信息來源：4hou

一、前言

漏洞是影響網(wǎng)絡安全的重要因素，而漏洞攻擊作為惡意攻擊的最常用手段，更是有著目標行業(yè)化、手段多樣化的趨勢，不論是個人還是企業(yè)，都面臨著嚴峻的漏洞威脅。

2018年在轟動式的“幽靈”、“熔斷”兩大CPU漏洞中揭開序幕。“震網(wǎng)3漏洞利用挖礦”、“412掛馬風暴”等安全事件發(fā)生表明，漏洞利用攻擊，不再是APT組織的“專屬”，漏洞利用正往“低成本化”趨勢發(fā)展。過去一年，Windows、Office、IE、Flash等高危漏洞頻繁被曝光，而各種野外漏洞利用更是攻擊層出不窮，更給個人和企業(yè)的網(wǎng)絡安全帶來了嚴峻的威脅。本報告主要重點分析2018年Windows平臺的漏洞攻擊態(tài)勢，并給個人和企業(yè)合理化的漏洞防護建議。

二、2018年Windows平臺漏洞盤點

2018年對于安全行業(yè)是頗具考驗的一年，據(jù)安全數(shù)據(jù)庫網(wǎng)站cvedetails.com的漏洞提交數(shù)據(jù)統(tǒng)計，自1999年起，Windows操作系統(tǒng)的漏洞提交數(shù)量就呈逐年上漲的趨勢，而在近幾年達到了一個爆發(fā)期，今年的安全漏洞提交數(shù)相較過往三年同比上升最高超過40%，安全漏洞的數(shù)量和嚴重性創(chuàng)下歷史新高。

2.1 2018年Windows安全公告數(shù)量

在軟硬件漏洞遍地都是的今天，補丁管理作為網(wǎng)絡安全最基礎的一環(huán)，就顯得尤為重要。在企業(yè)選擇產(chǎn)品時亦需要注意廠商對其產(chǎn)品安全性的投入，只有軟件/平臺開發(fā)商對于產(chǎn)品安全性投入高，產(chǎn)品才有保障。微軟作為全球知名的軟件開發(fā)商，對其名下產(chǎn)品的安全性投入是比較到位的，每月都會進行維護發(fā)布補丁修復安全漏洞。2018全年微軟共為其產(chǎn)品(Windows,IE/Edge,office等)發(fā)布了874個補丁，修復了728個漏洞，平均每月修復多達60個漏洞。

2.2 Windows漏洞影響產(chǎn)品&系統(tǒng)分布

2018年，在所有漏洞影響的Windows產(chǎn)品中，Windows系統(tǒng)組件漏洞占到了35%的比例，瀏覽器漏洞占25%，Office漏洞則占比17% 。

根據(jù)騰訊御見威脅情報中心的數(shù)據(jù)監(jiān)測，雖然Office和Adobe(主要是Flash)被曝光的漏洞相對較少，但漏洞利用的比例最高?？梢姡诳吞暨x漏洞時，更可能是優(yōu)先考慮漏洞利用的成本，并參考其攻擊目標人群與產(chǎn)品用戶的重合度，而與產(chǎn)品本身漏洞量的多少并無正相關。

相比較2017年，2018年Office和.net的漏洞曝光量上升比較明顯，相對Windows系統(tǒng)組件漏洞，Office漏洞常被大家忽視，但卻備受黑客喜愛，眾多專業(yè)黑客組織對重要目標的攻擊，會選擇使用Office高危漏洞，騰訊御見威脅情報中心再次提醒大家需及時安裝Office漏洞補丁，避免偶然打開一個文檔就被植入后門。

在所有Windows各版本中，受到最多漏洞影響的卻是Windows 10系統(tǒng)，這說明Windows 10已是主流的操作系統(tǒng)版本，其漏洞曝光量正越來越多，同時提醒廣大用戶，即便使用最新版本的操作系統(tǒng)，也不可忽視漏洞風險，每個月及時安裝安全更新是防范黑客入侵的必要步驟。

從2017年同比數(shù)據(jù)也可以看出，Windows Server 2016上報告的漏洞數(shù)增加了近7%，同時可預測，針對新版服務器操作系統(tǒng)的漏洞也將越來越多。

2.3 2018年漏洞攻擊的地區(qū)&行業(yè)分布

2018年漏洞攻擊地區(qū)分布與當?shù)亟?jīng)濟水平及信息化普及程度相關。2018年漏洞攻擊集中在北上廣三地，其中以國家政府機關、高科技人才和經(jīng)濟富裕人士匯集的首都北京首當其沖。北上廣是全國經(jīng)濟、政治和科技要地，更是走在中國國際化的前列，大量可見利益匯集，是不法黑客首選的攻擊目標。

