到目前為止,2015年是安全研究人員非常忙碌的一年。駭客小組洩露的數據震驚了許多人,這要感謝被披露的多個零天,以及討論利用漏洞和“工具”進行無恥交易的電子郵件。
網絡罪犯(包括開發套件的作者)一直在努力將這些新發現的缺陷綜合到他們的“產品”中,以傷害更多的人和組織;與此同時,供應商一直在競相向用戶提供安全更新。這是一個很好的時機,看看今年迄今發現的漏洞是如何塑造威脅格局的。
2015年至今總結
正如我今年早些時候指出的,今年使用OSX、iOS、Android和Flash播放機的風險新增。我們自己的研究,加上駭客小組洩露的數據,反映了這一趨勢。到2015年7月底,我們的研究人員發現並披露了26個漏洞;8個是零天。
其中,兩起是在高調的高級襲擊中被發現的,包括“當兵風暴”行動和在韓國和日本的襲擊。通過監控流行的漏洞工具包以及趨勢微產品的迴響,我們發現了兩個零閃存日(CVE-2015-0311和CVE-2015-0313)。作為駭客小組數據的一部分,又發現了四個零天,後來證實其中至少有一個(CVE-2015-5122)被迅速綜合到漏洞工具包中。截至7月,各研究人員在常用案頭應用程序中共發現15個值得注意的零天,其中8個由我們的研究人員發現。
圖1。Trend Micro發現的2015年零日時間線和關鍵漏洞
以下是Trend Micro在2015年迄今發現的漏洞清單、受影響的軟件以及相關的供應商公告(如果有)。粗體文字中的漏洞表示零天:
- CVE-2014-4140(Microsoft Internet Explorer,MS14-056)
- CVE-2015-0069(Microsoft Internet Explorer,MS15-009)
- CVE-2015-0311(Adobe Flash,APSB15-03)
- CVE-2015-0313(Adobe Flash,APSA15-02)
- CVE-2015-1649(微軟辦公軟體,MS15-033)
- CVE-2015-1683(微軟辦公軟體,MS15-046)
- CVE-2015-1694(Microsoft Internet Explorer,MS15-043)
- CVE-2015-1709(Microsoft Internet Explorer,MS15-043)
- CVE-2015-1754(Microsoft Internet Explorer,MS15-056)
- CVE-2015-1835(阿帕奇科爾多瓦公告)
- CVE-2015-2391(Microsoft Internet Explorer,MS15-065)
- CVE-2015-2415(微軟辦公軟體,MS15-070)
- CVE-2015-2425(Microsoft Internet Explorer,MS15-065)
- CVE-2015-2426(微軟Windows,MS15-078)
- CVE-2015-2590(Oracle Java–Oracle關鍵補丁更新諮詢–2015年7月)
- CVE-2015-3823(穀歌安卓)
- CVE-2015-3824(穀歌安卓)
- CVE-2015-3839(穀歌安卓)
- CVE-2015-3840(穀歌安卓)
- CVE-2015-3842(穀歌安卓)
- CVE-2015-3847(穀歌安卓)
- CVE-2015-3851(穀歌安卓)
- CVE-2015-3852(穀歌安卓)
- CVE-2015-5119(Adobe Flash,APSA15-03)
- CVE-2015-5122(Adobe Flash,APSA15-04)
- CVE-2015-5123(Adobe Flash,APSB15-18)
我們還發現了Android平臺上的9個漏洞。考慮到黑帽駭客、白帽駭客和安全會議對其關注度的新增,移動作業系統和OS X中的漏洞數量從2014年開始顯著增長。野生攻擊也眾所周知:駭客團隊製作的一個零日攻擊工具包包括精心編制的外殼程式碼,用於攻擊OS X 64比特系統。這意味著駭客團隊的客戶——攻擊者——也對Mac用戶非常感興趣。
在Adobe的補丁發佈後,至少有5個Flash漏洞被導入到漏洞工具包中。然而,在同一時間段內,針對其他應用程序的新攻擊很少出現。這表明Flash Player是攻擊者專門攻擊的目標。
圖2。在案頭應用程序中發現的零天分佈
圖3.零日發現分佈
新變化與未來
除了今年迄今發現的大量Flash漏洞外,還有一些與漏洞和漏洞相關的其他發展:
- 經過幾年的艱難歲月,Adobe終於在當前版本的Flash Player中引入了新的漏洞緩解措施(在Google Project Zero的幫助下)。這增强了Flash堆的隔離性和更强的隨機化性,並新增了對向量的額外驗證。<*>長度也是。囙此,當前已知和常見的方法無法再利用漏洞進行攻擊。我相信,只要用戶使用的是當前版本的Flash,這將在短期內使編寫攻擊程式碼變得更加困難,從而將攻擊者拒之門外。
