編者按：對軟件漏洞的跟蹤、分析和優先級處理在漏洞管理方面發揮著關鍵的戰略和戰術作用。這些軟件漏洞可使組織的數據、員工、客戶面臨風險。美國國土安全部下屬的網絡安全和基礎設施安全局(CISA)發布的漏洞管理流程包括：漏洞挖掘階段、漏洞初始披露階段、分析和協調階段及修復階段。零日漏洞發現者對漏洞的可能處理方式包括：只利用、只披露、利用后披露、披露后利用及雪藏。對此，FireEye Mandiant威脅情報小組分析了最新的漏洞利用現狀及趨勢，并強調了漏洞管理的價值。研究發現，零日漏洞的利用數量顯著增加，提供攻擊性網絡工具和服務的私營公司、出于經濟動機的威脅組織、有國家背景的威脅組織都展現出利用零日漏洞的能力，零日漏洞的獲取變得越來越商品化。與此同時，大多數野外漏洞利用都發生在補丁發布之前或補丁可用后的幾天內，漏洞披露與補丁發布可用之間的平均時間約為9天，并且有42%的漏洞在發布了補丁程序后被利用。對此，研究人員建議使用漏洞風險評級方法，對最危險的漏洞進行優先級修補。

　　一、 通常的漏洞管理流程

　　CISA漏洞管理流程

　　零日漏洞的可能處理方式

　　想象一下，你發現了一個新的零日漏洞。你可以披露零日漏洞，也可以開發漏洞利用并攻擊其他人。你的行為會產生后果，并且你有能力進行一系列的行為：

　　1、只利用。進攻是有價值的，你可以獲得一些效用，如訪問、情報或控制。

　　2、只披露。披露是因為它導致補丁、網絡過濾器或其他補救措施。 披露不是防御;它只是防御的前兆。披露后，開發補丁或補救措施，并最終推出。補救辦法是將這個漏洞從攻擊者可利用漏洞列表中刪除。

　　3、利用后披露。為什么不利用漏洞攻陷幾個系統，希望不要被抓住，然后披露?如果你僅有的幾次漏洞利用從來沒有被注意到，你仍然可以被視為一個好人。

　　4、披露后利用。披露機會窗口是披露漏洞到開發出補救措施保護系統這個時間段。這個機會窗口可能很大。例如，美國國家安全局(NSA)表示已歷史性地披露了它發現的漏洞的91%，但美國安全機構也聲稱使用漏洞利用技術來攻擊存在已披露漏洞的系統是有效的。使用已知漏洞(至少部分而言)是可行的，因為無法立即修補所有漏洞。

　　5、選擇雪藏。不采取任何行動，并將漏洞信息保留給自己，以便以后再做決定。但是零日漏洞的保質期會在其他人發現相同漏洞時到期。這個時間是不確定的，即不知道要花多長時間，但是可以肯定的是，只要軟件保持相關性，你找到的任何零日最終都會被其他人發現。

　　二、 零日漏洞利用越來越多地展示獲取資金的能力，而不是漏洞管理的能力

　　FireEye Mandiant威脅情報記錄顯示，2019年零日漏洞利用數量比三年前任何一年都多。盡管并非每個零日漏洞的利用都可以歸因于已知的威脅組織，然而Mandiant研究人員注意到，越來越多的威脅組織已經獲得了使用這些漏洞的能力。此外，隨著時間的推移，為客戶提供網絡攻擊能力的威脅組織所使用的零日漏洞數量顯著增加，以及被懷疑與中東地區有聯系的組織所利用的零日漏洞數量增加。展望未來，我們很可能會看到更多的參與者使用零日漏洞，特別是隨著私人供應商繼續滿足對進攻性網絡武器的需求。

　　國家及地區的零日漏洞使用情況

　　自2017年底以來，FireEye Mandiant威脅情報指出，已知或懷疑是提供攻擊性網絡工具和服務的私營公司客戶的組織所利用的零日漏洞數量顯著增加。此外，Mandiant還觀察到針對中東或與該地區有可疑聯系的組織所使用的零日漏洞數量有所增加。