根據(jù)騰訊御見威脅情報中心數(shù)據(jù)監(jiān)測， Windows操作系統(tǒng)存在高危漏洞在教育、政府、衛(wèi)生醫(yī)療行業(yè)占比最高。

從受攻擊量的對比數(shù)據(jù)看，政府、教育、醫(yī)療衛(wèi)生行業(yè)因為其系統(tǒng)存在大量高危漏洞未及時修復，所受攻擊次數(shù)也相對較高。而科技行業(yè)雖然漏洞存在量相對較少，受攻擊量卻是最高的，這樣從另一方面說明，漏洞利用攻擊者通常是有目的針對性地采取攻擊，對科技行業(yè)的攻擊，泄取機密往往成為首選目的。

2.4 國內用戶整體漏洞修復情況&高危漏洞修復情況

2018國內用戶整體漏洞修復中，Windows漏洞和.NET漏洞達到了70%以上的修復率，其次是IE、Flash和Office漏洞修復率徘徊在60%上下。整體漏洞修復率偏低可以反映出國內的個人用戶目前的信息安全意識亟待提升，公眾對于安全漏洞的危害認知尚不到位。

而在四類高危漏洞（存在野外利用的漏洞）修復中，Windows高危漏洞達到了82%的修復率，其次是IE和.NET高危漏洞修復率約達到70%，F(xiàn)lash和Office高危漏洞則修復率較低，僅有約50%。

Flash高危漏洞修復率偏低是由于許多第三方軟件會自帶一個Flash插件，而微軟官方提供的Flash補丁僅能更新其中一小部分，無法完全覆蓋第三方瀏覽器目錄下的所有Flash插件，導致部分用戶電腦上的Flash漏洞較難得到徹底修復解決。

Office軟件本身對更新做的是相對較弱的提示，如果沒有第三方安全軟件的強提醒，一般用戶主動安裝補丁修復Office安全漏洞的較少；另一方面，國內存在大量盜版Office用戶，而這些盜版鏡像往往經(jīng)過鏡像制作者的修改，難以正常安裝補丁。對于重要的政府機構、企事業(yè)單位、科研機構來說，軟件系統(tǒng)的正版化對降低黑客入侵風險具有十分重要的意義。

2.5 Windows漏洞危害類型分布&漏洞危害等級分布

在2018年曝光的Windows平臺漏洞中，遠程執(zhí)行代碼類漏洞達到了42%的高占比，其次是信息泄露類漏洞和特權提升類漏洞各占20%。遠程執(zhí)行代碼類漏洞由于其兼具隱蔽性與自由度，廣受黑客攻擊者歡迎，今年曝出的兩個IE“雙殺”0day漏洞（CVE-2018-8174、CVE-2018-8373）就是被廣泛利用于惡意攻擊的最好例子。

2018年曝光的Windows平臺漏洞中，“危急”等級(漏洞危害最高等級)的漏洞占比23%，“危急”等級的漏洞量依然占據(jù)著較高的比例。

2.6 Windows漏洞利用病毒分布&被利用的漏洞分布

在2018年利用漏洞進行攻擊的病毒中，非PE（文件格式）占了66%的高比例，而PE文件占了31%。常見非PE漏洞攻擊病毒有Office宏類病毒、腳本類病毒。相比較PE，非PE病毒的攻擊手法更靈活，對安全軟件來說檢測非PE病毒更為困難。

2.7 2018年Windows平臺高危漏洞盤點

2018年1月，Microsoft Office公式編輯器再次曝出兩個高危漏洞CVE-2018-0798和CVE-2018-0802。CVE-2018-0798是Office公式編輯器在解析Matrix Record(0x05)的內容時，沒有對行與列的成員進行特定的長度校驗，這就導致黑客可以通過精心構造內容任意指定后續(xù)讀入的行與列長度，從而造成棧溢出。CVE-2018-0802技術原理與之類似，微軟在1月9日通過發(fā)布移除公式編輯器的補丁修復這兩個漏洞。

2月，Adobe Flash被曝出一個0day漏洞CVE-2018-4878。該漏洞影響版本在28.0.0.137以下的Adobe Flash，通過修改Flash腳本對象ByteArray的值至特殊長度來實現(xiàn)任意地址讀寫，實現(xiàn)漏洞利用，再將Adobe Flash Player嵌入Office文檔和郵件等載體中并誘使用戶打開的途徑快速傳播漏洞，在解析ATF文件時訪問內部數(shù)據(jù)結構使用了無效的指針偏移導致漏洞，成功攻擊后可能會導致敏感信息泄露。該漏洞在2月6日被修復；