- 我們發現了自2013年以來的第一個爪哇零日。它被用於與“當兵風暴”行動有關的新攻擊,該行動的目標是一個北約國家和一個美國國防組織的武裝部隊。該漏洞中使用了兩個漏洞,Oracle已修復了一個(CVE-2015-2590)。我們是否會看到針對Java返回的大規模攻擊,這是一個很好的問題。
- 供應商迅速修復了駭客團隊數據洩露的漏洞。儘管現時是好消息,但從長遠來看,這些洩露的攻擊範本將繼續產生揮之不去的影響。駭客團隊組織嚴密,其他攻擊者肯定可以從中吸取教訓。要創建跨多個平臺運行的漏洞,並且在不被用戶發現的情况下運行,並不容易。這就是駭客團隊的成就——他們不僅創造了漏洞,還創造了高品質、設計良好的漏洞。這些可以作為其他攻擊者可以學習的範本。
基於以上幾點,我預測在2015年下半年會有更多的高級攻擊。
Macs將吸引更多的攻擊者,發現的OS X漏洞數量逐漸新增。從CVE的詳細資訊來看,2013年發現了63個,2014年又發現了111個。儘管這一年還遠未結束,但2015年已經發現了178個,甚至超過了2014年發現的數量。Trend Micro研究人員發現了一些OS X漏洞,並正與蘋果公司合作提供補丁。它仍然處於OS X漏洞研究的早期階段,Windows開發的一些技能(如面向返回的程式設計,或ROP)也適用於osx平臺。甚至一些惡意軟件家族(如Flashback)也被“移植”。
到2015年為止,基於對OSX問題的研究,已經發生了多起安全事件,如雷擊、根筦道、EFI引導腳本漏洞和DYLD_PRINT_TO_檔案漏洞。幸運的是,這些攻擊只能作為一個更大的攻擊鏈的一部分使用,而不是完全攻擊。
這與已經公開的“雷擊2”rootkit有所不同,它利用DYLD_PRINT_to_檔案漏洞遠程危害mac(即通過釣魚電子郵件或惡意網站)。然後,它可以通過Thunderbolt設備利用EFI漏洞(很像Windows PC上的USB惡意軟件)從一個Mac傳播到另一個Mac。Thunderbolt 2更嚴重的原因有三:
- 它可以遠程部署和傳播
- 即使格式化硬碟,也無法將其删除。
- 其中一個漏洞還沒有修補程式。
所有這些都表明Mac用戶受到類似攻擊的風險正在新增。
此外,攻擊者還可能使用更為隱蔽的科技,如SecureSWF加密。他們也可能再次使用Java。Windows10的新瀏覽器微軟Edge已經推出,雖然它確實包含了顯著的改進,但攻擊者肯定也會測試它的防禦能力。更有希望的消息是,Flash攻擊將僅限於沒有安裝最新版本的用戶(儘管許多用戶沒有昇級到最新版本)。
脆弱性研究與趨勢微觀保護
Trend Micro研究人員專注於分析從目標攻擊的受害者身上採集的剝削樣本。這些資訊來自不同的通路,如蜜罐、趨勢微產品的迴響以及來自客戶和用戶的提交。這種全面的方法有助於我們在7個月內發現許多零日攻擊。我們還使用靜態分析、模糊化和滲透測試主動尋找漏洞。我們負責在駭客使用之前向供應商報告漏洞。
我們的研究人員與我們的開發團隊密切合作,以確保我們的產品提供最好的保護,防止被利用。我們的產品採用最有效的檢測方法,以我們在開發分析方面的經驗為指導。收集的樣本和發現的漏洞用於驗證我們的產品和解決方案的有效性。
這些努力和其他努力有助於趨勢微產品在獨立實驗室(如AV測試、AV比較和NSS實驗室)的測試中取得積極的測試結果,特別是連續第二年™Deep Discovery獲得了“推薦”評級,是NSS實驗室推薦的最高整體漏洞檢測系統,使其成為最有效的解決方案。這顯示了Deep Discovery的卓越解決方案,它基於20多項已發佈的專利和數十項其他正在申請的專利。
零日攻擊主要用於執行目標攻擊。根據定義,它們是未知和不可預測的,甚至暴露了最勤奮的安全實踐者的系統。除了基準測試,我們的研究還幫助我們主動檢測零天,並領先攻擊者一步。現有的沙箱腳本分析器引擎(是Trend Micro Deep發現的一部分)可以檢測到2015年出現的許多零日漏洞,而無需更新。對用戶來說,檢測零天的能力甚至比發現和響應更有價值。我們能够在沒有任何更新的情况下檢測到以下零天:
- CVE-2015-0310
- CVE-2015-0311
- CVE-2015-0313
- CVE-2015-2590型
- CVE-2015-3043號
- CVE-2015-3113號
- CVE-2015-5119
- CVE-2015-5123
此基準測試成果和高級檢測表明,Trend Micro Deep發現是業界領先的APT/高級威脅解決方案,我們的智慧沙箱是其中的關鍵貢獻者之一。智慧沙箱是可定制的,它不僅具有有效負載行為檢測,而且還具有腳本和外殼程式碼行為檢測。如果你想知道更多的細節,請訪問我以前的部落格。
截至2015年8月17日更新,PDT(UTC-7)上午10:09:
蘋果上周發佈了一個安全更新,以解决幾個漏洞,包括本條中提到的DYLD_PRINT_to_FILE bug。此修補程式解决的漏洞中包括Trend Micro發現的一個錯誤。指定為CVE-2015-3787的此漏洞可能允許具有特權網絡位置的攻擊者使用格式錯誤的藍牙數据包執行拒絕服務攻擊。我們建議蘋果用戶立即安裝補丁。