威胁情报公司 recorded Future 3月27日发布的2017年10大漏洞报告显示,微软漏洞取代 Adobe 成网络犯罪分子的新宠。
2017年,网络犯罪分子在漏洞开发工具包(Exploit Kits,简称EK)和网络钓鱼活动中钟情于利用微软漏洞,在网络钓鱼攻击和 EK 利用的10大漏洞中,有7款是微软漏洞,只有3个为 Flash 漏洞。尽管 Addobe 仍受到网络犯罪分子的欢迎,但青睐度在下降。2017年,黑客通常使用该漏洞传播银行木马和勒索软件,最受黑客青睐的漏洞为微软 Office 漏洞 CVE-2017-0199。
2017年十大漏洞的排名依次为:
- CVE-2017-0199(微软);
- CVE-2016-0189(微软);
- CVE-2017-0022(微软);
- CVE-2016-7200(微软);
- CVE-2016-7201(微软);
- CVE-2015-8651(Adobe);
- CVE-2014-6332(微软);
- CVE-2016-4117(Adobe);
- CVE-2016-1019(Adobe);
- CVE-2017-0037(微软)。
这份漏洞报告显示,随着网络犯罪分子的方向发生变化,EK 数量在减少,这是因为恶意挖矿软件过去一年的“知名度”攀升。之所以发生这样的变化,是因为挖矿有诸多优势,包括花费的时间比勒索赎金短,还无需顾忌比特币交易费用上涨的问题。
EK工具包
EK 是一个软件套件,以滥用受害者的浏览器或浏览器插件的已知漏洞而闻名,一般被托管在远程服务器上,攻击者可以被动地转移通信流量。当一个受害者连接到恶意服务器时,EK 会扫描受害者主机上的浏览器并寻找可利用的漏洞,然后滥用这些漏洞来交付恶意软件。EK 是黑客们用来大规模的传播恶意软件的最常用的方法之一,具有简单、隐蔽和欺骗性。
CVE-2017-0199备受黑客青睐
在 CVE-2017-0199 被滥用的众多案例中,黑客通常利用诱饵 Powerpoint 文件触发脚本,并通过 VPN 托管服务执行远程代码,从而混淆攻击者的真实位置。
报告指出,这个漏洞影响了一系列微软 Office 产品(包括Office 2007、2010、2013、2016和部分 Vista 版本),允许攻击者下载并执行包含 Powershell 命令(来自恶意文件)的 Visual Basic 脚本。这个漏洞广泛用在网络钓鱼攻击中。虽然微软已经发布了漏洞补丁,但许多系统仍易遭受攻击。
漏洞开发工具包(EK)数量减少
新的 EK 变种2017年减少了62%,影响因素包括加密货币劫持迅速崛起,浏览器安全得到改进。
漏洞开发工具包(EK)为网络犯罪分子用来攻击系统漏洞的一种工具包,以传播恶意软件或执行其它恶意活动。EK 相对易于使用,部署后也可发挥强大的威力。EK 业务为非法开发人员提供了稳定的收入,为网络犯罪分子提供了有力的武器,存在时间长达十年。2017年 EK 不够活跃的部分原因还在于,2016年该市场的领军者 Angler 逐渐退出历史舞台。
Recorded Future 技术解决方案副总裁斯科特·多内利表示,众多威胁攻击者意识到,要让某些受害者付钱太费劲。目前有大量黑客在暗网抱怨报酬、付款延迟以及服务问题。
2017年热门的 EK 包括 Terror、AKBuilder 和 Disdain。暗网普遍认为,Disdain 的质量相比较而言最差,它的售价为80美元/天,500美元/周,1400美元/月,完整的源代码售价为2.5万美元。
Adobe Flash 漏洞在热门 EK 漏洞中占比较大,但 Flash 将逐渐被淘汰,Adobe 已宣布将于2020年停止开发和更新 Flash Adobe。Flash 0Day 漏洞,尤其黑客公司 Hacking Team 泄露的 Flash 0Day 漏洞曾驱动着 EK 市场。如今,Flash 漏洞的利用率在降低。