3月，Ulf Frisk曝光了一個Windows內核提權高危漏洞Totel Meltdown(CVE-2018-1038 )。該漏洞是由微軟先前發(fā)布用于修復“Meltdown”漏洞的補丁產(chǎn)生的新問題，補丁錯誤地將PML4權限設定成用戶級，可以讓任意進程讀取并修改頁表項目，該漏洞僅影響Windows7 x64 和 Windows Server 2008 R2系統(tǒng)，并在3月29日被修復；

4月，Internet Explorer被曝出一個0day漏洞“雙殺”（CVE-2018-8174）。該漏洞通過VBScriptClass::Release函數(shù)中存在的缺陷訪問未分配內存，從而觸發(fā)漏洞達到任意地址讀寫的目的。該漏洞通過精心構造的頁面或往郵件或Office文檔中嵌入VBScript腳本即可觸發(fā)，危害性較強，也因此被命名為“雙殺”漏洞，且一遭曝光便第一時間被APT組織利用于黑客活動。該漏洞于5月8日被修復；

5月，Windows操作系統(tǒng)和Adobe Acrobat/Reader PDF閱讀器被ESET公布了兩個捆綁在一起的0day漏洞。（CVE-2018-8120、CVE-2018-4990）這是源于ESET在3月捕獲的用于攻擊測試的一個PDF樣本。CVE-2018-4990實際上是一個堆內存越界訪問任意地址釋放漏洞，原樣本精準地使用堆噴射布局內存，然后釋放兩塊大小為0xfff8的相鄰堆塊，在Windows堆分配算法將堆塊合并后，利用該堆塊改寫一個ArrayBuffer對象的長度為0x66666666從而實現(xiàn)任意地址讀寫。CVE-2018-8120則是由于內核函數(shù) SetImeInfoEx 未對其目標窗口站 tagWINDOWSTATION的指針成員域 spklList 的指向地址進行有效性校驗，而是直接進行讀取訪問。這兩個漏洞已在5月被修復；

6月，Windows 10被曝出一個0day漏洞（CVE-2018-8414）。這是一個Windows Shell 遠程執(zhí)行代碼漏洞，由于Windows Shell在某些情況下會不正確地驗證文件路徑，通過精心構造的惡意腳本觸發(fā)該漏洞，可以達到任意讀寫的目的。該漏洞僅適用于Windows 10的新文件類型“.SettingContent-ms”，該漏洞直到8月14日才正式分配CVE編號并修復。

7月，Internet Explorer被曝光0day漏洞“雙殺”二代（CVE-2018-8242），它的出現(xiàn)是由于4月“雙殺”一代（CVE-2018-8174）的修復補丁并未完全解決漏洞，導致VBScript腳本引擎中仍存在類似問題，該漏洞由360Vulcan團隊發(fā)現(xiàn)并提交，并在7月10日被修復；

8月，(1)Exchange Server被公開了一個內存損壞漏洞（CVE-2018-8302）的POC，攻擊者可使用釣魚攻擊觸發(fā)漏洞利用攻擊企業(yè)用戶計算機，并再次發(fā)起攻擊直至接管Exchange Server服務器。Exchange對語音郵件的接收存儲過程中，會轉換語音郵件讀取TopNWords.Data并通過.NET BinaryFormatter對它反序列化，該漏洞就存在于反序列化過程中。

(2)Internet Explorer被Trendmicro曝出0day漏洞“雙殺”三代（CVE-2018-8373），它基于與“雙殺”一代相似的原理，通過VBScript.dll中存在的缺陷獲取任意讀取權限。兩例漏洞都于8月14日被修復；

9月，(1)Windows被曝出ALPC提權0day漏洞（CVE-2018-8440），它通過高級本地過程調用(ALPC)函數(shù)中SchRpcSetSecurity函數(shù)無法正確檢查用戶權限的缺陷，獲得本地權限提升(LPE)來執(zhí)行惡意代碼。

(2)Microsoft Jet Database Engine被公開了一個遠程代碼執(zhí)行0day漏洞（CVE-2018-8423）的POC，該漏洞是一種越界（OOB）寫入漏洞，可誘導用戶打開包含以JET數(shù)據(jù)庫格式存儲的數(shù)據(jù)的特制文件，通過對象鏈接和嵌入數(shù)據(jù)庫（OLEDB）的Microsoft組件打開Jet源來觸發(fā)漏洞，發(fā)起攻擊。兩例漏洞分別于9月11日和10月9日被修復；

