网络安全研究人员通过对犯罪论坛的分析,揭示了攻击者最感兴趣的公开安全漏洞。
地下论坛中的网络犯罪分子的闲聊提供了重要线索,这可以帮助人们了解哪些已知的常见安全漏洞和暴露 (CVE) 是网络犯罪分子最关注的关键线索。反过来,这又为防御者提供了应该注意哪些线索。
Cognyte对此类讨论进行了分析,研究2020年1月至2021年3月期间15个网络犯罪论坛。在其报告中,研究人员强调了最常被提及的CVE,并试图确定攻击者的下一个攻击目标。
报告称,调查结果表明,这两个参数之间没有100%的相关性,因为收到帖子数量最多的前五个CVE并不是在所检查的暗网论坛中被提及最多的那些。但是研究期间,能够了解在哪些CVE受到暗网上犯罪分子的欢迎就足够了。
研究人员发现,在2020年1月至2021年3月期间,ZeroLogon、SMBGhost和BlueKeep是攻击者中受关注的安全漏洞。
六个受犯罪分子欢迎的CVE
CVE-2020-1472(又名 ZeroLogon)
CVE-2020-0796(又名 SMBGhost)
CVE-2019-19781
CVE-2019-0708(又名 BlueKeep)
CVE-2017-11882
CVE-2017-0199
报告称,在针对不同行业的全球行动中,该列表中的大多数CVE都被民族国家团体和网络犯罪分子(例如勒索软件团伙)所滥用。
旧漏洞依旧很受欢迎
值得注意的是,所有CVEs威胁行为者仍然关注的都是旧的安全漏洞,这意味着基本的修补和缓解可以阻止许多攻击,甚至在他们行动之前就将其扼杀。
该报告补充说,在2020年COVID-19大流行期间,网络犯罪分子利用了已有9年历史的CVE-2012-0158,这表明组织没有修补他们的系统,也没有保持弹性的安全态势。
网络安全研究人员发现,在黑暗网络上最受欢迎的6个安全漏洞中,微软(Microsoft)排在5个之后,微软也很难让用户及时给系统安全漏洞打补丁。
ZeroLogon就是一个典型的例子。Microsoft软件中的安全漏洞允许威胁行为者访问域控制器并破坏所有Active Directory身份服务。但给ZeroLogon打补丁的速度太慢了,微软在1月份宣布将开始使用“强制模式”阻止Active Directory域访问未打补丁的系统。
2020年3月,微软修补了榜单上第二大漏洞CVE-2020-0796,但截至10月,仍有100,000 个Windows系统存在漏洞。
不同语言黑客论坛关注点不同
分析人士解释说,根据论坛语言会进行讨论不同的CVE。
俄语论坛青睐的CVE是CVE-2019-19781,中国论坛对CVE-2020-0796的讨论最多。在英语网络犯罪分子圈子中,CVE-2020-0688和CVE-2019-19781之间存在联系。土耳其论坛的重点是CVE-2019-6340。
研究人员补充说,就分析结果而言,大约一半的受监控论坛是讲俄语的,西班牙语的论坛没有被提及,因为没有讨论明确的前沿CVE。
第一时间减少系统安全漏洞
随着软件不断大规模开发,系统中的安全漏洞为网络犯罪分子提供了“温床”。目前,网络安全问题已经成为国家及社会上的巨大威胁,提高软件质量,减少安全漏洞成为企业一项重任。尤其不难发现,软件发出安全漏洞补丁后,并不能保证所有使用者都能及时更新漏洞补丁。
伴随DevsecOps的出现,越来越多的企业逐渐认识到在敏捷开发中植入安全的重要性,因此在原有黑盒安全检测基础上,建议利用静态代码安全检测工具对代码缺陷进行查找并及时发现一些无需运行即可发现的安全漏洞,在一定程度上提高了软件安全性。此外,在敏捷开发过程中经常引入第三方代码或框架,也需对其进行检测以减少系统安全漏洞造成的风险。
参读链接:
