对2019年各个国家0 day漏洞使用情况的介绍

网络威胁情报(CTI)扮演的关键战略和战术角色之一是对软件漏洞的跟踪，分析和优先级排序，这些漏洞可能会使组织的数据，员工和客户面临风险。在这个由四部分组成的文章系列中，FireEyeMandiant威胁情报分析了CTI在实现漏洞管理中的价值，并揭示了有关最新威胁，趋势和建议的研究。

根据研究结果，与前3年相比，我们发现2019年被利用的零日(0-day)漏洞数量更多。虽然并非每次0-day利用都能溯源到特定的攻击组织，但我们发现越来越多的攻击组织已经逐步具备这类能力。此外，有些攻击组织会购买商业公司提供的进攻性网络产品及服务，所利用的0-day数量也越来越多，并且随着时间的推移，针对中东的0-day攻击事件也越来越多。现在有许多组织/个人在提供攻击性网络武器服务，展望未来，我们认为会有更多攻击者开始使用0-day。

国家和地区的0-day 漏洞使用情况

自2017年底以来，FireEyeMandiant威胁情报指出，已知或怀疑为提供攻击性网络工具和服务的私人公司的客户的组织利用的0-Day漏洞工作天数显着增加。此外，我们观察到针对中东和/或与该地区有可疑联系的团体所利用的0-Day漏洞有所增加。

主要网络大国的0-Day 漏洞利用图

示例包括：

(1) 研究人员将其称为 stealth-falcon 和 FruityArmor的一个小组是一个间谍团体，据报道以中东的记者和活动人士为目标。在2016年，该小组使用了NSO小组出售的恶意软件，该软件利用了三个iOS0-Day漏洞。从2016年到2019年，该小组使用的0-Day 漏洞工作时间超过其他任何小组。

(2)此攻击活动被称为“沙猫”(SandCat)，被怀疑与乌兹别克斯坦的国家情报有关，在针对中东目标的行动中使用0-Day漏洞进行了侦查。该小组可能是通过从NSO组之类的私营公司购买恶意软件获得0-Day漏洞的，因为在SandCat运营中使用的0-Day漏洞也被用于Stealth Falcon行动中，而且这些不同的活动集不可能独立地发现相同的三个0-Day漏洞。

(3) 在2016年和2017年全年，BlackOasis的活动(主要针对中东实体，并且过去很可能从私营公司GammaGroup获得了至少一个0-Day漏洞)也表现出了类似的频繁获取0-Day 漏洞的机会。

• https://citizenlab.ca/2016/05/stealth-falcon/
• https://www.securityweek.com/windows-zero-day-exploited-fruityarmor-sandcat-threat-groups
• https://www.welivesecurity.com/2019/09/09/backdoor-stealth-falcon-group/
• https://www.vice.com/en_us/article/3kx5y3/uzbekistan-hacking-operations-uncovered-due-to-spectacularly-bad-opsec
• https://www.securityweek.com/middle-east-group-uses-flash-zero-day-deliver-spyware
• https://www.securityweek.com/middle-east-group-uses-flash-zero-day-deliver-spyware

我们还注意到了0-Day 漏洞利用的例子，这些事例并未归因于受追踪的群体组织，但似乎已被私人安全公司提供的工具所利用，例如：

(1) 据报道，2019年，WhatsApp(CVE-2019-3568)中的0-Day 漏洞被用来分发由以色列软件公司NSO集团开发的间谍软件。

(2) FireEye分析了针对一家俄罗斯医疗保健组织的活动，该组织利用了2018年AdobeFlash0-Day漏洞(CVE-2018-15982)，该0-Day 漏洞可能与Hacking Team泄露的源代码有关。

(3) 据报道，NSO Group工具于2019年10月在野外利用了 Android0-Day 漏洞CVE-2019-2215 。

• https://www.itpro.co.uk/spyware/33632/whatsapp-call-hack-installs-spyware-on-users-phones
• https://thehackernews.com/2019/10/android-kernel-vulnerability.html

可以看到主要网络大国的间谍组织对0-Day 漏洞的利用。

(1) 据研究人员称，中国间谍组织APT3 在2016年利用CVE-2019-0703进行了有针对性的攻击。

(2)FireEye观察到朝鲜小组APT37开展了2017年的活动，该活动利用了AdobeFlash漏洞CVE-2018-4878，该小组还显示出在发现漏洞后不久即可迅速利用这些漏洞的能力有所增强。

(3)从2017年12月到2018年1月，我们观察到多个中国集团利用CVE-2018-0802在针对欧洲，俄罗斯，东南亚和台湾的多个行业的活动中。在发布此漏洞的补丁之前，至少使用了六分之三的样本。

(4) 2017年，俄罗斯组织APT28和Turla在Microsoft Office产品中利用了多个0-Day 漏洞。

• https://www.symantec.com/blogs/threat-intelligence/buckeye-windows-zero-day-exploit
• https://www.fireeye.com/blog/threat-research/2017/05/eps-processing-zero-days.html

此外，我们认为，某些最危险的国家赞助的入侵正在日益显示出迅速利用已公开的漏洞的能力。在许多情况下，与这些国家有联系的组织已经能够利用漏洞将其武器化并将其纳入其运营中，利用漏洞披露与补丁安装之间的时间窗口。

在2019年5月，我们报告FIN6在2019年2月有针对性的入侵中使用Windows Server 2019的UAF0-Day漏洞(CVE-2019-0859)，一些证据表明，该组织可能自2018年8月以来就使用了该漏洞利用程序。尽管公开消息表明该组织有可能从代号为BuggiCorp的地下组织那里获得0-Day漏洞，但我们还没有找到直接证据证明该组织与该漏洞利用程序的开发或销售有关。

分析结论

根据私营企业潜在客户对0-day的利用情况及比例，我们推测现在攻击者对0-day的利用趋势已经越来越商品化。之所以会出现这种情况，可能有如下原因：

• 私营公司可能会创造和提供比过去更多的0-Day 漏洞服务，导致0-Day 漏洞资源能力集中在资源丰富的团体中。
• 私营公司可能会越来越多地向总体能力较低的团体和/或对运营安全性较少关注的团体提供攻击能力，这也将导致0-day利用活动越来越频繁。

各国可能会继续支持内部漏洞利用程序的发现和开发;但是，通过私营公司提供0-Day漏洞服务可能比依靠国内解决方案或地下市场提供更具吸引力的选择。因此我们认为，如果攻击者有能力且愿意投入金钱，那么能够获取这类漏洞的攻击者数量将不断上升，并且增长速度将比其自身的整体网络攻击能力增长速度要快。