漏洞利用鏈(也稱為漏洞鏈)是將多個漏洞利用組合在一起以危害目標(biāo)的網(wǎng)絡(luò)攻擊方式。與專注于單一入口點相比，網(wǎng)絡(luò)犯罪分子更喜歡使用它們來破壞設(shè)備或系統(tǒng)，以獲得更大的破壞力或影響。

Forrester分析師Steve Turner表示，漏洞利用鏈攻擊的目標(biāo)是獲得內(nèi)核/根/系統(tǒng)級別的訪問權(quán)限來破壞系統(tǒng)以執(zhí)行攻擊活動。漏洞利用鏈允許攻擊者通過使用正常系統(tǒng)進(jìn)程中的漏洞，繞過眾多防御機(jī)制來快速提權(quán)自己，從而融入組織的環(huán)境中。

雖然漏洞利用鏈攻擊通常需要花費(fèi)網(wǎng)絡(luò)犯罪分子更多的時間、精力和專業(yè)技能，但將漏洞利用組合在一起，允許惡意行為者執(zhí)行更復(fù)雜且難以修復(fù)的攻擊，這具體取決于漏洞序列的長度和復(fù)雜程度。

漏洞利用鏈的風(fēng)險

漏洞利用鏈給組織帶來的風(fēng)險將是巨大的。Turner介紹稱，漏洞利用鏈的執(zhí)行往往發(fā)生得非?？?，而且大多數(shù)組織并沒有配置正確的策略、流程和工具來積極阻止或遏制此類威脅。

Vulcan Cyber研究團(tuán)隊負(fù)責(zé)人Ortal Keizman表示，不幸的現(xiàn)實是，IT安全團(tuán)隊背負(fù)著這樣一個事實：幾乎所有漏洞利用都利用了已知漏洞和漏洞利用鏈，而這些漏洞由于各種原因尚未得到緩解?？梢哉f，漏洞管理是當(dāng)今IT安全行業(yè)面臨的一場大規(guī)模的‘打地鼠游戲’，至少56%的企業(yè)組織缺乏快速、大規(guī)模修復(fù)漏洞以保護(hù)其業(yè)務(wù)的能力。

可以合理地假設(shè)，大多數(shù)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者還在查看NIST報告的漏洞列表或CISA已知利用的漏洞列表，因為他們根本沒有牢牢掌握自己的風(fēng)險態(tài)勢。對此，Keizman表示，如果無法衡量風(fēng)險，還談何降低風(fēng)險，如果風(fēng)險優(yōu)先級沒有與特定組織或業(yè)務(wù)部門的定制風(fēng)險承受能力保持一致，那么風(fēng)險優(yōu)先級將毫無意義。

漏洞利用鏈用例和示例

以下漏洞利用鏈攻擊場景的示例要么已發(fā)生在現(xiàn)實世界中，要么是假設(shè)的(但很可能發(fā)生)。

SolarWinds攻擊

現(xiàn)實世界中，漏洞利用鏈攻擊的最佳示例之一就是SolarWinds漏洞利用，它為我們展示了利用多個(需要修復(fù)的)漏洞和多個(需要保護(hù)的)供應(yīng)鏈后門的強(qiáng)大破壞性。在這起事件中，攻擊者首先利用軟件供應(yīng)鏈的關(guān)鍵層開發(fā)了一種高級持續(xù)威脅，這些關(guān)鍵層允許遠(yuǎn)程訪問和提升私有網(wǎng)絡(luò)內(nèi)的特權(quán)。一旦后門向軟件工廠打開，攻擊者就能確保使用概念驗證(PoC)漏洞利用通過已知(但由于各種原因尚未得到緩解的)漏洞進(jìn)一步滲透目標(biāo)系統(tǒng)。

針對移動設(shè)備的漏洞利用鏈

Netenrich公司首席威脅獵手John Bambenek發(fā)現(xiàn)，漏洞利用鏈最常用于移動設(shè)備。鑒于手機(jī)架構(gòu)的性質(zhì)，需要使用多種漏洞來獲取root訪問權(quán)限，以執(zhí)行移動惡意軟件所需的操作。安全公司Lookout的研究證實了這一點，該研究詳細(xì)介紹了多種Android監(jiān)控工具。

