年2月为1万, 被网络安全记者布莱恩·克雷布斯写进了文章, 被微软于2020年3月公开披露并修补, 最后变成了 一个月后被僵尸网络利用. 那个僵尸网络,是 Mirai僵尸网络 名为Mukashi,目标是Zyxel网络连接存储(NAS)设备, 允许威胁行为者远程入侵和控制设备.

五个月后,它被修补, 2020年8月, 另一个论坛帖子要求使用漏洞, 提供2美元的低价支付,000:原始漏洞的十分之一.

当你不能修补它们的时候,从哪里开始

“你不可能每年给所有的cve打补丁,”富恩特斯说. 那么你该如何区分优先级呢?

她建议在制定补丁计划时考虑到漏洞利用的可取性. 不要仅仅根据漏洞的严重性来选择战斗. 相反,要考虑骗子想用什么,他们能买什么. 请记住,微软和Adobe利用漏洞是热门项目:“认为你可以修补所有东西是不现实的,”富恩特斯指出. “专注于黑客喜欢关注的东西:微软和Adobe.”

还要记住这一点 虚拟补丁 -一个安全策略实施层,通过分析事务和拦截传输中的攻击来防止恶意流量到达web应用程序,从而防止利用已知的漏洞, 这一切都无需花时间修改应用程序本身的实际源代码——可以换来额外的时间, 她推荐.

在“首先修补什么”的等式中,另一个因素是脆弱性价格会随着时间的推移而下降, 但有价值的开发仍然有价值,时间“比大多数人预期的要长”,富恩特斯指出. 修补过去流行的漏洞可能比修补今天的关键漏洞更重要,”她说.