漏洞武器化,成為勒索軟件鋒利的“矛”
巨量數據泄露、暗網交易猖獗、國家進入緊急狀態……這些網絡安全事件背后都離不開勒索犯罪集團。2022年,勒索組織的活躍度不亞于往年,LockBit、Conti和Lapsus$三大勒索組織空前活躍,政府網站、醫療業、制造業、金融業等行業飽受勒索軟件困擾。
據SpyCloud發布的《2022年勒索軟件防御報告》顯示,盡管企業增加了打擊勒索軟件的投資,但是在過去12個月中,90%的受訪企業都受到了勒索攻擊的影響,50%的企業至少遭受過兩次勒索攻擊,20.3%的企業遭受勒索攻擊的次數為6到10次,7.4%的企業遭受勒索攻擊的次數超過10次。
與之相對應的是,勒索攻擊給企業帶來了更重的經濟負擔。IBM發布的《2022年數據泄露成本報告》數據顯示,2022年,勒索軟件和破壞性攻擊造成的數據泄露成本比平均成本更高,而涉及勒索軟件的違規事件占比增長了41%。
回顧今年的勒索軟件形勢和重大事件,我們發現,勒索即服務(RaaS)愈加成熟,舊的惡意軟件變體回歸,新的變體不斷發展,漏洞愈發武器化,勒索生態逐漸工業化。
在漏洞數量和復雜性逐年增長的背景下,這些漏洞愈來愈成為勒索組織手中一把趁手的利器。組織遭受勒索攻擊的原因不一,缺乏良好的網絡習慣、安全預算有限、人力有限、人才缺失、威脅情報不足和各組織之間缺乏透明度……所謂知己知彼,了解勒索軟件的趨勢、發展、攻擊手段演變十分有必要。
一、2022年勒索軟件三大趨勢
1、越來越多跨平臺勒索軟件,適應性提高
為了造成盡可能多的損害并提高恢復難度,勒索組織會加密更多的系統,這意味著其勒索軟件需要在不同的架構和操作系統中運行。
應對方法是用“跨平臺編程語言”(如 Rust 或 Golang)編寫勒索軟件,使用跨平臺語言還方便將勒索軟件移植到其他平臺。此外,對分析人員來說,破解跨平臺二進制文件比破解普通C語言編寫的惡意軟件更困難。
例如,Conti勒索集團的目標是全球范圍內的組織,它使用雙重勒索技術以及聯盟般的結構。某些聯盟機構能夠訪問Conti勒索軟件的Linux變體,它支持各種不同的命令行參數,聯盟機構可以利用這些參數來定制執行。
【Conti勒索軟件Linux變體的不同命令行參數】
2、勒索軟件生態系統不斷發展,更加“工業化”
網絡犯罪集團的工具包在不斷升級,以使數據泄露的過程更快、更輕松。集團不斷重塑和更新勒索軟件品牌,使其具備高可用性。Lockbit集團是最著名的勒索軟件即服務(RaaS)商。
【Lockbit 勒索集團RaaS品牌更新歷程】
在RaaS生態中,定制化的工具使用頻率明顯提升。Conti勒索集團最開始使用公開的數據滲出工具Filezilla,不久后便改為自己定制的工具StealBIT。因為定制的工具能在更短時間內滲出數據,對勒索軟件來說,速度至關重要,滲出數據時間越長,勒索組織被發現的機率就越大。
此外,定制工具也更具有靈活性。大多數工具只能將數據上傳至一臺主機。如果該主機發生故障,必須手動指定另一個主機。StealBIT有一個硬編碼的主機列表,當犯罪集團的基礎設施被執法機構打擊時,數據可以外流到這些主機。
3、勒索組織在地緣政治中開始主張立場
2022年2月,俄烏沖突爆發。在這類地緣政治沖突中,人們會將實施網絡攻擊的組織和國家背景聯系起來。這場沖突中衍生了一種新型參與方式:網絡犯罪論壇和勒索軟件組織對局勢作出反應并采取行動。
反應最明顯的是Conti勒索集團。2月25日,Conti在其網站上發布了一則消息,聲明稱,如果俄羅斯成為網絡攻擊的目標,它將全面報復任何“敵人”的關鍵基礎設施。這種網絡犯罪集團公開支持某個國家的例子非常罕見。
【Conti在網站發布的支持俄羅斯聲明】
還有其他一些網絡犯罪集團,如“匿名者”(Anonymous)、“烏克蘭IT軍”(IT Army of Ukraine)和“白俄羅斯網絡游擊隊”(belarusiancyber Partisans)公開支持烏克蘭。
【立場不同的網絡犯罪集團】
勒索組織的政治立場除了通過勒索信息表達,也通過惡意軟件的特性表達。特性之一就是擦拭功能。如果惡意軟件入侵了一個文件列表,其目的不是加密,而是從系統中刪除文件。另一個突出特性是惡意軟件的高質量,應用的加密方法和多線程的使用方式大大提高了網絡攻擊行動的效率。
二、漏洞武器化,助推勒索軟件發展
勒索軟件攻擊的流行與利用漏洞(尤其是舊漏洞)直接相關。Cyber Security Works(CSW)和Ivanti在其最新的《2022年第一季度勒索軟件指數報告》中,深入研究了與勒索軟件有關的漏洞。該季度,勒索組織利用的舊漏洞數量環比激增17.9%;新漏洞數量則相比上季度增加了22個,環比增幅達7.6%。
【《2022年第一季度勒索軟件指數報告》】
值得注意的是,這22個漏洞中有一半是在2019年披露的,這表明威脅行為者正在積極尋找網絡薄弱之處和漏洞管理流程中的漏洞。
CSW全球滲透測試總監梅麗莎·伍滕(Melissa Wooten)表示,APT組織對漏洞的利用沒有放緩跡象,新舊漏洞的武器化正在快速發生。
