找回密码
 立即注册
注册 登录
×
热搜: 活动 交友 discuz
查看: 63|回复: 0

绿盟 最新网络安全观察报告学习记录和下载地址

[复制链接]

2

主题

3

帖子

7

积分

新手上路

Rank: 1

积分
7
发表于 2023-1-1 17:10:41 | 显示全部楼层 |阅读模式
设备类漏洞从未缓解

从图 5.1 中可以看到,针对设备漏洞的攻击占全部利用漏洞攻击的 43%,这和近两年智能路由器等 联网设备大规模增长密切相关。正如绿盟科技在《2017 年物联网报告》1 中提到的那样,很多智能设备 在设计之初,安全问题并没有被严肃对待,于是随着设备的推广,市场上出现大量常年不更新不维护的 高危设备。即使厂商已经发现甚至很早前已经推出解决方法或升级补丁的设备,但是仍有大量设备的脆 弱性状况至今仍未有改善,这和设备升级维护机制设计不合理有很大的关系,毕竟设备和传统 PC 不同,没有复杂的内置应用,也无法有效提供丰富的检测防御和自动维护服务,这样一来黑客攻击成功率极高, 成本和复杂度极低。 图 5.2   设备漏洞利用抽样统计 在 2018 年,和其他攻击流量对比,设备漏洞攻击的情况从未得到有效缓解,另一方面也说明,设 备漏洞状况长期为人所忽略。从监测情况来看,下列设备及漏洞被黑客攻击还是比较严重的: - Netcore / netis 路由器 后门- D-Link dsl-2750b 任意命令执行漏洞 - 大华监控设备非授权访问漏洞 - TP-Link无线路由器 http/tftp 后门漏洞 - D-Link路由器 user-agent 后门漏洞 (CVE-2013-6026) - ASUS路由器固件 Asuswrt Lan 后门命令执行漏洞 (CVE-2014-9583) - 华为 HG532 路由器远程命令执行漏洞 (CVE-2017-17215) - 施耐德派尔高 Sarix Pro 网络摄像头  import.cgi xml 实体注入漏洞- 施耐德派尔高 Sarix Pro 摄像头 session .cgi 程序缓冲区溢出漏洞- Motorola 无线路由器 WR850g 认证绕过漏洞 (CVE-2004-1550) 在 2018 年 2 月,Radware  的信息安全专家 Pascal Geenens  分析了一个 DDoS 攻击组织,该组织 利用一个名为 JenX  的恶意带软件感染的物联网设备发动 DDoS 攻击。具体而言,JenX  正是利用 CVE- 2017–17215 和 CVE-2014-8361  感染华为 HG532 路由器和运行 Realtek SDK 的设备,和完全分布式僵 尸网络 Mirai 不同的是,该僵尸网络由服务器完成漏洞利用和僵尸主机管理的任务。在 7 月,黑客利用 CVE-2017–17215 仅仅在一天内就构建了一个 18000 台僵尸网络主机构成的僵尸网络。可见 JenX 的影 响面之大 1。
服务器漏洞利用

在所有的漏洞利用中,服务器漏洞是被利用最多的。从告警日志量来看,4,5 两个月被攻击的数量 是最多的。 图 5.3   服务器类漏洞抽样统计 在针对服务器的漏洞攻击中, Web 服务器受到的攻击最多。大多数网站都存储有价值的信息,如 信用卡号,电子邮件地址和密码等。这使他们成为攻击者的目标。另外,污损的网站也可用于传播宗教 或政治意识形态等。我们将在 5.2 节对此做详细的分析。
Web服务器 57.6%
  Windows服务器 25.6% 数据库服务器 10.1% DNS服务器 1.5% 邮件服务器 1.4% 文件服务器 1.0% 扫描服务器 0.1% 其它 2.8% Windons 服务器的漏洞利用排在第二位,大多数是和 Samba 服务相关的漏洞。在 2018 年被利用 比较多的漏洞有: - windows smb server 信息泄露漏洞扫描 (CVE-2017-0147) - windows smb 远程代码执行漏洞 (shadow brokers eternalblue)(CVE-2017-0144) - windows smb 操作解析远程代码执行漏洞 (ms11-020) - windows smb 远程堆覆盖漏洞 (CVE-2008-4834) - samba 远程代码执行漏洞 ( 永恒之红 )(sambacry)(CVE-2017-7494) 臭名昭著的 WannaCry 蠕虫正是利用了“永恒之蓝”漏洞 (MS-010, 包括 CVE-2017-0144、CVE- 2017-0147 等多个 SMB漏洞编号 ),感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈 者病毒,导致电脑大量文件被加密。在 2018 年 8月,台积电遭受 WannaCry 勒索病毒攻击导致生产线瘫痪, 造成 25.96 亿新台币损失。 另外,Petya 勒索、NotPetya 勒索、FancyBear 窃取信息、Retefe 银行木马、WannaMiner 挖掘、 ZombieBoy 木马、bulehero 蠕虫病毒等一系列样本都利用了“永恒之蓝”漏洞,另外,APT组织也将“永 恒之蓝”纳入武器库,“永恒之蓝”漏洞逐渐成为被利用率最高的漏洞之一。
应用类漏洞

