日前,軟件廠商Ivanti的《勒索軟件聚焦年終報(bào)告》表明,勒索軟件成為2021年增長(zhǎng)最迅猛的網(wǎng)絡(luò)攻擊工具,這股勢(shì)頭會(huì)持續(xù)到2022年;勒索軟件漏洞在短短一年內(nèi)猛增29%,通用漏洞披露(CVE)從223個(gè)增加到了288個(gè);勒索軟件攻擊策劃者持續(xù)緊盯零日漏洞,執(zhí)行供應(yīng)鏈攻擊,微調(diào)漏洞鏈,搜索廢舊產(chǎn)品中的漏洞,以提高勒索軟件攻擊得逞機(jī)率,他們正在不遺余力地使勒索軟件武器化,同時(shí)使用漏洞鏈摧毀整條供應(yīng)鏈。
勒索軟件武器化日益嚴(yán)峻
今年有7個(gè)新的APT團(tuán)伙使用勒索軟件漏洞發(fā)動(dòng)攻擊,現(xiàn)在全球共有40個(gè)APT團(tuán)伙在使用勒索軟件。去年新增的勒索軟件家族旨在擴(kuò)展勒索軟件即服務(wù)、漏洞利用即服務(wù)、Dropper即服務(wù)和木馬即服務(wù)平臺(tái),通過(guò)平臺(tái)提供勒索軟件即服務(wù)的方法是勒索軟件團(tuán)伙的最新動(dòng)向之一。Ivanti在2018年至2020年間發(fā)現(xiàn)了125個(gè)勒索軟件家族,加上2021年的32個(gè)新家族,整體數(shù)量增加了25.6%,這157個(gè)勒索軟件家族利用288個(gè)漏洞實(shí)施攻擊活動(dòng)。
研究發(fā)現(xiàn),在這288個(gè)漏洞中,57%(164個(gè))的勒索軟件漏洞有相應(yīng)的公共漏洞利用代碼。其中,109個(gè)漏洞可以被遠(yuǎn)程利用(遠(yuǎn)程代碼執(zhí)行)??衫玫穆┒催€包括23個(gè)能夠提升權(quán)限的漏洞、13個(gè)可能導(dǎo)致拒絕服務(wù)攻擊的漏洞以及40個(gè)利用Web應(yīng)用程序的漏洞。勒索軟件攻擊者正優(yōu)先考慮將漏洞利用武器化。
圖1基于遠(yuǎn)程代碼執(zhí)行(RCE)的勒索軟件是增長(zhǎng)迅猛的一類(lèi)武器化勒索軟件
遠(yuǎn)程漏洞在軟目標(biāo)中尤為普遍,軟目標(biāo)是網(wǎng)絡(luò)犯罪分子,特別是勒索軟件和APT團(tuán)伙的最?lèi)?ài)。去年對(duì)醫(yī)療保健行業(yè)、石油天然氣供應(yīng)鏈、食品分銷(xiāo)商及其供應(yīng)鏈、藥房和學(xué)校的攻擊凸顯了這種策略的流行程度。眾所周知,這幾個(gè)關(guān)鍵行業(yè)部門(mén)缺少網(wǎng)絡(luò)安全資金或具有專(zhuān)業(yè)知識(shí)的員工以進(jìn)行威脅檢測(cè)和威懾,還常常使用至少一年未打補(bǔ)丁的系統(tǒng),這就給網(wǎng)絡(luò)犯罪分子以可乘之機(jī)。
勒索軟件軍備競(jìng)賽
網(wǎng)絡(luò)犯罪團(tuán)伙在勒索軟件領(lǐng)域的軍備競(jìng)賽,正升級(jí)為武器化的有效載荷、更狡猾的漏洞鏈方法,以及伺機(jī)尋找機(jī)會(huì)創(chuàng)建X即服務(wù)軟件。網(wǎng)絡(luò)安全供應(yīng)商及其服務(wù)組織需要采用一種更有效的補(bǔ)丁管理方法,對(duì)付武器化的勒索軟件,然后確定每個(gè)端點(diǎn)的狀態(tài)。遺憾的是,勒索軟件團(tuán)伙在這方面屢試不爽,他們研究長(zhǎng)期存在的CVE并找到可利用的未修補(bǔ)漏洞。
比如說(shuō),Cring勒索軟件悄悄利用了Adobe ColdFusion 9中的兩個(gè)漏洞:CVE-2009-3960和CVE-2010-2861,該產(chǎn)品自2016年被標(biāo)記為“報(bào)廢”以來(lái)一直未見(jiàn)改動(dòng)。該團(tuán)伙利用CVE-2010-2861潛入了一家基于服務(wù)的公司服務(wù)器,并使用CVE-2009-3960上傳web shell、Cobalt Strike的Beacon有效載荷,最后上傳了該勒索軟件的有效載荷。
Ivanti的研究發(fā)現(xiàn),未打補(bǔ)丁的漏洞是2021年勒索軟件團(tuán)伙最常利用的攻擊途徑。2020年有223個(gè)與勒索軟件相關(guān)的漏洞,2021年猛增29%,漏洞總數(shù)達(dá)到了288個(gè)CVE。這65個(gè)新增漏洞中超過(guò)30%被人在網(wǎng)上積極搜索,這表明重視和堵住這些漏洞的重要性。但許多組織在補(bǔ)丁管理上慢一拍,任由端點(diǎn)向日益狡猾的勒索軟件攻擊敞開(kāi)大門(mén)。
在目前的288個(gè)勒索軟件CVE中,美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)、國(guó)土安全部(DHS)、聯(lián)邦調(diào)查局(FBI)、國(guó)家安全局(NSA)及其他安全機(jī)構(gòu)已對(duì)其中66個(gè)發(fā)出了多次警告。這些警告?zhèn)鬟_(dá)了為漏洞打補(bǔ)丁的緊迫性。CISA還發(fā)布了一項(xiàng)有約束力的指令,強(qiáng)制公共部門(mén)為一系列特定的漏洞打補(bǔ)丁,附有嚴(yán)格的截止日期。
圖2基于風(fēng)險(xiǎn)的漏洞策略
Ivanti安全產(chǎn)品高級(jí)副總裁Srinivas Mukkamala表示:“組織需要格外警惕,在為武器化漏洞打補(bǔ)丁方面不得拖延。這需要結(jié)合基于風(fēng)險(xiǎn)的漏洞優(yōu)先級(jí)確定和自動(dòng)補(bǔ)丁情報(bào),以識(shí)別漏洞弱點(diǎn),并確定優(yōu)先級(jí),然后加快應(yīng)對(duì)。”基于風(fēng)險(xiǎn)的漏洞策略不僅僅需要關(guān)注NVD CVSS評(píng)分分析,還要全面、系統(tǒng)性地了解組織目前面臨的勒索軟件漏洞。