漏洞利用链(也称为漏洞链)是将多个漏洞利用组合在一起以危害目标的网络攻击方式。与专注于单一入口点相比,网络犯罪分子更喜欢使用它们来破坏设备或系统,以获得更大的破坏力或影响。
Forrester分析师Steve Turner表示,漏洞利用链攻击的目标是获得内核/根/系统级别的访问权限来破坏系统以执行攻击活动。漏洞利用链允许攻击者通过使用正常系统进程中的漏洞,绕过众多防御机制来快速提权自己,从而融入组织的环境中。
虽然漏洞利用链攻击通常需要花费网络犯罪分子更多的时间、精力和专业技能,但将漏洞利用组合在一起,允许恶意行为者执行更复杂且难以修复的攻击,这具体取决于漏洞序列的长度和复杂程度。
漏洞利用链的风险
漏洞利用链给组织带来的风险将是巨大的。Turner介绍称,漏洞利用链的执行往往发生得非常快,而且大多数组织并没有配置正确的策略、流程和工具来积极阻止或遏制此类威胁。
Vulcan Cyber研究团队负责人Ortal Keizman表示,不幸的现实是,IT安全团队背负着这样一个事实:几乎所有漏洞利用都利用了已知漏洞和漏洞利用链,而这些漏洞由于各种原因尚未得到缓解。可以说,漏洞管理是当今IT安全行业面临的一场大规模的‘打地鼠游戏’,至少56%的企业组织缺乏快速、大规模修复漏洞以保护其业务的能力。
可以合理地假设,大多数网络安全领导者还在查看NIST报告的漏洞列表或CISA已知利用的漏洞列表,因为他们根本没有牢牢掌握自己的风险态势。对此,Keizman表示,如果无法衡量风险,还谈何降低风险,如果风险优先级没有与特定组织或业务部门的定制风险承受能力保持一致,那么风险优先级将毫无意义。
漏洞利用链用例和示例
以下漏洞利用链攻击场景的示例要么已发生在现实世界中,要么是假设的(但很可能发生)。
SolarWinds攻击
现实世界中,漏洞利用链攻击的最佳示例之一就是SolarWinds漏洞利用,它为我们展示了利用多个(需要修复的)漏洞和多个(需要保护的)供应链后门的强大破坏性。在这起事件中,攻击者首先利用软件供应链的关键层开发了一种高级持续威胁,这些关键层允许远程访问和提升私有网络内的特权。一旦后门向软件工厂打开,攻击者就能确保使用概念验证(PoC)漏洞利用通过已知(但由于各种原因尚未得到缓解的)漏洞进一步渗透目标系统。
针对移动设备的漏洞利用链
Netenrich公司首席威胁猎手John Bambenek发现,漏洞利用链最常用于移动设备。鉴于手机架构的性质,需要使用多种漏洞来获取root访问权限,以执行移动恶意软件所需的操作。安全公司Lookout的研究证实了这一点,该研究详细介绍了多种Android监控工具。
针对浏览器的漏洞利用链
针对浏览器漏洞的利用链同样存在可能性,Tripwire漏洞和暴露研究团队的成员Tyler Reguly发现,攻击者可以使用网络钓鱼电子邮件将用户引导到网页,然后再发起“路过式”(drive-by)攻击以利用浏览器漏洞。然后将它们与第二个漏洞链接以执行沙盒逃逸,然后是第三个漏洞以获取权限提升。
在这种场景中,攻击者希望利用漏洞在整个网络中传播并进入特定系统。Reguly补充道,“当我想到漏洞利用链时,脑力里总会浮现一副画面:《老友记》中罗斯反复大喊‘转轴(Pivot)’的场景。攻击者希望使用他们的漏洞利用链来创建枢轴点,以在系统和网络中移动。”
勒索软件攻击者使用的漏洞利用工具包
Turner表示,作为勒索软件攻击者和其他攻击者团体使用的商品化漏洞利用工具包的一部分,漏洞利用链正变得越来越普遍。两个流行的例子就是零点击漏洞利用链,用户不需要做任何事情就可以执行它;以及像ProxyLogon一样的东西,攻击者可以利用一系列漏洞来获得管理员访问权限,以执行他们想要的任何代码。
勒索软件组织经常使用这种方法在环境中快速站稳脚跟,以窃取数据,然后勒索组织。Turner补充道,“我们很有信心地预计,攻击者将利用众所周知的RCE漏洞(例如Log4j漏洞)创建额外的漏洞利用工具包,将一系列漏洞利用链接在一起,从而快速获得他们想要的系统/内核级别访问权限。”
漏洞利用链攻击防御建议
谈及降低漏洞利用链攻击风险时,Reguly强调称,要记住最重要的事情是你可以破坏“链”中的任何一环。一些损害可能已经造成,但断开任何一环都可以阻止进一步的潜在损害。一个强大而成熟的网络安全计划可以实施有效的技术、策略和程序(TTP),破坏“链”中的每个环节,提供最大数量的潜在缓解或保护来抵御每一种可能的攻击。
如果这一点在组织中行不通,可以思考一下“网络杀伤链”以及可以阻止它的点,也是很好的建议。虽然漏洞利用链可能让人望而生畏,但如果可以检测到某些东西(无论是在利用链中还是在其他攻击者行为中),响应者就可以了解问题并解决它。
对于Keizman来说,正面解决漏洞利用链需要大规模开源社区和闭源软件供应商之间的协调努力。开源软件开发实践已经并将提供很大帮助,但现在正是商业和开源软件开发阵营联合起来的最佳时机。
至于首席信息安全官,Keizman支持实施基于风险的整体网络卫生,而不是在每个漏洞出现时盲目地解决它们。企业必须制定策略在威胁发生之前解决它,并根据自己的特定业务需求进行优先级排序,否则将输掉这场比赛。
本文翻译自:https://www.csoonline.com/article/3645449/exploit-chains-explained-how-and-why-attackers-target-multiple-vulnerabilities.html