10月，(1)Microsoft Edge被公開了一個關于Windows Shell的RCE高危漏洞（CVE-2018-8495）的POC，攻擊者可以使用該漏洞利用POC，通過Microsoft Edge構造包含特殊URI的網(wǎng)頁，誘導用戶打開即可實現(xiàn)在遠程計算機上運行惡意代碼。漏洞是由于Windows Shell處理URI時，未過濾特殊的URI所導致（如拉起腳本的Windows Script Host的URI為wshfile）。

(2)Windows被曝出一個Win32k提權0day漏洞（CVE-2018-8453），它的利用過程較為復雜，簡言之是利用了在win32k.sys組件的win32kfull!xxxDestroyWindow函數(shù)中的UAF漏洞從而獲取本地提權。兩例漏洞都于10月9日修復；

11月，Windows再被曝出Win32k提權0day漏洞（CVE-2018-8589）。它的出現(xiàn)是由于在win32k!xxxMoveWindow函數(shù)中存在不恰當?shù)母偁帡l件，導致線程之間同時發(fā)送的信息可能被不當鎖定。該漏洞已在11月13日被修復；

12月，(1)Microsoft DNS Server被曝光存在一個堆溢出高危漏洞（CVE-2018-8626）。所有被設置為DNS服務器的Windows服務器都會受到此漏洞影響。攻擊者向Windows DNS服務器發(fā)送精心構造的漏洞利用惡意請求，以觸發(fā)堆溢出并遠程代碼執(zhí)行。漏洞于12月11日發(fā)布補丁修復。

(2)Windows連續(xù)第四個月被曝出0day漏洞。這次是一個更加高危的kernel內核事務管理器驅動程序的提權漏洞（CVE-2018-8611），它是源于kernel模式下對文件操作的不當處理引發(fā)內核事務管理器產(chǎn)生競爭條件，此漏洞繞過了現(xiàn)在主流web瀏覽器的進程緩解策略而從實現(xiàn)沙箱逃逸，這可讓黑客在web上構建完整的遠程代碼執(zhí)行攻擊鏈。該漏洞最初在10月29日被發(fā)現(xiàn)，微軟于12月11日分配CVE號并公布修復補?。?

三、2018典型漏洞安全事件

2018年的安全行業(yè)，可謂是“熱鬧非凡”。前有勒索病毒野火燒不盡，春風吹又生；后有隨著區(qū)塊鏈概念被炒熱，挖礦掛馬頻出；上有APT組織針對企業(yè)、政府、科研機構、事業(yè)單位的定向攻擊；下有針對外貿(mào)行業(yè)的“商貿(mào)信”釣魚郵件和針對個人用戶的釣魚郵件攻擊，小規(guī)模爆發(fā)。

而專業(yè)APT組織的攻擊手法，對普通病毒木馬黑產(chǎn)起到教科書般的指導和示范作用，致使高危漏洞的利用從高端到大眾快速傳播普及，高危漏洞對信息安全的影響力之大，由此便可見一斑。

3.1 “新一代幽靈”——英特爾CPU漏洞持續(xù)升級

繼年初發(fā)現(xiàn)的CPU漏洞Meltdown和Spectre后，英特爾處理器在2018年5月初又被Google Project Zero安全研究團隊曝出發(fā)現(xiàn)8個新的“幽靈式”硬件漏洞，被稱為“新一代幽靈”——Spectre-NG。利用該漏洞可繞過云主機系統(tǒng)與虛擬機的隔離，實現(xiàn)虛擬機逃逸，竊取機密信息。并且，利用該漏洞還可以攻擊同一服務器的其它虛擬機。

然而，在下半年再次發(fā)現(xiàn)了英特爾CPU存在TLBleed、Foreshadow、PortSmash等多個超線程漏洞。11月初發(fā)現(xiàn)的PortSmash漏洞（CVE-2018-5407）影響所有支持超線程技術的Intel處理器。利用該漏洞，攻擊者所在的進程可以竊取運行在同一個物理內核的另外一個進程的隱私數(shù)據(jù)，安全研究人員已經(jīng)實現(xiàn)從OpenSSL進程中竊取私鑰。

一系列的CPU漏洞，對芯片漏洞的修復同樣一波三折，倉促發(fā)布的補丁帶來新的風險，同時導致CPU性能下降，補丁不得不發(fā)行了多個版本，最終促使英特爾加快新一代處理器的發(fā)布進程，并成為把超線程技術徹底砍掉的最后一根稻草。

3.2 Office公式編輯器再曝新漏洞，商貿(mào)信釣魚攻擊屢試不爽 （CVE-2017-11882、CVE-2018-0802、CVE-2018-0798）

Office公式編輯器漏洞（CVE-2017-11882）是典型的棧溢出漏洞，存在于Eqnedit.exe組件中，該漏洞影響所有Office版本且極易利用，由于該漏洞在2017年11月14日僅僅被Windows添加了ASLR（地址隨機化）漏洞緩解措施，實際上并未真正修復，且大量用戶并不升級Office補丁，因此至今仍能見到許多野外攻擊案例。

