观察 | 0day/Nday漏洞攻击持续深化，Bots工具大幅提升漏洞 ...

人生理想

数字时代的互联网环境异常复杂，尤其是大量Bots自动化工具的出现让网络攻击“如虎添翼”。

瑞数信息发布的《2022 Bots自动化威胁报告》中（以下简称“报告”）指出，在疫情的持续影响下，远程办公、在线教育、在线医疗、直播带货、社区团购等产业快速崛起，针对这些行业的0day/Nday攻击也持续增加，尤其随着自动化和智能化工具的加持，精准高效隐藏性的探测和攻击利用愈加常见。

0day漏洞攻击持续深化


全球安全漏洞数量依旧保持快速上涨。根据CVE和CNNVD披露的数据，2021年新增漏洞超过20000个，相比2020年漏洞数量进一步增加。其中，0day漏洞利用数量和攻击流量持续增长，漏洞攻击和影响面逐步扩大，0day漏洞攻击越来越常态化。

报告指出，在新增漏洞方面，被利用次数最多的是代码执行漏洞，之后是信息泄露、权限提漏洞和拒绝服务漏洞，分别占比51%，17%，14%，13%。




根据瑞数信息对2021年全年各个行业0day攻击流量分析和公布出来的比较严重0day攻击事件进行分析，0day基本涉及所有行业，其中政府行业占比最大37%，其次是医疗卫生22%，运营商20%，互联网15%。




从攻击来源分析，境外攻击流量来源超过境内，境内攻击流量占比低于50%。境外攻击中最大来源为美国25%，日本12%，俄罗斯8%，韩国5%，澳大利亚2%，其他6%。




自动化工具

大幅提升漏洞探测利用效率


漏洞探测利用已成为Bots自动化攻击的主要威胁场景。借助自动化工具，攻击者可以在短时间内以更高效、更隐蔽的方式对目标进行漏洞扫描和探测，尤其是对于0day/Nday漏洞的全网探测，会变得更加频繁和高效。

报告指出，2021年各类漏洞扫描器、攻击平台层出不穷，无论是在漏洞检测的深度还是广度上都有很大的提升。尤其各类攻击平台集漏洞发现、利用、植入于一体，极大地提升了攻击者的效率。大量越来越智能和高端的自动化工具利用模块化、插件化的设计思路，使得攻击平台可以快速更新攻击插件，通过主动探测、被动探测、网络信息搜集、指纹识别等手段，对目标系统进行0day/Nday漏洞的扫描利用。

同时，攻击者会进一步加大事前的努力，在攻击准备阶段花费更多的时间和精力来搜寻0day漏洞，特别是攻击影响力更大、投入产出更高的软件供应链漏洞，并利用新的技术将攻击扩展到更广泛的网络环境，无疑加大了企业应用防护的难度。

软件供应链0day漏洞
进一步扩大攻击规模


与孤立的安全漏洞相比，成功的供应链攻击规模更大、影响更深远。如今，开源和第三方组件的0day漏洞影响面正在持续扩大，软件供应链安全问题严峻。特别是在2021年底爆发的Log4j核弹级漏洞，是2021年最严重的0day漏洞应急响应事件，给整个JVM生态圈带来致命打击，至今影响依然在持续。

2021年12月，Log4j日志框架中一个超严重的远程代码执行漏洞震惊了整个行业，该工具在企业运营（OT）、软件即服务（SaaS）和云服务提供商（CSP）环境中普遍存在，并且利用难度较低。攻击者开始在“野外”攻击中利用 Log4J 相关的多个漏洞对组织和企业造成了巨大的危害和压力。这些漏洞允许攻击者在目标系统上执行任意命令、从而攻陷系统进入内网。

根据瑞数动态防御系统日志分析发现，Log4j2漏洞在公布之前已经存在自动化工具对相关系统批量探测的攻击行为，每小时都有百万级的攻击流量对网络进行探测和漏洞利用。

由于这类攻击普遍采用自动化工具批量探测漏洞，攻击速度极快且无攻击特征，因此基于规则和特征匹配的传统WAF设备根本无法防范。在面对0day漏洞攻击时，企业也只能采取事后补救、对系统升级等方法，安全防护严重滞后，造成巨大损失难以挽回。


面对0day漏洞攻击
应转变安全防护思路


在Bots自动化攻击泛滥、0day漏洞攻击不断升级的今天，瑞数信息专家建议，企业需彻底转换传统被动式的防护思路。采用动态安全+AI技术，能够不依赖攻击的规则和特征，在无规则升级的情况下对0-day探测进行有效阻断，防范于攻击之前。

在漏扫防护方面，瑞数信息能够提供漏洞隐藏功能，将所有的高危、中危漏洞、网页目录结构做隐藏，让自动化扫描工具得不到任何有价值的信息；同时，针对扫描攻击做重放性检测、动态挑战等方式来进行防护。

在0day防护方面，基于瑞数信息独有的动态验证、封装、混淆、令牌四大动态安全技术，能够实现不基于规则的防护。从0day漏洞利用工具请求的固有属性出发，只要识别是工具行为，就可以直接对0day攻击进行阻断，实现对业务的动态保护。

对于人工攻击，瑞数信息拥有AI智能威胁检测引擎，能够识别纯手工攻击行为。同时，瑞数信息作为动态安全技术的代表厂商拥有多种动态干扰功能：web代码混淆、JS混淆、前端反调试、Cookie混淆、中间人检测等，能够不基于任何特征、规则的方式对0day进行有效防护。

在攻击溯源方面，瑞数信息还可以通过指纹溯源关联的形式，对整个攻击团伙做攻击画像，精确定位攻击者身份，对攻击者设备指纹直接做封杀。

总体而言，通过动态安全+AI技术结合多维度的对抗策略，能够让Bots自动化工具无法轻易发现漏洞和攻击入口，大幅提升攻击难度与成本；同时，通过对终端环境和设备指纹的多维度画像，有效识别各类恶意自动化工具，将让企业不再受制于复杂繁琐的攻击特征与行为规则，在攻防格局中处于主动位置。