　　案例包括：

　　l 一個被研究人員稱為Stealth Falcon和Fruity Armor的黑客組織，據報道以中東地區的記者和活動人士為目標。在2016年，該組織使用了NSO組織出售的惡意軟件，該軟件利用了三個iOS零日漏洞。從2016年到2019年，該組織使用的零日漏洞比任何其他組織都多;

　　l 在開源信息中被稱為沙貓(SandCat)的組織疑似與烏茲別克斯坦國家情報部門有關，在針對中東目標的行動中使用了零日漏洞。該組織可能是通過從NSO組織之類的私營公司購買惡意軟件獲得零日漏洞的，因為在SandCat運營中使用的零日漏洞也被用于Stealth Falcon行動中，這些不同的攻擊活動不太可能都發現了這三個相同的零日漏洞;

　　l 在2016年和2017年期間，在開源信息中稱為BlackOasis的活動中也頻繁使用了類似的零日漏洞。該BlackOasis活動也主要針對中東地區組織，并且過去很可能從私營公司Gamma Group獲得了至少一個零日漏洞。

　　Mandiant研究人員還發現了一些使用零日漏洞的例子，這些事件并未歸因于已知的跟蹤的組織，但似乎已被私人進攻性安全公司提供的工具所利用，例如：

　　l 2019年，WhatsApp(CVE-2019-3568)中的零日漏洞被用來分發由以色列軟件公司NSO Group開發的間諜軟件;

　　l FireEye分析了針對一家俄羅斯醫療保健組織的活動，該組織利用了2018年Adobe Flash零日漏洞(CVE-2018-15982)，該零日漏洞可能與Hacking Team泄露的源代碼有關;

　　l NSO Group工具于2019年10月在野外利用了Android零日漏洞CVE-2019-2215。

　　主要網絡強國的零日漏洞利用

　　Mandiant研究人員繼續發現了主要網絡強國的黑客組織對零日漏洞的利用。

　　l 據研究人員稱，黑客組織APT3在2016年利用CVE-2019-0703進行了有針對性的攻擊;

　　l FireEye發現朝鮮組織APT37在2017年開展了利用了Adobe Flash漏洞CVE-2018-4878的活動。該組織還顯示出在發現漏洞后不久即可迅速利用這些漏洞的能力有所增強;

　　l 從2017年12月到2018年1月，Mandiant觀察到多個組織利用CVE-2018-0802在針對歐洲、俄羅斯、東南亞和臺灣的多個行業的活動中。在發布此漏洞的補丁之前，至少使用了六分之三的樣本;

　　l 2017年，俄羅斯組織APT28和Turla在Microsoft Office產品中利用了多個零日漏洞。

　　此外，Mandiant認為，某些最危險的國家贊助的攻擊者正在日益顯示出迅速利用已公開的漏洞的能力。在許多情況下，與這些國家有聯系的組織已經能夠利用漏洞將其武器化并將其納入攻擊行動中，旨在利用漏洞披露與補丁開發出來之間的時間窗口。

　　有經濟動機的威脅組織使用零日漏洞

　　出于財務動機的組織在運營中一直使用零日漏洞，盡管其使用頻率比黑客組織低。

　　在2019年5月，Mandiant報告了FIN6在2019年2月有針對性的入侵中使用了Windows Server 2019的UAF零日漏洞CVE-2019-0859。一些證據表明，該組織可能自2018年8月以來就使用了該漏洞利用程序。雖然公開資料表明該組織可能從地下犯罪組織BuggiCorp那里獲得了零日漏洞，但研究人員尚未找到直接證據證明該組織與該漏洞利用程序的開發或銷售有關。

