與時間賽跑：黑客在漏洞披露僅15分鐘后就開始搜尋受害者了

網絡安全公司Palo Alto Networks表示，攻擊者利用未披露零日漏洞的速度不斷加快。 

Palo Alto Networks的《2022年事件響應報告》涵蓋了600個事件響應（IR）案例。報告揭示，攻擊者通常會在披露后的15分鐘內就開始掃描漏洞。

其中包括2021年的幾個重大漏洞，例如Exchange Server ProxyShell和ProxyLogon漏洞集、長期駐留的Apache Log4j缺陷（又名Log4Shell）、SonicWall零日漏洞和Zoho ManageEngine ADSelfService Plus。 

Palo Alto Networks在報告中表示：“只要新漏洞一披露，我們的威脅情報團隊就會觀察到對易受攻擊系統的廣泛掃描。” 

F5旗下Big-IP軟件中的一個高危漏洞，則是令攻擊者迅速掃描互聯網，搜尋受影響設備。今年5月，網絡安全與基礎設施安全局（CISA）將這個重大漏洞添加到了其不斷增長的已知遭利用漏洞目錄中。漏洞特征發布后不到10個小時的時間里，Palo Alto Networks就觀測到了2500次針對該漏洞的掃描。 

雖然網絡釣魚仍是最主流的初始訪問方式，占事件響應案例的37%，但軟件漏洞也占據了31%之巨。憑證暴力破解攻擊（如密碼噴射）占9%，其他占比較小的類別還有此前被盜憑證（6%）、內部人威脅（5%）、社會工程（5%）和信任關系/工具濫用（4%）。   

作為初始訪問源頭的漏洞中，超過87%歸于六個漏洞類別之一。 

最常見的初始訪問漏洞是Exchange Server ProxyShell，占Palo Alto Networks所響應案例的55%。微軟趕在2021年初為ProxyShell及相關ProxyLogon漏洞提供了補丁，但這些漏洞仍然成為了Hive勒索軟件團伙等幾個威脅組織的首要目標。  

Log4j僅占Palo Alto Networks響應案例的14%，其后是SonicWall的漏洞（7%）、ProxyLogon（5%）、Zoho ManageEngine（4%）和FortiNet（3%）。其他漏洞占據了剩余的13%。 

僅就涉及勒索軟件的事件響應案例而言，該公司發現，其中22%出自易泄露的Conti團伙之手，其次是LockBit 2.0（14%）。其余勒索軟件團伙各占不到10%，其中包括Hive、Dharma、PYSA、Phobos、ALPHV/BlackCat、REvil和BlackMatter。   

Palo Alto Networks預測，在全球經濟壓力之下，對利潤豐厚的勒索軟件和非加密勒索攻擊的報道，會將更多新手黑客卷入網絡犯罪。

由于執法部門能夠成功順著加密錢包追蹤到其所有者，以及加密貨幣的不穩定性，該公司還預測，商務電郵欺詐可能會迎來增長，此類騙局價值430億美元，只不過在公眾討論中被破壞性勒索軟件攻擊蓋過了風頭。