设备类漏洞从未缓解
从图 5.1 中可以看到,针对设备漏洞的攻击占全部利用漏洞攻击的 43%,这和近两年智能路由器等 联网设备大规模增长密切相关。正如绿盟科技在《2017 年物联网报告》1 中提到的那样,很多智能设备 在设计之初,安全问题并没有被严肃对待,于是随着设备的推广,市场上出现大量常年不更新不维护的 高危设备。即使厂商已经发现甚至很早前已经推出解决方法或升级补丁的设备,但是仍有大量设备的脆 弱性状况至今仍未有改善,这和设备升级维护机制设计不合理有很大的关系,毕竟设备和传统 PC 不同,没有复杂的内置应用,也无法有效提供丰富的检测防御和自动维护服务,这样一来黑客攻击成功率极高, 成本和复杂度极低。
图 5.2 设备漏洞利用抽样统计
在 2018 年,和其他攻击流量对比,设备漏洞攻击的情况从未得到有效缓解,另一方面也说明,设 备漏洞状况长期为人所忽略。从监测情况来看,下列设备及漏洞被黑客攻击还是比较严重的:
- Netcore / netis 路由器
后门- D-Link dsl-2750b 任意命令执行漏洞 - 大华监控设备非授权访问漏洞
- TP-Link无线路由器 http/tftp 后门漏洞
- D-Link路由器 user-agent 后门漏洞 (CVE-2013-6026)
- ASUS路由器固件 Asuswrt Lan 后门命令执行漏洞 (CVE-2014-9583)
- 华为 HG532 路由器远程命令执行漏洞 (CVE-2017-17215)
- 施耐德派尔高 Sarix Pro 网络摄像头 import.cgi xml
实体注入漏洞- 施耐德派尔高 Sarix Pro 摄像头
session.cgi 程序缓冲区溢出漏洞- Motorola 无线路由器 WR850g 认证绕过漏洞 (CVE-2004-1550)
在 2018 年 2 月,Radware 的信息安全专家 Pascal Geenens 分析了一个 DDoS 攻击组织,该组织 利用一个名为 JenX 的恶意带软件感染的物联网设备发动 DDoS 攻击。具体而言,JenX 正是利用 CVE- 2017–17215 和 CVE-2014-8361 感染华为 HG532 路由器和运行 Realtek SDK 的设备,和完全分布式僵 尸网络 Mirai 不同的是,该僵尸网络由服务器完成漏洞利用和僵尸主机管理的任务。在 7 月,黑客利用 CVE-2017–17215 仅仅在一天内就构建了一个 18000 台僵尸网络主机构成的僵尸网络。可见 JenX 的影 响面之大 1。
服务器漏洞利用
在所有的漏洞利用中,服务器漏洞是被利用最多的。从告警日志量来看,4,5 两个月被攻击的数量 是最多的。
图 5.3 服务器类漏洞抽样统计
图 5.4 服务器类漏洞按应用分类
Web服务器 57.6%
Windows服务器 25.6%
数据库服务器 10.1%
DNS服务器 1.5%
邮件服务器 1.4%
文件服务器 1.0%
扫描服务器 0.1%
其它 2.8%
Windons 服务器的漏洞利用排在第二位,大多数是和 Samba 服务相关的漏洞。在 2018 年被利用 比较多的漏洞有:
- windows smb server 信息泄露漏洞扫描 (CVE-2017-0147)
- windows smb 远程代码执行漏洞 (shadow brokers eternalblue)(CVE-2017-0144)
- windows smb 操作解析远程代码执行漏洞 (ms11-020)
- windows smb 远程堆覆盖漏洞 (CVE-2008-4834)
- samba 远程代码执行漏洞 ( 永恒之红 )(sambacry)(CVE-2017-7494)
臭名昭著的 WannaCry 蠕虫正是利用了“永恒之蓝”漏洞 (MS-010, 包括 CVE-2017-0144、CVE- 2017-0147 等多个 SMB漏洞编号 ),感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈 者病毒,导致电脑大量文件被加密。在 2018 年 8月,台积电遭受 WannaCry 勒索病毒攻击导致生产线瘫痪, 造成 25.96 亿新台币损失。