应用软件类漏洞攻击主要针对个人用户与使用者,当然这些用户中也会包括核心资产的管理人员, 黑客利用钓鱼邮件,通过恶意链接、恶意附件的形式投递恶意程序,在用户点击相关资源时,对应程序 的漏洞会被触发,最终导致感染和信息泄露。 图 5.5   应用软件类漏洞抽样统计 在应用软件类漏洞利用攻击中,浏览器类受到的攻击最多,占到了全部分此类攻击的 56.7%,微软 的 Internet Exporer/Edge 是被攻击最多的应用软件。浏览器漏洞利用比较高的漏洞有: - microsoft edge profiledldelem 类型混淆 - mozilla firefox/thunderbird/seamonkey http 响应分离漏洞 - microsoft internet explorer 远程内存破坏漏洞 (CVE-2016-7287)(ms16-144) - microsoft ie 对象处理内存破坏漏洞 (ms08-078) - microsoft edge scripting engine remote 内存破坏漏洞 (CVE-2018-0773) 图 5.6  应用软件类漏洞按应用分类 浏览器应用 48.8% Flash应用 16.8% Office应用 3.1% Apple应用 0.6% PDF应用 0.5% 其它 30.2% Flash 虽然被爆的漏洞数目相对少一些,但利用率还是比较高的,在 2018 年,被攻击最多的漏洞 TOP5 如下: - Adobe Flash player shader 缓冲区溢出漏洞 - Adobe Flash player 远程拒绝服务漏洞 - Adobe Flash player "asnative 301" 函数空指针引用拒绝服务漏洞 - Adobe Flash 0day 漏洞 CVE-2018-4878 - Adobe Flash player localeid determinepreferredlocales 越界访问漏洞 (CVE-2017-3114) Office 漏洞常被大家忽,但却备受黑客喜爱,众多专业黑客组织对重要目标的攻击,会选择使 用 Office 高危漏洞。APT缓和 BlackTech 就利用 Office 公式编辑器漏洞 CVE-2018-0802 和 CVE-2017- 11882 实施过攻击 [^1]。我们监测到的被利用比较高的漏洞有: - Microsoft Word 文件信息块内存破坏漏洞(MS08-009) - Microsoft Office 远程代码执行漏洞 (CVE-2017-8570) - microsoft frontpage post 请求远程缓冲区溢出攻击 - Microsoft Office Sharepoint Server 管理权限提升漏洞(MS08-077) - Microsoft Office 远程内存栈溢出漏洞 (CVE-2018-0802) 5.2 Web 攻击
攻击态势