另一個壞消息是,并非所有勒索組織利用的漏洞,都能被漏洞掃描工具檢測到。梅麗莎介紹,“在報告中,我們專門跟蹤了未被掃描工具檢測出的漏洞數量。從積極的方面看,2022年第一季度未被檢測到的勒索相關漏洞數量為11個,而2021年第四季度該數字為22個。”
她還表示,CISA的已知漏洞(KEV)中有141個正被勒索軟件組織使用,其中18個漏洞是一季度發現的。
報告還公布了164個易受勒索軟件影響的產品,其中包括17個F5 Big IP產品中,143個微軟Windows產品,5個VMware Cloud Foundation和vCenter Server產品。操作系統中的漏洞最容易被勒索軟件利用,其數量在2022年第一季度為125個。
CSW還研究了漏洞公布時間、補丁發布時間和被勒索組織利用時間這三者之間的關系。平均而言,漏洞披露時間和補丁發布時間一致,披露8天內就會被勒索組織利用,披露一周后會被添加至NVD(國家漏洞數據庫)。
2022年第一季度,Conti 是利用漏洞最多的勒索組織,該組織利用了22個新增漏洞中的19個。BlackCat、LockBit和AvosLocker利用了其余的漏洞。BlackCat(又名AlphaV)和Avoslocker是該季度新出現的勒索軟件家族,還有NightSky和Karma。
三、頻繁被利用的漏洞
黑客一直在尋找可利用的漏洞,這些漏洞大多來源于主流應用程序,因而影響面也很廣。2022年,基于Office的漏洞被APT組織和網絡黑灰產積極利用。同時,在2022年利用率最高的漏洞榜單中,還包括上一年的爆炸性漏洞。
1、Follina Office漏洞
WatchGuard發布的報告顯示,2022年二季度最大的威脅是Follina Office漏洞(CVE-2022-30190),該漏洞于4月首次報告,5月下旬修補。
該漏洞在宏被禁用的情況下,仍能通過MSDT(Microsoft Support Diagnostics Tool)功能執行代碼,當惡意文件保存為RTF格式時,甚至無需打開文件,通過資源管理器中的預覽選項卡即可在目標機器上執行任意代碼。然后,攻擊者可以在用戶權限允許的上下文中安裝程序、查看、更改、刪除數據或創建新賬戶。
Follina 漏洞被披露后引發全球廣泛關注,隨后世界各地的安全研究人員發現該漏洞被專業APT組織和網絡黑灰產業積極利用。其他三個基于Office的漏洞(CVE-2018-0802,RTF-ObfsObjDat.Gen和CVE-2017-11882)也在德國和希臘被廣泛發現。
2、微軟 Exchange代理登錄漏洞
代理登錄(CVE-2021-26855)是影響微軟 Exchange 2013、2016 和 2019 的漏洞。它允許對手繞過身份驗證獲得管理員權限。由于缺乏內部基礎設施更新,它仍然是2022年最常被利用的漏洞之一。
3、微軟Netlogon特權提升漏洞
Netlogon特權提升漏洞(CVE-2020-1472,也稱為ZeroLogon)發現于2020年8月。當攻擊者使用 Netlogon 遠程協議 (MS-NRPC) 建立與域控制器連接的易受攻擊的 Netlogon 安全通道時存在特權提升漏洞。成功利用此漏洞的攻擊者可以在網絡中的設備上,運行經特殊設計的應用程序,獲取域控制器的管理員權限。
4、Log4Shell漏洞
Log4Shell(CVE-2021-44228)是2021年末的爆炸性漏洞。此漏洞會影響Apache Java 日志記錄庫 Log4j,該漏洞會導致遠程代碼執行,在服務器端下載和執行惡意有效負載。
【Log4Shell JNDI攻擊】
5、VMware vSphere 客戶端漏洞
該漏洞(CVE-2021-21972)為遠程執行代碼漏洞,評分 9.8,于 2021 年 2 月在 VMware vSphere 客戶端 (HTML5) 中發現。vSphere 是企業基礎架構和內部網絡中使用的常用虛擬化器。內部威脅可以通過此漏洞在 443 端口上提升權限并執行遠程命令。之后,機器可以用作訪問整個基礎設施的跳板。
6、Windows LSA 欺騙漏洞
Windows LSA 欺騙漏洞(CVE-2021-36942)發現于2021年8月,評分9.8。未經身份驗證的攻擊者可以調用 LSARPC 接口上的方法并強制域控制器使用 NTLM 對另一臺服務器進行身份驗證。惡意用戶可以使用此漏洞完全控制Windows域。
四、如何預防漏洞武器化
勒索攻擊正在成為全球企業的“毒瘤”,它改變了網絡威脅格局,網絡環境和網絡產品中的漏洞成為勒索組織手中的一把利器。借助漏洞的影響范圍,勒索組織和惡意軟件大舉進攻,攻擊面和攻擊效率大大提升。在勒索軟件頻繁將攻擊觸角伸向政府部門后,Check Point Research甚至創造出“國家勒索”一詞來命名這類攻擊。
減緩漏洞武器化趨勢是減少勒索攻擊的途徑之一,不論是企業還是組織都應該重視漏洞檢測、修補和管理。首先做好網絡衛生管理,培養用戶和員工良好的用網習慣;其次部署漏洞檢測安全工具,定時使用漏洞掃描系統,及時發現環境中的漏洞,發現漏洞后要及時下載補丁進行更新;最后,在整個過程中,企業應該做好漏洞生命周期管理,達到動態和可持續的管理,這樣才能最大限度預防漏洞武器化趨勢。