2017年12月20日，騰訊御見威脅情報中心就發(fā)現(xiàn)Eqnedt32模塊還存在其他漏洞，同時捕獲了一例“黑鳳梨”（BlackTech）APT組織利用Office公式編輯器中的0day漏洞（CVE-2018-0802）進行攻擊的樣本，該樣本采用魚叉攻擊的方式將攜帶惡意代碼的Office文檔偽裝成辦公文件進行傳播，影響范圍較為廣泛。

2018年1月9日，Office公式編輯器再曝出新漏洞，這次Windows干脆直接通過刪掉公式編輯器的途徑來修復漏洞，一了百了。但漏洞補丁剛發(fā)布一周，就已開始出現(xiàn)多例CVE-2018-0798漏洞的變種和在野利用。

2018年2月26日騰訊御見威脅情報中心捕獲到doc文檔樣本利用了CVE-2017-11882，通過下載并運行已被公開源碼的“波尼”木馬，竊取用戶比特幣錢包文件等敏感信息。

2018年6月1日，騰訊御見威脅情報中心再次檢測到針對中國進出口企業(yè)投放的，利用CVE-2017-11882的大規(guī)?！吧藤Q(mào)信”攻擊，此類攻擊郵件的投放量每天達上千封之多，病毒變種也層出不窮。

由此可以預見，未來相當長的一段時間內，魚叉攻擊+簡單易用又十分符合辦公場景的Office公式編輯器漏洞，仍會成為備受歡迎的針對中小型企業(yè)的攻擊手段之一。

3.3 Adobe系列產(chǎn)品多次報警，0day漏洞屢遭曝光

3.3.1 Adobe Flash再曝0day野外利用（CVE-2018-4878、CVE-2018-5002）

2018年2月1日， Adobe官方發(fā)布了安全通告（APSA18-01）稱一個最新的Adobe Flash零日漏洞被發(fā)現(xiàn)用于針對韓國地區(qū)的人員發(fā)起魚叉攻擊。該0day漏洞編號為CVE-2018-4878，官方已于2月5日發(fā)布補丁進行修復。漏洞公布后，隨即發(fā)現(xiàn)大量垃圾郵件迅速利用該漏洞進行傳播，攻擊者發(fā)送帶有短鏈接的惡意Word文檔的電子郵件，在下載并打開Word文檔后，利用該漏洞打開命令行，再用鏈接到的惡意域的惡意shellcode遠程注入命令，下載一個名為m.db的DLL文件，并使用regsvr32進程執(zhí)行，完成攻擊鏈。

CVE-2018-5002則在2018年6月7日被發(fā)現(xiàn)野外利用，由APT組織Hacking Team通過即時聊天工具或郵箱發(fā)送包含外交部官員基本工資情況（阿拉伯語）的釣魚文檔進行攻擊，在誘餌文檔被用戶打開后在宿主進程excel中執(zhí)行惡意代碼，并利用假冒的網(wǎng)站作為木馬下載站達成進攻目的。攻擊者將Loader、Exploit、Payload實行分離部署，加大安全工程師逆向還原漏洞利用代碼的難度，顯然是經(jīng)過精心準備。

該APT組織費盡心思精心構造了攻擊鏈，并使用0day漏洞攻擊政府相關部門，可見其具有一定的政治意圖。

3.3.2 Adobe Reader被發(fā)現(xiàn)0day漏洞在野利用攻擊（CVE-2018-8120、CVE-2018-4990）

2018年5月15日， ESET捕獲了一個使用兩個0day漏洞聯(lián)合進行攻擊的PDF樣本，其中包括一個Adobe Reader的0day漏洞（CVE-2018-4990）和Win32k的內核提權0day漏洞（CVE-2018-8120）。

CVE-2018-8120是Win32k特權提升漏洞，CVE-2018-4990是Adobe Acrobat/Reader的堆內存越界訪問任意地址釋放漏洞，攻擊樣本通過CVE-2018-4990獲取代碼執(zhí)行權限，再通過利用內核提權漏洞繞過Adobe Acrobat/Reader的沙盒保護并實現(xiàn)任意代碼執(zhí)行。而有意思的是該樣本僅是一個測試樣本，兩個0day漏洞還沒來得及利用于攻擊便已被修復。

