6月9日,安恒信息威胁情报中心猎影实验室宣布其捕获一个0DAY漏洞,该漏洞可影响最新版WIN10。
在网络信息安全领域,0DAY漏洞并不陌生,0DAY漏洞也叫零时差攻击,威力巨大。攻击者掌握0DAY漏洞后可以肆意发动攻击,对企业机构造成重要损失。在0DAY漏洞面前,掌握先机、提前防范至关重要。
▶ 稀缺:上半年全球仅发现10个
早在今年2月,安恒信息威胁情报中心猎影实验室就曾协助微软修复一个影响最新版Windows10系统的内核提权漏洞,此次再度发现新的漏洞,并第一时间将其报告给了MSRC。经过MSRC的确认,这是一个dwmcore.dll模块的0DAY漏洞,在最新版本的Windows10 21H1全补丁环境下也能触发。
从历年的统计来看,全球范围内每年披露的这类被用于实际攻击的零日漏洞大概有10-20个。以Windows平台为例,今年上半年,全球范围内已经发现的共有10个,其中2个由安恒信息捕获。分别为CVE-2021-1732和CVE-2021-33739。
安恒信息威胁情报中心猎影实验室负责人介绍,发现这个漏洞的过程如同“大海捞针”,首先是没人知道什么时候会出现漏洞,其次是一般厂商没有足够的安全能力积累去捕获这种漏洞。现在全球每天新增至少几百万恶意样本,我们按照一年的样本总量来算,发现这个漏洞的难度相当于从近亿样本中精确筛出一个有问题的样本。
为了捕获这类高级威胁,安恒信息威胁情报中心结合自研的威胁情报TI平台做了大量工作,包括威胁分析溯源与安全感知系统、样本情报同源分析系统、威胁情报资讯推送系统的开发与持续迭代,并在此基础上搭建了一套从发现未知威胁到报送厂商,再到安全产品响应的高级威胁处置流程。此外,安恒信息威胁情报中心猎影实验室还结合自身在威胁检测和APT组织追踪方面的多年经验,实时把握高级威胁变化趋势,不断对安全策略进行调整。
▶ 价值:黑市售价数万美元
任何稀缺的东西,往往都有着极高的价值,或是相应的危害。前者是对黑客而言,后者自然是对于企业机构而言。
0DAY漏洞被称为评价黑客能力的重要衡量标准之一,一个黑客掌握0DAY漏洞的多少,决定了他的技术有多高,也意味着他的威胁性有多大。
安恒信息威胁情报中心猎影实验室负责人用“核武器”来形容0DAY漏洞,“0DAY在网络空间隐蔽战场上具有举足轻重的作用,0DAY通常作为攻击组织的战略储备,具有特殊使命和战略意义。”
正因为其稀缺且价值巨大,所以在黑市上,0DAY漏洞往往能卖出不菲的价格,从几万美金到几十万美金不等,甚至在特定情况下卖出过上百万美元。
▶ 危害:难以承受之重
具有如此价值,究其原因,自然是黑客通过0DAY漏洞可以获取的好处多多。以安恒信息威胁情报中心猎影实验室此次发现的漏洞为例,攻击者借助该漏洞可以将其攻击权限提升为系统最高权限,从而可以完全访问受害者计算机上的所有敏感数据。这类漏洞一般配合浏览器漏洞一起使用,在这种场景下,受害者的计算机只要访问一个恶意构造的网页,就可以完全被攻击者所控制。
个人计算机被黑客控制,损失的往往只是个人信息、数据。一旦有重要部门、机构、企业的计算机被攻击者所控制,接下来往往是被要求巨额赎金,为了避免更大损失,遇到这类情况后,大多数的机构都会乖乖就范,无可奈何。
更有甚者,0DAY漏洞还被利用进行国家层面的攻击。今年4月就有报道显示,Pulse Secure的最新0DAY漏洞可以让有国家背景的黑客绕过2FA认证并入侵美国国防承包商,从而隐秘地进入属于美国国防工业和其他一系列组织的网络。
▶ 防范:如何防范0DAY漏洞带来的危害?
上述安恒信息威胁情报中心猎影实验室负责人表示,此次发现的0DAY漏洞,可以升级安恒APT攻击预警平台以及明御主机安全及管理系统EDR到最新版本进行检测。
安恒APT攻击预警平台能够发现已知或未知威胁,平台能实时监控、捕获和分析恶意文件或程序的威胁性,并能够对邮件投递、漏洞利用、安装植入、回连控制等各个阶段关联的木马等恶意样本进行强有力的监测。同时,平台根据双向流量分析、智能的机器学习、高效的沙箱动态分析、丰富的特征库、全面的检测策略、海量的威胁情报等,对网络流量进行深度分析。检测能力完整覆盖整个APT攻击链,有效发现APT攻击、未知威胁及用户关心的网络安全事件。
安恒明御主机安全及管理系统是一款集成了丰富的系统加固与防护、网络加固与防护等功能的主机安全产品。业界独有的高级威胁模块,专门应对攻防对抗场景;明御主机安全及管理系统通过自主研发的专利级文件诱饵引擎,有着业界领先的勒索专防专杀能力;通过内核级东西向流量隔离技术,实现网络隔离与防护;拥有补丁修复、外设管控、文件审计、违规外联检测与阻断等主机安全能力。目前产品广泛应用在服务器、桌面PC、虚拟机、工控系统、容器安全、攻防对抗等各个场景。
安恒信息威胁情报中心拥有一支专注于未知威胁分析挖掘的前沿技术团队,基于大数据架构对全网数据、情报进行收集积累,具备10多年恶意代码研究经验的研究团队打造了一套AI智能的威胁情报挖掘生产机制。通过持续提供威胁情报数据与服务,可为用户提升区域安全态势感知能力,检测未知威胁,分析溯源威胁行为,提高主动防御能力等。