另外,Petya 勒索、NotPetya 勒索、FancyBear 窃取信息、Retefe 银行木马、WannaMiner 挖掘、 ZombieBoy 木马、bulehero 蠕虫病毒等一系列样本都利用了“永恒之蓝”漏洞,另外,APT组织也将“永 恒之蓝”纳入武器库,“永恒之蓝”漏洞逐渐成为被利用率最高的漏洞之一。
应用类漏洞
应用软件类漏洞攻击主要针对个人用户与使用者,当然这些用户中也会包括核心资产的管理人员, 黑客利用钓鱼邮件,通过恶意链接、恶意附件的形式投递恶意程序,在用户点击相关资源时,对应程序 的漏洞会被触发,最终导致感染和信息泄露。
图 5.5 应用软件类漏洞抽样统计
在应用软件类漏洞利用攻击中,浏览器类受到的攻击最多,占到了全部分此类攻击的 56.7%,微软 的 Internet Exporer/Edge 是被攻击最多的应用软件。浏览器漏洞利用比较高的漏洞有:
- microsoft edge profiledldelem 类型混淆
- mozilla firefox/thunderbird/seamonkey http 响应分离漏洞
- microsoft internet explorer 远程内存破坏漏洞 (CVE-2016-7287)(ms16-144)
- microsoft ie 对象处理内存破坏漏洞 (ms08-078)
- microsoft edge scripting engine remote 内存破坏漏洞 (CVE-2018-0773)
图 5.6 应用软件类漏洞按应用分类
浏览器应用 48.8%
Flash应用 16.8%
Office应用 3.1%
Apple应用 0.6%
PDF应用 0.5%
其它 30.2%
Flash 虽然被爆的漏洞数目相对少一些,但利用率还是比较高的,在 2018 年,被攻击最多的漏洞 TOP5 如下: - Adobe Flash player shader 缓冲区溢出漏洞
- Adobe Flash player 远程拒绝服务漏洞
- Adobe Flash player "asnative 301" 函数空指针引用拒绝服务漏洞
- Adobe Flash 0day 漏洞 CVE-2018-4878
- Adobe Flash player localeid determinepreferredlocales 越界访问漏洞 (CVE-2017-3114)
Office 漏洞常被大家忽,但却备受黑客喜爱,众多专业黑客组织对重要目标的攻击,会选择使 用 Office 高危漏洞。APT缓和 BlackTech 就利用 Office 公式编辑器漏洞 CVE-2018-0802 和 CVE-2017- 11882 实施过攻击 [^1]。我们监测到的被利用比较高的漏洞有: - Microsoft Word 文件信息块内存破坏漏洞(MS08-009)
- Microsoft Office 远程代码执行漏洞 (CVE-2017-8570)
- microsoft frontpage post 请求远程缓冲区溢出攻击
- Microsoft Office Sharepoint Server 管理权限提升漏洞(MS08-077)
- Microsoft Office 远程内存栈溢出漏洞 (CVE-2018-0802)
5.2 Web 攻击
攻击态势
在 2018 年, 针对 Web 服务器的攻击中,89% 的攻击仍然是一些常规的攻击手段,包括服务器信 息泄露,资源盗链,SQL 注入,跨站脚本攻击等。传统的攻击手段仍然被大量的使用,需要持续关注。
图 5.7 针对 Web 攻击的攻击类型分布
资源盗链 15.6%
SQL注入攻击 15.0%
跨站攻击 6.8%
Web插件漏洞攻击 6.6%
Web服务器漏洞攻击 6.4%
路径穿越攻击 5.2%
命令注入攻击 4.9%
非法下载 4.5%
其它 7.3%
黑客利用 Web 服务器漏洞或插件漏洞的攻击比例在逐年增加。在 2018 年,利用漏洞进行的 Web 攻击占了占全部 Web 攻击的 11%,和 2017 年相比有所增加。也不容小。受攻击最多的 Web 框架有 Struts2、Microsoft IIS、WebLogic 等。