在 2018 年,  针对 Web 服务器的攻击中,89% 的攻击仍然是一些常规的攻击手段,包括服务器信 息泄露,资源盗链,SQL 注入,跨站脚本攻击等。传统的攻击手段仍然被大量的使用,需要持续关注。 图 5.7   针对 Web 攻击的攻击类型分布 服务器信息泄露 27.6%
  资源盗链 15.6% SQL注入攻击 15.0% 跨站攻击 6.8% Web插件漏洞攻击 6.6% Web服务器漏洞攻击 6.4% 路径穿越攻击 5.2% 命令注入攻击 4.9% 非法下载 4.5% 其它 7.3% 黑客利用 Web 服务器漏洞或插件漏洞的攻击比例在逐年增加。在 2018 年,利用漏洞进行的 Web 攻击占了占全部 Web 攻击的 11%,和 2017 年相比有所增加。也不容小。受攻击最多的 Web 框架有 Struts2、Microsoft IIS、WebLogic 等。  图 5.8   针对 Web 漏洞攻击的 TOP10 单位:万次 Apache 37 2. Web 漏洞利用 Struts2 框架一直是攻击的热点。从 2007 年 7 月到 2019 年 3 月这十多年间,Struts2 被披露的漏 洞数目 57 个,其中远程代码执行漏洞,由于威胁性大,利用难度低,被黑客大量使用。在 2018 年, 我们监测对针对 Struts2 的攻击中,被利用比较多的漏洞如下: - Struts2 远程代码执行漏 (2-45/S2-46)
这两个漏洞都是由报错信息包含 OGNL表达式,并且被带入了 buildErrorMessage 这个方法运行, 造成远程代码执行。在 2018 年,一半以上的针对 Struts2 的攻击都是利用的这个漏洞。 - Struts2 远程代码执行漏(S2-32/S2-33/S2-37)  这三个漏洞都是抓住了 DefaultActionInvocation 中会把 ActionProxy 中的 method 属性取出来 放入到 ognlUtil.getValue(methodName + “()”, getStack().getContext(), action); 方法中执行 OGNL表达式。 - Struts2 远程代码执行漏 (S2-16)
DefaultActionMapper 类支持以 action:,redirect: 和 redirectAction: 作为访问前缀,前缀后面可 以跟 OGNL 表达式,由于 Struts2 未对其进行过滤,导致任意 Action 可以使用这些前缀执行任 意 OGNL 表达式,从而导致任意命令执行。 - Struts2 rest 插件反序列化漏洞 (S2-52)    当 Struts2 使用 REST插件使用 XStream 的实例 xstreamhandler 处理反序列化 XML有效载荷 时没有进行任何过滤,可以导致远程执行代码,攻击者可以利用该漏洞构造恶意的 XML内容获 取服务器权限,获取业务数据或服务器权限,存在高安全风险。 由上可见,针对 Struts2 的漏洞利用,除 S-52 外,都是框架执行了用户传进来的 OGNL 表达式,造 成远程代码执行,可以造成命令执行,服务器文件操作、危险代码执行等,只不过需要精心构造不同的 OGNL代码。 而针对 WebLogic 的漏洞利用,主要是以反序列化为主。在 2018 年,有超过 80% 的针对 WebLogic 的攻击使用了以下漏洞: - WebLogic ws-wsat 组件反序列化漏洞 (CVE-2017-10271)   这个漏洞的本质原因是其引用的 XMLDecoder 库存在远程代码执行问题,可直接导致整个系统 被控制。由于该漏洞是走 http 协议,因此备受黑客的青睐。同时这个漏洞也是 2017 年初爆出 的 Weblogic 漏洞(CVE-2017-3506)的绕过。 另外,在 2018 年新出现的一些漏洞,我们也监测到了有效的攻击,应该值得我们注意: - WebLogic 组件反序列化漏洞(CVE-2018-2628)
攻击者可以在未授权的情况下通过 T3 协议对存在漏洞的 WebLogic 组件进行远程攻击,并可获 取目标系统所有权限。 - WebLogic 组件反序列漏洞(CVE-2018-2893)
该漏洞通过 JRMP 协议利用 RMI机制的缺陷达到执行任意反序列化代码的目。攻击者可以在未 授权情况下将 payload 封装在 T3 协议中,通过对 T3 协议中的 payload 进行反序列化,从而实 现对存在漏洞的 WebLogic 组件进行远程攻击,执行任意代码并可获取目标系统的所有权限。 在 Web 漏洞中,反序列化漏洞由于其简单,可远程利用的特点格外受到黑客的青睐。绿盟科技《2017 年反序列化漏洞年度报告》1 中指出,厂商对反序列化漏洞的应对,往往修复、绕过、再修复、再绕过[^1]的恶性循环,因此反序列化漏洞层出不穷。它对于攻击者来说是价值极高的,因为漏洞本身的利用难度 比较低,并且一旦利用成功,黑客能够获得较高的权限,是黑客用来传播病毒,挖矿程序等恶意软件的 攻击方法之一。 