3.4 老漏洞被反復利用，“永恒之藍”是否真的永恒？

多數(shù)黑客進攻個人電腦和企業(yè)服務器的目的，還是從不法途徑謀取利益。往往是美味的蛋糕在哪里，不法黑客的身影就出現(xiàn)在哪里，病毒與木馬也就如影隨形地進攻到哪里。而這批利益至上的黑客們，對易用又穩(wěn)定的老漏洞可謂是愛不釋手，讓我們再來看看2018年那些利用老漏洞進行攻擊的熱點安全事件。

3.4.1 “永恒之藍”系列漏洞：從勒索病毒到挖礦木馬

“永恒之藍”是一個于2017年被曝光的，存在于445端口上的SMB文件共享協(xié)議漏洞，不法分子利用此漏洞獲取系統(tǒng)最高權限，將病毒木馬等惡意軟件植入Windows系統(tǒng)。近兩年來， “永恒之藍”漏洞已經(jīng)成為被利用程度最高的安全漏洞之一。

勒索病毒主要通過三種途徑傳播：漏洞利用、釣魚郵件和廣告。其中通過漏洞發(fā)起的攻擊占攻擊總數(shù)的80%以上，典型案例就是以利用“永恒之藍”漏洞主動傳播的蠕蟲式勒索病毒?！坝篮阒{”(WannaCry)可以說是開啟了勒索病毒的新時代，并將這樣的勢頭延續(xù)到了今年。另外，隨著區(qū)塊鏈的概念越發(fā)火熱，今年越來越多的人加入炒幣行列，而不法黑客自然不會放過這個牟利的好機會。

今年3月，騰訊御見情報威脅中心就捕獲一個門羅幣挖礦木馬WannaMiner利用“永恒之藍”漏洞在局域網(wǎng)內傳播，將染毒機器打造成龐大的僵尸網(wǎng)絡，長期潛伏挖礦，國內600多家企業(yè)超3萬臺電腦受到感染；

今年5月，捕獲一款門羅幣挖礦木馬“微笑”通過掃描“永恒之藍”漏洞攻擊企業(yè)服務器悄悄在后臺進行挖礦。該木馬從3月就開始活動，截至5月，其已經(jīng)累計挖取846枚門羅幣，挖礦收入一度高達120萬人民幣；

6月1日，捕獲一款Glupteba惡意代理木馬利用“永恒之藍”漏洞在局域網(wǎng)迅速傳播，感染量激增；

今年8月，臺積電曝出遭受WannaCry勒索病毒攻擊導致產(chǎn)線癱瘓，造成25.96億新臺幣損失；

8月9日，捕獲蠕蟲病毒bulehero利用“永恒之藍”漏洞在企業(yè)內網(wǎng)攻擊傳播；

11月，又有一家知名半導體企業(yè)合晶科技，其位于大陸的工廠全線感染W(wǎng)annaCry勒索病毒，造成產(chǎn)線癱瘓，工廠全部停產(chǎn)。

由于越大型的單位和機械系統(tǒng)，越追求穩(wěn)定性，使用的越是win7sp0、xp等微軟早已停止提供更新服務的操作系統(tǒng)，因此存在大量無法及時修復的漏洞。而只要漏洞場景存在，安全威脅就不會消失，與勒索病毒和挖礦木馬的抗爭，就必須持續(xù)進行下去。

3.4.2 國內首例利用“震網(wǎng)3”LNK漏洞實施挖礦

2018年3月，騰訊御見威脅情報中心監(jiān)測到，國內首例使用U盤作為傳播載體，利用lnk遠程代碼執(zhí)行漏洞（CVE-2017-8464）作為主要傳播手段的門羅幣挖礦木馬。

病毒樣本通過利用Lnk漏洞執(zhí)行惡意代碼，還會自動感染其它插入的可移動磁盤。使用U盤作為傳播載體，可被用來攻擊基礎設施、存放關鍵資料的核心隔離系統(tǒng)等，對政企單位的內網(wǎng)安全有較大威脅。由于該次攻擊主要影響群體為頻繁使用U盤進行文件傳送的局域網(wǎng)用戶，使得校園和政企等單位頻頻中招。

其實“震網(wǎng)3”這種通過快捷方式產(chǎn)生的漏洞本身沒什么技術含量，但由于其超鏈接的特性能夠執(zhí)行系統(tǒng)上任意程序或腳本，自由度極高且隱蔽性強而在漏洞利用攻擊中喜聞樂見。

3.4.3 “412”掛馬風暴（CVE-2016-0189）

2018年4月12日，騰訊御見威脅情報中心監(jiān)控到大量客戶端的內嵌新聞頁中被嵌入惡意代碼，導致用戶在毫無知情的情況，被植入挖礦木馬、銀行木馬、以及遠控木馬等。本波掛馬波及到的客戶端多達50多個，影響超過20w用戶，影響面非常之廣。該掛馬利用了一個2016年3月的vbscript腳本引擎損壞漏洞（CVE-2016-0189）來下載惡意腳本。CVE-2016-0189與今年新的IE“雙殺”0day漏洞CVE-2018-8174一樣，曾經(jīng)是一個被用于APT攻擊的0day漏洞，該漏洞利用了VBScript腳本引擎vbscript.dll中存在的數(shù)組訪問越界問題來執(zhí)行惡意代碼。