图 5.8 针对 Web 漏洞攻击的 TOP10
单位:万次 Apache 37
- Web 漏洞利用
Struts2 框架一直是攻击的热点。从 2007 年 7 月到 2019 年 3 月这十多年间,Struts2 被披露的漏 洞数目 57 个,其中远程代码执行漏洞,由于威胁性大,利用难度低,被黑客大量使用。在 2018 年, 我们监测对针对 Struts2 的攻击中,被利用比较多的漏洞如下:
- Struts2 远程代码执行漏 (2-45/S2-46)
这两个漏洞都是由报错信息包含 OGNL表达式,并且被带入了 buildErrorMessage 这个方法运行, 造成远程代码执行。在 2018 年,一半以上的针对 Struts2 的攻击都是利用的这个漏洞。 - Struts2 远程代码执行漏(S2-32/S2-33/S2-37)
这三个漏洞都是抓住了 DefaultActionInvocation 中会把 ActionProxy 中的 method 属性取出来 放入到 ognlUtil.getValue(methodName + “()”, getStack().getContext(), action); 方法中执行 OGNL表达式。 - Struts2 远程代码执行漏 (S2-16)
DefaultActionMapper 类支持以 action:,redirect: 和 redirectAction: 作为访问前缀,前缀后面可 以跟 OGNL 表达式,由于 Struts2 未对其进行过滤,导致任意 Action 可以使用这些前缀执行任
意 OGNL 表达式,从而导致任意命令执行。 - Struts2 rest 插件反序列化漏洞 (S2-52)
当 Struts2 使用 REST插件使用 XStream 的实例 xstreamhandler 处理反序列化 XML有效载荷 时没有进行任何过滤,可以导致远程执行代码,攻击者可以利用该漏洞构造恶意的 XML内容获 取服务器权限,获取业务数据或服务器权限,存在高安全风险。
由上可见,针对 Struts2 的漏洞利用,除 S-52 外,都是框架执行了用户传进来的 OGNL 表达式,造 成远程代码执行,可以造成命令执行,服务器文件操作、危险代码执行等,只不过需要精心构造不同的 OGNL代码。
而针对 WebLogic 的漏洞利用,主要是以反序列化为主。在 2018 年,有超过 80% 的针对 WebLogic 的攻击使用了以下漏洞: - WebLogic ws-wsat 组件反序列化漏洞 (CVE-2017-10271)
这个漏洞的本质原因是其引用的 XMLDecoder 库存在远程代码执行问题,可直接导致整个系统 被控制。由于该漏洞是走 http 协议,因此备受黑客的青睐。同时这个漏洞也是 2017 年初爆出 的 Weblogic 漏洞(CVE-2017-3506)的绕过。
另外,在 2018 年新出现的一些漏洞,我们也监测到了有效的攻击,应该值得我们注意: - WebLogic 组件反序列化漏洞(CVE-2018-2628)
攻击者可以在未授权的情况下通过 T3 协议对存在漏洞的 WebLogic 组件进行远程攻击,并可获 取目标系统所有权限。 - WebLogic 组件反序列漏洞(CVE-2018-2893)
该漏洞通过 JRMP 协议利用 RMI机制的缺陷达到执行任意反序列化代码的目。攻击者可以在未 授权情况下将 payload 封装在 T3 协议中,通过对 T3 协议中的 payload 进行反序列化,从而实 现对存在漏洞的 WebLogic 组件进行远程攻击,执行任意代码并可获取目标系统的所有权限。
在 Web 漏洞中,反序列化漏洞由于其简单,可远程利用的特点格外受到黑客的青睐。绿盟科技《2017 年反序列化漏洞年度报告》1 中指出,厂商对反序列化漏洞的应对,往往修复、绕过、再修复、再绕过[^1]的恶性循环,因此反序列化漏洞层出不穷。它对于攻击者来说是价值极高的,因为漏洞本身的利用难度 比较低,并且一旦利用成功,黑客能够获得较高的权限,是黑客用来传播病毒,挖矿程序等恶意软件的 攻击方法之一。
