網(wǎng)絡(luò)威脅情報(bào)(CTI)扮演的關(guān)鍵戰(zhàn)略和戰(zhàn)術(shù)角色之一是對(duì)軟件漏洞的跟蹤，分析和優(yōu)先級(jí)排序，這些漏洞可能會(huì)使組織的數(shù)據(jù)，員工和客戶面臨風(fēng)險(xiǎn)。在這個(gè)由四部分組成的文章系列中，F(xiàn)ireEye Mandiant威脅情報(bào)分析了CTI在實(shí)現(xiàn)漏洞管理中的價(jià)值，并揭示了有關(guān)最新威脅，趨勢(shì)和建議的研究。

根據(jù)研究結(jié)果，與前3年相比，我們發(fā)現(xiàn)2019年被利用的零日(0-day)漏洞數(shù)量更多。雖然并非每次0-day利用都能溯源到特定的攻擊組織，但我們發(fā)現(xiàn)越來越多的攻擊組織已經(jīng)逐步具備這類能力。此外，有些攻擊組織會(huì)購買商業(yè)公司提供的進(jìn)攻性網(wǎng)絡(luò)產(chǎn)品及服務(wù)，所利用的0-day數(shù)量也越來越多，并且隨著時(shí)間的推移，針對(duì)中東的0-day攻擊事件也越來越多?，F(xiàn)在有許多組織/個(gè)人在提供攻擊性網(wǎng)絡(luò)武器服務(wù)，展望未來，我們認(rèn)為會(huì)有更多攻擊者開始使用0-day。

國(guó)家和地區(qū)的0-day 漏洞使用情況

自2017年底以來，F(xiàn)ireEye Mandiant威脅情報(bào)指出，已知或懷疑為提供攻擊性網(wǎng)絡(luò)工具和服務(wù)的私人公司的客戶的組織利用的0-Day 漏洞工作天數(shù)顯著增加。此外，我們觀察到針對(duì)中東和/或與該地區(qū)有可疑聯(lián)系的團(tuán)體所利用的0-Day 漏洞有所增加。

示例包括：[[322957]]

(1) 研究人員將其稱為 stealth-falcon 和 FruityArmor 的一個(gè)小組是一個(gè)間諜團(tuán)體，據(jù)報(bào)道 以中東的記者和活動(dòng)人士為目標(biāo)。在2016年，該小組使用了NSO小組出售的惡意軟件，該軟件利用了三個(gè)iOS 0-Day 漏洞。從2016年到2019年，該小組使用的0-Day 漏洞工作時(shí)間超過其他任何小組。

(2) 此攻擊活動(dòng)被稱為“沙貓”(SandCat)，被懷疑與烏茲別克斯坦的國(guó)家情報(bào)有關(guān)，在針對(duì)中東目標(biāo)的行動(dòng)中使用0-Day 漏洞進(jìn)行了偵查。該小組可能是通過從NSO組之類的私營(yíng)公司購買惡意軟件獲得0-Day 漏洞的，因?yàn)樵赟andCat運(yùn)營(yíng)中使用的0-Day 漏洞也被用于Stealth Falcon行動(dòng)中，而且這些不同的活動(dòng)集不可能獨(dú)立地發(fā)現(xiàn)相同的三個(gè)0-Day 漏洞。

(3) 在2016年和2017年全年，BlackOasis的活動(dòng)(主要針對(duì)中東實(shí)體，并且過去很可能從私營(yíng)公司Gamma Group獲得了至少一個(gè)0-Day 漏洞)也表現(xiàn)出了類似的頻繁獲取0-Day 漏洞的機(jī)會(huì)。

• https://citizenlab.ca/2016/05/stealth-falcon/
• https://www.securityweek.com/windows-zero-day-exploited-fruityarmor-sandcat-threat-groups
• https://www.welivesecurity.com/2019/09/09/backdoor-stealth-falcon-group/
• https://www.vice.com/en_us/article/3kx5y3/uzbekistan-hacking-operations-uncovered-due-to-spectacularly-bad-opsec
• https://www.securityweek.com/middle-east-group-uses-flash-zero-day-deliver-spyware
• https://www.securityweek.com/middle-east-group-uses-flash-zero-day-deliver-spyware

我們還注意到了0-Day 漏洞利用的例子，這些事例并未歸因于受追蹤的群體組織，但似乎已被私人安全公司提供的工具所利用，例如：

(1) 據(jù)報(bào)道，2019年，WhatsApp(CVE-2019-3568)中的0-Day 漏洞被用來分發(fā)由以色列軟件公司NSO集團(tuán)開發(fā)的間諜軟件。