可以看到，黑客們也會“偷懶”，幾乎所有被大量使用的漏洞，都是那些簡單易用、穩(wěn)定又成功率高的漏洞。對于黑客而言，除非是為了完成一些特殊的任務，否則那些漏洞利用中的技術壁壘則是必須要考慮的因素之一。

3.5 Windows下半年頻現(xiàn)0day漏洞

今年是0day漏洞持續(xù)爆發(fā)的一年，Windows系產(chǎn)品可謂是多災多難，不僅在補丁發(fā)布和Win10子版本升級方面BUG頻出，讓用戶叫苦不迭；更是在短短半年時間內被連續(xù)曝出10個0day漏洞，7個已發(fā)現(xiàn)野外利用，而其中有6個在被發(fā)現(xiàn)的短短幾天時間內，就迅速被APT組織利用于盜竊企業(yè)、政府機構的機密信息，0day漏洞的重要性，從這些黑客的手上就能夠讀懂。

3.5.1 “雙殺”0day漏洞被APT組織DarkHotel（黑店）APT組織利用（CVE-2018-8174、CVE-2018-8242、CVE-2018-8373）

2018年4月18日，首個IE“雙殺”系列漏洞CVE-2018-8174的在野攻擊樣本被發(fā)現(xiàn)，由此開啟了Windows下半年每月“穩(wěn)定供應”一個0day漏洞的節(jié)奏。

據(jù)報道稱，該樣本來自一個被命名為Darkhotel(APT-C-06)的APT組織。該APT組織善于利用高危漏洞針對企事業(yè)單位進行定向攻擊，竊取國家機密，DarkHotel早在年初就利用Office公式編輯器漏洞發(fā)起過針對政府單位的攻擊。

在接下來的7月、8月里，Internet Explorer又相繼被曝出“雙殺”二代（CVE-2018-8242）和“雙殺”三代（CVE-2018-8373）0day漏洞。DarkHotel組織再度使用相同的攻擊技術，利用 “雙殺”三代針對企業(yè)高管、國防工業(yè)、電子工業(yè)等重要機構發(fā)起定向攻擊。

除被APT組織多次利用外，“雙殺”一代（CVE-2018-8174）還在6月16日被騰訊御見威脅情報中心捕獲到一個木馬傳播利用的案例。一款名為“流量寶流量版”的軟件在軟件內嵌的IE瀏覽器中利用該漏洞執(zhí)行shellcode并下載DDoS木馬和挖礦木馬等將受害電腦控制為肉雞。來自該樣本的漏洞利用攻擊請求次數(shù)，最高曾高達30多萬次。

3.5.2 APT組織Darkhydrus和摩訶草對CVE-2018-8414的利用

2018年6月，一種關于Windows 10新引入的文件類型“.SettingContent-ms”的任意代碼執(zhí)行攻擊技巧被公開了POC，該漏洞一遭公開就迅速被不法黑客和APT組織利用。在野外攻擊中，捕獲多個利用該0day漏洞的攻擊樣本。

據(jù)報道，曾發(fā)現(xiàn)Darkhydrus使用該漏洞利用技術，用于投遞DNS隧道通信攻擊，另外，疑似APT組織摩訶草也曾利用該漏洞投放攻擊樣本。

直到2018年8月14日微軟才發(fā)布相應漏洞補丁并給予漏洞編號CVE-2018-8414。

3.5.3 APT組織FruityArmor對CVE-2018-8453的利用

CVE-2018-8453是一個位于win32kfull!xxxDestroyWindow函數(shù)中的UAF遠程代碼漏洞，該漏洞最早在8月由卡巴斯基實驗室發(fā)現(xiàn)被APT組織FruityArmor利用于近期的攻擊活動中，據(jù)悉，卡巴斯基實驗室捕獲的攻擊樣本使用的shellcode長期以來只被FruityArmor在C2領域所使用，而這次，F(xiàn)uityArmor利用該漏洞發(fā)起的攻擊似乎有高度針對性，僅影響了中東地區(qū)的十幾名用戶。