針對瀏覽器的漏洞利用鏈

針對瀏覽器漏洞的利用鏈同樣存在可能性，Tripwire漏洞和暴露研究團(tuán)隊的成員Tyler Reguly發(fā)現(xiàn)，攻擊者可以使用網(wǎng)絡(luò)釣魚電子郵件將用戶引導(dǎo)到網(wǎng)頁，然后再發(fā)起“路過式”(drive-by)攻擊以利用瀏覽器漏洞。然后將它們與第二個漏洞鏈接以執(zhí)行沙盒逃逸，然后是第三個漏洞以獲取權(quán)限提升。

在這種場景中，攻擊者希望利用漏洞在整個網(wǎng)絡(luò)中傳播并進(jìn)入特定系統(tǒng)。Reguly補(bǔ)充道，“當(dāng)我想到漏洞利用鏈時，腦力里總會浮現(xiàn)一副畫面：《老友記》中羅斯反復(fù)大喊‘轉(zhuǎn)軸(Pivot)’的場景。攻擊者希望使用他們的漏洞利用鏈來創(chuàng)建樞軸點，以在系統(tǒng)和網(wǎng)絡(luò)中移動?！?/p>

勒索軟件攻擊者使用的漏洞利用工具包

Turner表示，作為勒索軟件攻擊者和其他攻擊者團(tuán)體使用的商品化漏洞利用工具包的一部分，漏洞利用鏈正變得越來越普遍。兩個流行的例子就是零點擊漏洞利用鏈，用戶不需要做任何事情就可以執(zhí)行它;以及像ProxyLogon一樣的東西，攻擊者可以利用一系列漏洞來獲得管理員訪問權(quán)限，以執(zhí)行他們想要的任何代碼。

勒索軟件組織經(jīng)常使用這種方法在環(huán)境中快速站穩(wěn)腳跟，以竊取數(shù)據(jù)，然后勒索組織。Turner補(bǔ)充道，“我們很有信心地預(yù)計，攻擊者將利用眾所周知的RCE漏洞(例如Log4j漏洞)創(chuàng)建額外的漏洞利用工具包，將一系列漏洞利用鏈接在一起，從而快速獲得他們想要的系統(tǒng)/內(nèi)核級別訪問權(quán)限?！?/p>

漏洞利用鏈攻擊防御建議

談及降低漏洞利用鏈攻擊風(fēng)險時，Reguly強(qiáng)調(diào)稱，要記住最重要的事情是你可以破壞“鏈”中的任何一環(huán)。一些損害可能已經(jīng)造成，但斷開任何一環(huán)都可以阻止進(jìn)一步的潛在損害。一個強(qiáng)大而成熟的網(wǎng)絡(luò)安全計劃可以實施有效的技術(shù)、策略和程序(TTP)，破壞“鏈”中的每個環(huán)節(jié)，提供最大數(shù)量的潛在緩解或保護(hù)來抵御每一種可能的攻擊。

如果這一點在組織中行不通，可以思考一下“網(wǎng)絡(luò)殺傷鏈”以及可以阻止它的點，也是很好的建議。雖然漏洞利用鏈可能讓人望而生畏，但如果可以檢測到某些東西(無論是在利用鏈中還是在其他攻擊者行為中)，響應(yīng)者就可以了解問題并解決它。

對于Keizman來說，正面解決漏洞利用鏈需要大規(guī)模開源社區(qū)和閉源軟件供應(yīng)商之間的協(xié)調(diào)努力。開源軟件開發(fā)實踐已經(jīng)并將提供很大幫助，但現(xiàn)在正是商業(yè)和開源軟件開發(fā)陣營聯(lián)合起來的最佳時機(jī)。

至于首席信息安全官，Keizman支持實施基于風(fēng)險的整體網(wǎng)絡(luò)衛(wèi)生，而不是在每個漏洞出現(xiàn)時盲目地解決它們。企業(yè)必須制定策略在威脅發(fā)生之前解決它，并根據(jù)自己的特定業(yè)務(wù)需求進(jìn)行優(yōu)先級排序，否則將輸?shù)暨@場比賽。

本文翻譯自：https://www.csoonline.com/article/3645449/exploit-chains-explained-how-and-why-attackers-target-multiple-vulnerabilities.html如若轉(zhuǎn)載，請注明原文地址。