(2) FireEye分析了針對(duì)一家俄羅斯醫(yī)療保健組織的活動(dòng)，該組織利用了2018年Adobe Flash0-Day 漏洞(CVE-2018-15982)，該0-Day 漏洞可能與Hacking Team泄露的源代碼有關(guān)。

(3) 據(jù)報(bào)道，NSO Group工具于2019年10月在野外利用了 Android0-Day 漏洞CVE-2019-2215 。

• https://www.itpro.co.uk/spyware/33632/whatsapp-call-hack-installs-spyware-on-users-phones
• https://thehackernews.com/2019/10/android-kernel-vulnerability.html

可以看到主要網(wǎng)絡(luò)大國(guó)的間諜組織對(duì)0-Day 漏洞的利用。

(1) 據(jù)研究人員稱，中國(guó)間諜組織APT3 在2016年利用CVE-2019-0703進(jìn)行了有針對(duì)性的攻擊。

(2) FireEye觀察到朝鮮小組APT37開展了2017年的活動(dòng)，該活動(dòng)利用了Adobe Flash漏洞CVE-2018-4878，該小組還顯示出在發(fā)現(xiàn)漏洞后不久即可迅速利用這些漏洞的能力有所增強(qiáng)。

(3) 從2017年12月到2018年1月，我們觀察到多個(gè)中國(guó)集團(tuán)利用CVE-2018-0802在針對(duì)歐洲，俄羅斯，東南亞和臺(tái)灣的多個(gè)行業(yè)的活動(dòng)中。在發(fā)布此漏洞的補(bǔ)丁之前，至少使用了六分之三的樣本。

(4) 2017年，俄羅斯組織APT28和Turla在Microsoft Office產(chǎn)品中利用了多個(gè)0-Day 漏洞。

• https://www.symantec.com/blogs/threat-intelligence/buckeye-windows-zero-day-exploit
• https://www.fireeye.com/blog/threat-research/2017/05/eps-processing-zero-days.html

此外，我們認(rèn)為，某些最危險(xiǎn)的國(guó)家贊助的入侵正在日益顯示出迅速利用已公開的漏洞的能力。在許多情況下，與這些國(guó)家有聯(lián)系的組織已經(jīng)能夠利用漏洞將其武器化并將其納入其運(yùn)營(yíng)中，利用漏洞披露與補(bǔ)丁安裝之間的時(shí)間窗口。

在2019年5月，我們報(bào)告FIN6在2019年2月有針對(duì)性的入侵中使用Windows Server 2019的UAF 0-Day 漏洞(CVE-2019-0859)，一些證據(jù)表明，該組織可能自2018年8月以來就使用了該漏洞利用程序。盡管公開消息表明該組織有可能從代號(hào)為BuggiCorp的地下組織那里獲得0-Day 漏洞，但我們還沒有找到直接證據(jù)證明該組織與該漏洞利用程序的開發(fā)或銷售有關(guān)。

分析結(jié)論

根據(jù)私營(yíng)企業(yè)潛在客戶對(duì)0-day的利用情況及比例，我們推測(cè)現(xiàn)在攻擊者對(duì)0-day的利用趨勢(shì)已經(jīng)越來越商品化。之所以會(huì)出現(xiàn)這種情況，可能有如下原因：

• 私營(yíng)公司可能會(huì)創(chuàng)造和提供比過去更多的0-Day 漏洞服務(wù)，導(dǎo)致0-Day 漏洞資源能力集中在資源豐富的團(tuán)體中。
• 私營(yíng)公司可能會(huì)越來越多地向總體能力較低的團(tuán)體和/或?qū)\(yùn)營(yíng)安全性較少關(guān)注的團(tuán)體提供攻擊能力，這也將導(dǎo)致0-day利用活動(dòng)越來越頻繁。

各國(guó)可能會(huì)繼續(xù)支持內(nèi)部漏洞利用程序的發(fā)現(xiàn)和開發(fā);但是，通過私營(yíng)公司提供0-Day 漏洞服務(wù)可能比依靠國(guó)內(nèi)解決方案或地下市場(chǎng)提供更具吸引力的選擇。因此我們認(rèn)為，如果攻擊者有能力且愿意投入金錢，那么能夠獲取這類漏洞的攻擊者數(shù)量將不斷上升，并且增長(zhǎng)速度將比其自身的整體網(wǎng)絡(luò)攻擊能力增長(zhǎng)速度要快。