在 2018 年,Drupal 框架的漏洞利用也具有一定的典型性,绿盟威胁情报中心在 5 月针对 Drupal 漏 洞被挖矿程序利用的传播感染态势进行了详尽的分析 [^2] : •  Drupal内核远程代码执行漏洞(CVE-2018-7600)   Drupal 官方在 2018 年 3 月 28 日发布 sa-core-2018-002 (CVE-2018-7600) Drupal 内核远程代码 执行漏洞预警,之后一个月内又连续发布两个漏洞,其中包含一个 XSS 和另一个高危代码执行 漏洞 sa-core-2018-004 (CVE-2018-7602)。虽然漏洞已经披露,相关利用的 PoC 却在两周后才 放出,而仅仅在 PoC 披露后几个小时,就发现有利用此漏洞的攻击出现。在随后的时间内互联 网上针对 Drupal 程序的攻击迅速增加此后几个月内,互联网上针对 Drupal 程序的攻击都非常 频繁。 官方发布CVE-2018-7600漏洞预警 官方发布CVE-2018-7602漏洞预警
  Drupal 8.x poC公布 Drupal 7.x poC公布
      5.3 DDoS 攻击 5.3.1 攻击态势 2018 年,我们监控到 DDoS 攻击次数为 14.8 万次,攻击总流量 64.31 万 TB,与 2017 年相比,攻 击次数下降了 28.4%,攻击总流量没有明显变化。这主要是因为 DDoS 攻击规模逐年增大,即中大型规 模的攻击有所增加。 图 5.9  攻击次数与攻击流量 次 TB 8.0  万 万 : : 7.0 位 2.5 位  单 单 6.0  数 量  次 1.5 流 4.0 击 击  攻 攻 3.0  月 份 月 份
2017年
2018年 从全年来看,2018 年 DDoS 攻击次数明显下降,得益于对反射攻击有效的治理。2018 年以来, CNCERT 组织各省分中心,联合各地运营商、 云服务商等对我国境内的攻击资源进行了专项治理,包 括使用虚假源地址治理以及对反射攻击源通告等手段。通过治理,有效的减少了反射攻击的成功率,迫 使攻击者转向其它攻击手段。从数据来看,2018 年反射攻击减少了 80%,而非反射攻击增加了 73%, 反射攻击仅占 DDoS 攻击次数的 3%。 图 5.10   反射攻击次数与其他类型的攻击次数对比图 2017年 2018年
反射攻击
  非反射攻击 数据来源:电信云堤,ATM 从 2018 年各月攻击次数来看,上半年 DDoS 攻击逐月小幅增长,而下半年有加速增加的趋势。我 们认为,DDoS攻击逐月增加,与虚拟货币的价格回落相关。在《2017 DDoS 与 Web 应用攻击态势报告》[^3] 中,我们指出,随着虚拟货币的升值,黑产开始将掌握的“优质” Botnet 资源从犯罪成本较高的 DDoS 攻击活动转而投向犯罪成本相对较低但收益更高的挖矿活动中。在 2018 年,随着虚拟货币的价格回落, 挖矿的收益日益减少,攻击者选择 DDoS 攻击的倾向增高,DDoS 攻击逐月增加。 将各月份比特币价格与 DDoS总流量趋势对比,其 Pearson 相关系数为 -0.48,呈一定的负相关性, 这更加证实了我们去年的观点。     提出了更高的挑战。 图 5.11  比特币价格与 DDoS 攻击总流量趋势对比图
  2017 年 Apr Jul Oct 2018 年 Apr Jul Oct
虚拟货币价格指 DDoS攻击总流量 数据来源:电信云堤 近年来,超大规模的攻击事件日益普遍。2018 年 3 月,著名代码托管网站 GitHub 遭受到峰值达到         1.35Tbps 的 DDoS 攻击,而截至目前, DDoS 攻击已经创造了达到 1.7Tbps 峰值带宽的攻击 [^1]。 从最近两年各月数据来看,攻击峰值在 100Gbps 以上的大型攻击的次数呈加速上升趋势。大流量 攻击事件的增多,说明攻击者掌握的攻击资源规模上升和攻击能力的增强 图 5.12   峰值大于 100Gbps 的攻击次数变化
  2017年 Apr Jul Oct 2018年 Apr Jul Oct 数据来源:电信云堤 无论是 DDoS 攻击能力的普遍提高,还是平均峰值创历史新高,都说明 DDoS 攻击态势的严峻性。 可以说,黑客普遍拥有了释放特大流量的能力,并且能力仍然处于持续快速提高的进程中,这是防御和 治理人员需要应对的挑战。
参考资料

绿盟 2018年网络安全观察报告
友情链接

河北省法治社会建设实施方案(2021—2025年)
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋| 黑客通

GMT+8, 2025-10-12 07:26 , Processed in 0.103596 second(s), 23 queries .

Powered by Discuz! X3.4

Copyright © 2020, LianLian.

快速回复 返回顶部 返回列表