　　零日漏洞正變得商品化

　　Mandiant推測，根據私營公司的可疑客戶在野外利用的零日漏洞比例，零日漏洞的獲取正變得越來越商品化?？赡艿脑虬ǎ?/p>

　　l 與過去相比，私營組織可能創造并提供了更大比例的零日漏洞，導致零日漏洞能力集中在資源豐富的組織中;

　　l 私營公司可能會越來越多地向總體能力較低的組織或不太關心業務安全的集團提供進攻能力，這使得觀察到的零日漏洞使用的可能性更大。

　　國有組織很有可能會繼續支持內部漏洞利用程序的發現和開發。但是，通過私營公司提供零日漏洞開發可能比依靠國內解決方案或地下市場提供更具吸引力。因此，Mandiant預計，只要有能力和意愿花費必要的資金，獲得此類漏洞的數量幾乎肯定會增加，而且其增長速度將快于其整體攻擊性網絡能力的增長速度。

　　三、 利用漏洞披露與補丁發布之間的時間差

　　在防御者做出反應之前，攻擊者一直在爭分奪秒的利用新發現的漏洞。FireEye Mandiant威脅情報部門對2018年和2019年所利用的漏洞進行的研究表明，大多數野外漏洞利用都發生在補丁發布之前或補丁可用后的幾天內。

　　與補丁程序發布有關的不同時間利用的漏洞百分比

　　FireEye Mandiant威脅情報分析了2018年第一季度至2019年第三季度之間被利用或有CVE編號的60個漏洞。大多數被利用的漏洞為尚未發布補丁的零日漏洞。在補丁發布日期后的一個月內，有超過四分之一的漏洞被利用。下圖說明了從提供修補程序到發現每個漏洞的首次利用日期之間的天數。

　　Mandiant認為這些數字是保守的估計，因為該數字是首次報告的與特定日期關聯的漏洞的利用情況。通常，首次發現日期不會公開披露。在某些情況下，在研究人員發現漏洞的日期之前，漏洞很可能是很可能是在未被發現的情況下發生的。

　　漏洞利用與補丁發布之間的時間

　　漏洞披露與補丁發布之間的時間差

　　漏洞披露與補丁發布可用之間的平均時間約為9天。CVE-2019-0863是Microsoft Windows服務器漏洞，該漏洞于2018年12月披露，直到2019年5月的5個月后才得到修復。有59%的漏洞在披露的當天就會發布補丁。這些指標與攻擊者漏洞利用活動的迅速性相結合，突顯了負責任的漏洞披露的重要性，因為它可能為防御者提供成功修補易受攻擊系統所需的微小時間差。

　　補丁發布后的利用

　　盡管Mandiant觀察到的大多數漏洞都是零日漏洞，但有42%的漏洞在發布了補丁程序后被利用。對于這些非零日漏洞，從補丁發布到首次發現攻擊者利用該漏洞之間的時間間隔非常小，通常只有幾小時或幾天。下表提供了一些有關嘗試利用容易受攻擊的軟件的攻擊者與嘗試部署補丁的組織之間的競爭的一些信息。

　　補丁發布后利首次利用漏洞的時間

　　小時在補丁程序發布的幾個小時內成功利用了兩個漏洞CVE-2018-2628和CVE-2018-7602。

　　天12%的漏洞在補丁程序發布后的一周內被利用。

　　月15%的漏洞在補丁程序發布后的一周后至一個月內被利用。

　　年在多種情況下，利用在2019年首次發現的漏洞CVE-2010-1871和CVE-2012-0874發起攻擊，攻擊者利用多年前已發布補丁的漏洞進行攻擊。

　　補丁發布后首次利用漏洞的時間從數小時到幾年不等

　　實例探究

　　Mandiant繼續觀察到間諜活動和出于經濟動機的組織迅速在其攻擊活動中利用公開披露的漏洞。以下示例說明了組織在漏洞公開披露后，能夠將漏洞納入其工具集中的速度，以及多個不同的組織在獨立的活動中反復利用相同的漏洞的事實。這類的組織的成功運營可能會產生很大的潛在影響。

　　CVE-2018-20250的活動時間表

　　CVE-2018-15982：Adobe Flash Player 31.0.0.153和更早版本的文件包中的UAF漏洞，一旦被利用，攻擊者即可遠程執行任意代碼。該漏洞被黑客組織(俄羅斯的APT28和朝鮮的APT37)以及TEMP.MetaStrike和其他出于經濟動機的攻擊者所利用。

