根据Check Point的年中报告,2020年上半年观察到的攻击中,80%使用2017年及更早时间报告和注册的“旧漏洞”,超过20%的攻击使用至少7年的老漏洞。这表明我们在保持软件最新时有问题。
根据SenseCy在最新的研究中,勒索软件攻击并不总是由Windows许多攻击者使用漏洞触发远程访问Windows网络工具中的漏洞。以下是研究人员热衷于使用勒索软件的四个漏洞:
CVE-2019-19781:Citrix应用程序交付控制器
CVE-2019-19781影响Citrix远程访问设备于2019年12月披露,1月修复。攻击者使用它Citrix漏洞作为入口点,然后转向其他Windows进一步访问漏洞。
正如FireEye博客文章指出,Ragnarok攻击使用勒索软件Citrix漏洞作为突破口,然后下载Windows本机工具的一部分证书服务(在MITRE ATT&CK框架分为技术11005)。然后攻击者下载执行since1969.exe二进制文件位于目录 C:\Users\Public删除当前用户的证书缓存URL。
为确保Citrix网关设备不受此漏洞影响,可下载使用GitHub上的FireEye/Citrix扫描工具(https://github.com/fireeye/ioc-scanner-CVE-2019-19781)。这个漏洞可以用来传播Sodinokibi/REvil、 Ragnarok、DopplePaymer、Maze、CLOP以及Nephilim等待多个勒索软件。Check Point该报告提到了类似的远程访问攻击趋势:使用远程访问技术(包括RDP和虚拟专用网导致RDP暴力攻击急剧上升。
CVE-2019-11510:Pulse 虚拟专用网漏洞
漏洞CVE-2019-11510今年被许多攻击者滥用。Pulse Secure这是一种虚拟专用网络连接服务。随着远程办公人数的增加,这种虚拟专用网络软件的使用也急剧增加。微软4月份的一篇博客文章指出:“REvil(也称为Sodinokibi)臭名昭著,因为访问和销售虚拟专用网络服务提供商及其客户的账户和敏感信息。在新冠肺炎疫情期间,此类活动更加猖獗。”
该漏洞用于窃取和披露900多个虚拟专用网络企业服务器的密码。今年6月,勒索软件Black Kingdom还利用Pulse 虚拟专用网络的漏洞发起攻击,冒充谷歌Chrome合法定时任务。
CVE 2012-0158:微软Office通用控件
作为2020年勒索软件攻击中最常用的四个漏洞之一,诞生于2012年CVE 2012-0158属于老年漏洞,但仍是2019年最危险的漏洞之一。2020年3月,多家政府和医疗机构成为攻击目标,攻击者试图通过发送名为 “20200323-sitrep-63-covid-19.doc”丰富的文本格式文件 (RTF)利用这个漏洞。被害人打开后,文件将尝试使用Microsoft在MSCOMCTL.OCX库中的ListView/TreeView ActiveX已知缓冲区在控制器中溢出漏洞(CVE-2012-0158)来投放EDA2勒索软件。
CVE-2018-8453:Windows Win32k 组件
CVE-2018-8453是2018年发现的Windows win32k.sys组件中的漏洞。巴西能源公司Light S.A在勒索软件攻击中,攻击者使用了该公司Windows Win32k32位和64位组件漏洞提权。
总结:勒索软件的综合保护始于漏洞管理
真正令人感到不安的趋势是,上述四大漏洞的数量和年龄。这表明大量企业的漏洞和补丁管理流程依然存在很大漏洞,企业需要尽快修补入口点并扫描补丁工具遗漏的高龄漏洞。
对于企业的安全主管,您不妨通过以下问题进行自检:您的终点会因新冠肺炎的流行而增加吗?新的终点是否及时修复、保护和监控?您是否增加了遥测和报告流程,以便在问题发生前更好地收到报警?
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更多的好文章