在 2018 年,Drupal 框架的漏洞利用也具有一定的典型性,绿盟威胁情报中心在 5 月针对 Drupal 漏 洞被挖矿程序利用的传播感染态势进行了详尽的分析 [^2] :
• Drupal内核远程代码执行漏洞(CVE-2018-7600)
Drupal 官方在 2018 年 3 月 28 日发布 sa-core-2018-002 (CVE-2018-7600) Drupal 内核远程代码 执行漏洞预警,之后一个月内又连续发布两个漏洞,其中包含一个 XSS 和另一个高危代码执行 漏洞 sa-core-2018-004 (CVE-2018-7602)。虽然漏洞已经披露,相关利用的 PoC 却在两周后才 放出,而仅仅在 PoC 披露后几个小时,就发现有利用此漏洞的攻击出现。在随后的时间内互联
网上针对 Drupal 程序的攻击迅速增加此后几个月内,互联网上针对 Drupal 程序的攻击都非常 频繁。
官方发布CVE-2018-7600漏洞预警 官方发布CVE-2018-7602漏洞预警
5.3 DDoS 攻击
5.3.1 攻击态势
2018 年,我们监控到 DDoS 攻击次数为 14.8 万次,攻击总流量 64.31 万 TB,与 2017 年相比,攻 击次数下降了 28.4%,攻击总流量没有明显变化。这主要是因为 DDoS 攻击规模逐年增大,即中大型规 模的攻击有所增加。
图 5.9 攻击次数与攻击流量
次 TB 8.0
万 万 : : 7.0 位 2.5 位
单 单 6.0
数 量
次 1.5 流 4.0 击 击
攻 攻 3.0
月 份 月 份
从全年来看,2018 年 DDoS 攻击次数明显下降,得益于对反射攻击有效的治理。2018 年以来, CNCERT 组织各省分中心,联合各地运营商、 云服务商等对我国境内的攻击资源进行了专项治理,包 括使用虚假源地址治理以及对反射攻击源通告等手段。通过治理,有效的减少了反射攻击的成功率,迫 使攻击者转向其它攻击手段。从数据来看,2018 年反射攻击减少了 80%,而非反射攻击增加了 73%, 反射攻击仅占 DDoS 攻击次数的 3%。
图 5.10 反射攻击次数与其他类型的攻击次数对比图
2017年 2018年
数据来源:电信云堤,ATM
从 2018 年各月攻击次数来看,上半年 DDoS 攻击逐月小幅增长,而下半年有加速增加的趋势。我 们认为,DDoS攻击逐月增加,与虚拟货币的价格回落相关。在《2017 DDoS 与 Web 应用攻击态势报告》[^3] 中,我们指出,随着虚拟货币的升值,黑产开始将掌握的“优质” Botnet 资源从犯罪成本较高的 DDoS 攻击活动转而投向犯罪成本相对较低但收益更高的挖矿活动中。在 2018 年,随着虚拟货币的价格回落, 挖矿的收益日益减少,攻击者选择 DDoS 攻击的倾向增高,DDoS 攻击逐月增加。
将各月份比特币价格与 DDoS总流量趋势对比,其 Pearson 相关系数为 -0.48,呈一定的负相关性, 这更加证实了我们去年的观点。
提出了更高的挑战。
图 5.11 比特币价格与 DDoS 攻击总流量趋势对比图
2017 年 Apr Jul Oct 2018 年 Apr Jul Oct
数据来源:电信云堤
近年来,超大规模的攻击事件日益普遍。2018 年 3 月,著名代码托管网站 GitHub 遭受到峰值达到 1.35Tbps 的 DDoS 攻击,而截至目前, DDoS 攻击已经创造了达到 1.7Tbps 峰值带宽的攻击 [^1]。
从最近两年各月数据来看,攻击峰值在 100Gbps 以上的大型攻击的次数呈加速上升趋势。大流量 攻击事件的增多,说明攻击者掌握的攻击资源规模上升和攻击能力的增强
图 5.12 峰值大于 100Gbps 的攻击次数变化
2017年 Apr Jul Oct 2018年 Apr Jul Oct
数据来源:电信云堤
无论是 DDoS 攻击能力的普遍提高,还是平均峰值创历史新高,都说明 DDoS 攻击态势的严峻性。 可以说,黑客普遍拥有了释放特大流量的能力,并且能力仍然处于持续快速提高的进程中,这是防御和 治理人员需要应对的挑战。
参考资料
绿盟 2018年网络安全观察报告
友情链接
GB-T 25058-2010 信息安全技术 信息系统安全等级保护实施指南