這個網絡空間戰場上的“核武器”,又被捕獲了一個
責編:gltian |2021-06-15 13:54:00
?6月9日,安恒信息威脅情報中心獵影實驗室宣布其捕獲一個0DAY漏洞,該漏洞可影響最新版WIN10。
在網絡信息安全領域,0DAY漏洞并不陌生,0DAY漏洞也叫零時差攻擊,威力巨大。攻擊者掌握0DAY漏洞后可以肆意發動攻擊,對企業機構造成重要損失。在0DAY漏洞面前,掌握先機、提前防范至關重要。
? 稀缺:上半年全球僅發現10個
早在今年2月,安恒信息威脅情報中心獵影實驗室就曾協助微軟修復一個影響最新版Windows10系統的內核提權漏洞,此次再度發現新的漏洞,并第一時間將其報告給了MSRC。經過MSRC的確認,這是一個dwmcore.dll模塊的0DAY漏洞,在最新版本的Windows10 21H1全補丁環境下也能觸發。
從歷年的統計來看,全球范圍內每年披露的這類被用于實際攻擊的零日漏洞大概有10-20個。以Windows平臺為例,今年上半年,全球范圍內已經發現的共有10個,其中2個由安恒信息捕獲。分別為CVE-2021-1732和CVE-2021-33739。
安恒信息威脅情報中心獵影實驗室負責人介紹,發現這個漏洞的過程如同“大海撈針”,首先是沒人知道什么時候會出現漏洞,其次是一般廠商沒有足夠的安全能力積累去捕獲這種漏洞。現在全球每天新增至少幾百萬惡意樣本,我們按照一年的樣本總量來算,發現這個漏洞的難度相當于從近億樣本中精確篩出一個有問題的樣本。
為了捕獲這類高級威脅,安恒信息威脅情報中心結合自研的威脅情報TI平臺做了大量工作,包括威脅分析溯源與安全感知系統、樣本情報同源分析系統、威脅情報資訊推送系統的開發與持續迭代,并在此基礎上搭建了一套從發現未知威脅到報送廠商,再到安全產品響應的高級威脅處置流程。此外,安恒信息威脅情報中心獵影實驗室還結合自身在威脅檢測和APT組織追蹤方面的多年經驗,實時把握高級威脅變化趨勢,不斷對安全策略進行調整。
??價值:黑市售價數萬美元
任何稀缺的東西,往往都有著極高的價值,或是相應的危害。前者是對黑客而言,后者自然是對于企業機構而言。
0DAY漏洞被稱為評價黑客能力的重要衡量標準之一,一個黑客掌握0DAY漏洞的多少,決定了他的技術有多高,也意味著他的威脅性有多大。
安恒信息威脅情報中心獵影實驗室負責人用“核武器”來形容0DAY漏洞,“0DAY在網絡空間隱蔽戰場上具有舉足輕重的作用,0DAY通常作為攻擊組織的戰略儲備,具有特殊使命和戰略意義。”
正因為其稀缺且價值巨大,所以在黑市上,0DAY漏洞往往能賣出不菲的價格,從幾萬美金到幾十萬美金不等,甚至在特定情況下賣出過上百萬美元。
??危害:難以承受之重
具有如此價值,究其原因,自然是黑客通過0DAY漏洞可以獲取的好處多多。以安恒信息威脅情報中心獵影實驗室此次發現的漏洞為例,攻擊者借助該漏洞可以將其攻擊權限提升為系統最高權限,從而可以完全訪問受害者計算機上的所有敏感數據。這類漏洞一般配合瀏覽器漏洞一起使用,在這種場景下,受害者的計算機只要訪問一個惡意構造的網頁,就可以完全被攻擊者所控制。
個人計算機被黑客控制,損失的往往只是個人信息、數據。一旦有重要部門、機構、企業的計算機被攻擊者所控制,接下來往往是被要求巨額贖金,為了避免更大損失,遇到這類情況后,大多數的機構都會乖乖就范,無可奈何。
更有甚者,0DAY漏洞還被利用進行國家層面的攻擊。今年4月就有報道顯示,Pulse Secure的最新0DAY漏洞可以讓有國家背景的黑客繞過2FA認證并入侵美國國防承包商,從而隱秘地進入屬于美國國防工業和其他一系列組織的網絡。
??防范:如何防范0DAY漏洞帶來的危害?
上述安恒信息威脅情報中心獵影實驗室負責人表示,此次發現的0DAY漏洞,可以升級安恒APT攻擊預警平臺以及明御主機安全及管理系統EDR到最新版本進行檢測。
安恒APT攻擊預警平臺能夠發現已知或未知威脅,平臺能實時監控、捕獲和分析惡意文件或程序的威脅性,并能夠對郵件投遞、漏洞利用、安裝植入、回連控制等各個階段關聯的木馬等惡意樣本進行強有力的監測。同時,平臺根據雙向流量分析、智能的機器學習、高效的沙箱動態分析、豐富的特征庫、全面的檢測策略、海量的威脅情報等,對網絡流量進行深度分析。檢測能力完整覆蓋整個APT攻擊鏈,有效發現APT攻擊、未知威脅及用戶關心的網絡安全事件。
安恒明御主機安全及管理系統是一款集成了豐富的系統加固與防護、網絡加固與防護等功能的主機安全產品。業界獨有的高級威脅模塊,專門應對攻防對抗場景;明御主機安全及管理系統通過自主研發的專利級文件誘餌引擎,有著業界領先的勒索專防專殺能力;通過內核級東西向流量隔離技術,實現網絡隔離與防護;擁有補丁修復、外設管控、文件審計、違規外聯檢測與阻斷等主機安全能力。目前產品廣泛應用在服務器、桌面PC、虛擬機、工控系統、容器安全、攻防對抗等各個場景。
安恒信息威脅情報中心擁有一支專注于未知威脅分析挖掘的前沿技術團隊,基于大數據架構對全網數據、情報進行收集積累,具備10多年惡意代碼研究經驗的研究團隊打造了一套AI智能的威脅情報挖掘生產機制。通過持續提供威脅情報數據與服務,可為用戶提升區域安全態勢感知能力,檢測未知威脅,分析溯源威脅行為,提高主動防御能力等。