与时间赛跑:黑客在漏洞披露仅15分钟后就开始搜寻受害者了
网络安全公司Palo Alto Networks表示,攻击者利用未披露零日漏洞的速度不断加快。
Palo Alto Networks的《2022年事件响应报告》涵盖了600个事件响应(IR)案例。报告揭示,攻击者通常会在披露后的15分钟内就开始扫描漏洞。
其中包括2021年的几个重大漏洞,例如Exchange Server ProxyShell和ProxyLogon漏洞集、长期驻留的Apache Log4j缺陷(又名Log4Shell)、SonicWall零日漏洞和Zoho ManageEngine ADSelfService Plus。
Palo Alto Networks在报告中表示:“只要新漏洞一披露,我们的威胁情报团队就会观察到对易受攻击系统的广泛扫描。”
F5旗下Big-IP软件中的一个高危漏洞,则是令攻击者迅速扫描互联网,搜寻受影响设备。今年5月,网络安全与基础设施安全局(CISA)将这个重大漏洞添加到了其不断增长的已知遭利用漏洞目录中。漏洞特征发布后不到10个小时的时间里,Palo Alto Networks就观测到了2500次针对该漏洞的扫描。
虽然网络钓鱼仍是最主流的初始访问方式,占事件响应案例的37%,但软件漏洞也占据了31%之巨。凭证暴力破解攻击(如密码喷射)占9%,其他占比较小的类别还有此前被盗凭证(6%)、内部人威胁(5%)、社会工程(5%)和信任关系/工具滥用(4%)。
作为初始访问源头的漏洞中,超过87%归于六个漏洞类别之一。
最常见的初始访问漏洞是Exchange Server ProxyShell,占Palo Alto Networks所响应案例的55%。微软赶在2021年初为ProxyShell及相关ProxyLogon漏洞提供了补丁,但这些漏洞仍然成为了Hive勒索软件团伙等几个威胁组织的首要目标。
Log4j仅占Palo Alto Networks响应案例的14%,其后是SonicWall的漏洞(7%)、ProxyLogon(5%)、Zoho ManageEngine(4%)和FortiNet(3%)。其他漏洞占据了剩余的13%。
仅就涉及勒索软件的事件响应案例而言,该公司发现,其中22%出自易泄露的Conti团伙之手,其次是LockBit 2.0(14%)。其余勒索软件团伙各占不到10%,其中包括Hive、Dharma、PYSA、Phobos、ALPHV/BlackCat、REvil和BlackMatter。
Palo Alto Networks预测,在全球经济压力之下,对利润丰厚的勒索软件和非加密勒索攻击的报道,会将更多新手黑客卷入网络犯罪。
由于执法部门能够成功顺着加密钱包追踪到其所有者,以及加密货币的不稳定性,该公司还预测,商务电邮欺诈可能会迎来增长,此类骗局价值430亿美元,只不过在公众讨论中被破坏性勒索软件攻击盖过了风头。
Palo Alto Networks《2022年事件响应报告》:
https://unit42.paloaltonetworks.com/incident-response-report/
参考阅读