　　CVE-2018-20250：存檔工具WinRAR版本5.61和更早版本的ACE格式中存在一個路徑遍歷漏洞，攻擊者可利用該漏洞在本地執行任意代碼。此漏洞被包括朝鮮和俄羅斯在內的多個黑客組織以及伊朗的APT33和TEMP.Zagros組織利用。

　　CVE-2018-4878的活動時間表

　　CVE-2018-4878：Adobe Flash Player 28.0.0.137和更早版本中的DRMManager的“初始化”調用中存在UAF漏洞，攻擊者可利用該漏洞遠程執行任意代碼。Mandiant證實，早在2017年9月3日，朝鮮的APT37就利用此漏洞為一個零日漏洞。在披露后的8天之內，Mandiant觀察到俄羅斯的APT28也利用了此漏洞，其中有經濟動機的攻擊者和朝鮮的TEMP.Hermit也使用在大約一個月的披露時間內。

　　PoC或漏洞利用代碼的可用性

　　POC或漏洞利用代碼本身的可用性并不總是會增加漏洞利用的可能性或速度。但是，Mandiant認為POC代碼可能會加快對不需要用戶交互的漏洞的利用嘗試。對于已經被利用的漏洞，其后引入的公開利用或POC代碼表明了惡意行為者的興趣，并使更廣泛的攻擊者可以利用該利用。在許多情況下，某些漏洞在PoC或漏洞利用代碼可用的48小時內被大規模利用。

　　從PoC或利用代碼發布到首次發現事件利用之間的時間產品CVEFireEye風險評級

　　1天WinRARCVE-2018-20250中

　　1天DrupalCVE-2018-7600高

　　1天思科自適應安全設備CVE-2018-0296中

　　2天Apache StrutsCVE-2018-11776高

　　2天思科自適應安全設備CVE-2018-0101高

　　2天Oracle WebLogic服務器CVE-2018-2893高

　　2天Microsoft Windows服務器CVE-2018-8440中

　　2天DrupalCVE-2019-6340中

　　2天Atlassian ConfluenceCVE-2019-3396高

　　在2018年第一季度至2019年第三季度公開發布PoC或利用代碼后的兩天內利用的漏洞

　　目標產品的趨勢

　　FireEye判斷惡意行為者很可能會根據多種因素來利用漏洞，這些因素會影響不同漏洞對特定操作的實用性。例如，研究人員認為攻擊者最有可能針對使用最廣泛的產品(見下圖)。攻擊者幾乎肯定還會考慮針對特定漏洞的利用的成本和可用性，基于交付方法的感知成功率，供應商采用的安全措施以及用戶對某些產品的了解。

　　研究人員觀察到的大多數漏洞是針對Microsoft產品的，這可能是由于Microsoft產品無處不在。尤其是，基于電子郵件附件的實用程序作為網絡釣魚活動中的初始感染媒介，基于Microsoft Office Suite的軟件中的漏洞可能會吸引惡意參與者。

　　2018年第一季度至2019年第三季度供應商利用的漏洞

　　展望與啟示

　　攻擊者利用已修補漏洞的速度強調了盡快修補的重要性。但是，由于每年都會披露大量的漏洞，因此對于資源和業務限制有限的組織而言，實施有效的策略來對最危險的漏洞進行優先級排序可能有些許困難。

　　FireEye研究人員建議應根據漏洞風險評級方法，以更詳細地制定明智的補丁管理策略。研究人員建議結合其他因素，如已知的對組織行業和地緣政治環境的活動威脅、利用漏洞和PoC代碼的可用性、通常受影響的供應商、軟件在組織環境中的部署范圍，結合利用趨勢信息來更好的確定補丁管理的優先級，并可能有助于降低大量惡意活動的風險。

　　參考資源:

　　【1】https://www.fireeye.com/blog/threat-research/2020/04/zero-day-exploitation-demonstrates-access-to-money-not-skill.html

　　【2】https://www.fireeye.com/blog/threat-research/2020/04/time-between-disclosure-patch-release-and-vulnerability-exploitation.html