最近一起新发现的、由被称为“Sandworm Team”的团体所发动的网络间谍活动被大肆地报道,这起攻击的核心是能够影响所有现行支持中的微软Windows版本和Windows Server 2008及2012的零日漏洞。
根据趋势科技的分析,该漏洞让攻击者能够通过微软Windows和Server上的OLE封装管理程序漏洞来执行另一个恶意软件。分析显示,这起攻击和数据搜集与监控系统(SCADA)有关目标有着密切关联。此外,这个漏洞很快就被用在另一起采用新规避技术(将恶意档案嵌入PPSX档案)的攻击。
有时旧,有时新
并不是只有零日漏洞会被用在针对性攻击上。在2014年上半年,趋势科技看到攻击者仍然重度地使用较旧的漏洞。如跟Windows公共控件有关的漏洞CVE-2012-0158,尽管自2012年初就有了修补程序,但这一漏洞已被证明是APT攻击/目标攻击中不可或缺的工具,包括了PLEAD攻击活动。
当然,这并不代表零日漏洞没有在2014年造成威胁。一个Windows零日漏洞就曾被利用来进行针对好几个大使馆的APT攻击/目标攻击,但在几天后被修补。值得注意的是这发生在Windows XP停止支持前,而Windows XP也是受影响的平台。另一个零日漏洞也被Taidoor攻击活动的幕后黑手重度地使用在攻击中。这个零日漏洞在三月后期被发现,修补程序在四月的周二更新推出。
各擅胜场
漏洞几乎都会被厂商加以修补,尤其是被认为是关键性的漏洞。但尽管有修补程序存在,也不是所有的用户和组织都会加以更新或立即更新。不仅因为更新修补程序可能会中断运行,而且在企业环境中更新修补程序需要先经过测试,因此会经过较长的延迟时间才更新修补程序。
从这个角度上,攻击者会因为“可靠性”而使用旧漏洞。有些已经充分测试过的漏洞可以在目标网络和组织中发现,并且因为这些漏洞已经存在多年,让攻击者更能够去产生完美的恶意软件或威胁来利用此漏洞。
在另一方面,新的漏洞可以让攻击者取得上风。零日漏洞可以让所有人都措手不及,包括安全厂商。供货商要不断地去建立必要的安全措施和对应的修补程序,因为零日漏洞可以利用“安全空窗期”来攻击,甚至能够影响最安全的环境。在这个意义上,零日漏洞可以被认为更有效也更具危险性。
如果受影响平台或应用程序已经过时或超过支持期限,那么零日漏洞会更加有效。因为没有修补程序可用,可以进行零日漏洞攻击的安全空窗期就会变成无限长。
一个很好的例子是一个目标攻击利用了IE浏览器漏洞。因为最初报道指出微软不会发表Windows XP上的修补程序,这个漏洞(CVE-2014-1776)受到大量的关注,不过很快就有修补程序释出在该平台上。
对策及解决方法
解决针对性攻击不仅需要正确的工具,还要有正确的心态。IT管理员对APT攻击常见的误解包括针对性攻击一定会使用零日漏洞的错觉,正如我们所看到的,攻击者不会自限于使用零日漏洞,旧漏洞其实较零日漏洞更受青睐。这强调了要更新所有可用安全修补程序的重要性。
解决零日漏洞问题可能很困难,但并非不可能。类似虚拟修补程序这样的做法可以帮助减轻零日漏洞和不受支持系统所带来的威胁。蜜罐系统(可以用来吸引攻击者)能够在早期阶段标记攻击。类似启发式扫描和沙盒防护等技术可以用来帮助识别可疑的档案,并在控制环境内执行该档案而不会对网络造成影响。组织也应该要加强员工的教育训练。电子邮件诱饵往往会出现在针对性攻击的第一阶段:如果员工有受过训练来识别可疑的邮件,就可以大大地强化网络防御。
趋势科技Deep Security可以通过下列规则来防护本期微信中所提到的零日漏洞:
1005801 – Microsoft Windows Kernel Elevation Of Privilege Vulnerability(CVE-2013-5065)
1006030 – Microsoft Internet Explorer Remote Code Execution Vulnerability(CVE-2014-1776)
1006045 – Microsoft Internet Explorer Remote Code Execution Vulnerability(CVE-2014-1776) – 1
1005989 – Identified Malicious C&C Server SSL Certificate (ForCVE-2014-1761)
1005990 – Microsoft Word RTF Remote Code Execution Vulnerability(CVE-2014-1761)
1006000 – Microsoft Word RTF Remote Code Execution Vulnerability(CVE-2014-1761) – 1