3.5.4 APT組織SandCat對兩個0day提權漏洞的利用（CVE-2018-8589、CVE-2018-8611）

10月17日，卡巴斯基實驗室發(fā)現(xiàn)一例APT組織SandCat針對中東地區(qū)用戶進行的小范圍針對性攻擊，該攻擊利用了Windows Win32k本地提權漏洞CVE-2018-8589，該漏洞僅影響Windows 7 x86以及Windows Server 2008操作系統(tǒng)，暫時僅被發(fā)現(xiàn)利用于APT活動。

而該漏洞被發(fā)現(xiàn)還不到一個月，在10月29日，再次發(fā)現(xiàn)一個新的Windows內核提權0day漏洞CVE-2018-8611被同一組織利用。新的漏洞可以繞過了主流web瀏覽器的沙箱，相較于CVE-2018-8589而言更具威脅性。

Windows下半年被曝出的0day漏洞，幾乎都是通過APT組織投放的攻擊樣本發(fā)現(xiàn)，可以看出APT組織較喜愛利用0day漏洞，以達到出其不意，一擊必殺的目的，且將攻擊影響范圍縮到最小，確保攻擊活動的隱匿性。

四、如何做好漏洞防護

4.1.  個人用戶漏洞防護

4.1.1 及時修復安全漏洞開啟安全軟件實時防護

防范漏洞攻擊最直接有效的方法就是使用新版本的系統(tǒng)，并且及時修復系統(tǒng)環(huán)境中存在的安全漏洞。騰訊電腦管家漏洞云庫收集了超過千款補丁，支持Windows，Office，F(xiàn)lash等產(chǎn)品的漏洞修復，采用快速修復引擎，降低50%的漏洞修復時間，100%還原windows update功能，保證了漏洞修復的準確性和系統(tǒng)兼容性。并且開啟電腦管家實時防護可以有效攔截利用漏洞觸發(fā)傳播的病毒，有效彌補因各種原因未能及時修復漏洞的不足。

4.1.2 培養(yǎng)良好的計算機使用習慣

個人需提高計算機網(wǎng)絡安全意識，不輕易下載不明軟件程序，不輕易打開不明郵件夾帶的可疑附件，注意識別&不輕易打開可疑的網(wǎng)站，及時備份重要的數(shù)據(jù)文件。

4.2. 企業(yè)用戶漏洞防護

4.2.1 建立有效的漏洞情報監(jiān)控體系，建設完善的漏洞補丁管理能力

建立起有效的安全情報監(jiān)控體系，密切關注各大安全媒體如“御見威脅情報中心”的威脅情報預警。

同時需要做好生產(chǎn)力工具的安全管理，積極安裝最新補丁，修復漏洞，時刻保證個人/企業(yè)使用的設備、軟件、硬件的安全性，縮短漏洞平均存續(xù)期，可以大大減少被不法分子攻擊的可能。使用騰訊御點終端安全管理系統(tǒng)可以全網(wǎng)統(tǒng)一安裝系統(tǒng)補丁，提升客戶端的安全性。

4.2.2 安全演練，培養(yǎng)員工良好的信息安全意識

定期組織企業(yè)信息安全演練，以釣魚郵件、釣魚網(wǎng)頁、社會工程等擬真攻擊手段來提高員工安全意識，能使員工對信息安全有更深刻的印象與認識，從終端杜絕安全威脅。

五、回顧2018，展望2019

回顧2018，勒索病毒、挖礦木馬大行其道，智能合約、智能硬件、人工智能等新技術帶來新趨勢的同時更帶來新的安全威脅，全球各領域漏洞提交數(shù)量持續(xù)上漲而0day漏洞正變得愈發(fā)常見，全球各行各業(yè)的重大信息泄露事件層見迭出，APT組織帶有政治意味的攻擊也愈發(fā)猖狂，國際信息安全態(tài)勢正處于弓弦逐漸緊繃的時刻，而作為信息安全守護者的我們，更應該時刻思考如何應對新的變化，永遠做好迎接全新挑戰(zhàn)的準備。

5.1 思維進化，道高一丈

2018年12月，國內黑客就用一起典型的、針對軟件供應鏈發(fā)起的攻擊結合利用漏洞傳播木馬的安全事件（廣東省深圳市某知名軟件廠商軟件升級通道傳播木馬），拉開了安全攻防新時代的巨幕。在技術革新不斷發(fā)生的時代，“進攻方”的手段在不斷演化升級，作為“防守方”更要時刻開闊眼界，與時俱進，不死守陳舊的防守觀，追求“魔高一尺道高一丈”，才能真正成為信息安全的守護神。

5.2 千里之堤毀于蟻穴，人永遠是最大的漏洞

釣魚、廣告甚至社會工程學等傳統(tǒng)、低技術含量的手段能夠屢試不爽，成為黑客們最喜愛的傳播病毒、木馬的手段，恰恰說明了信息安全中最大的漏洞還是在人身上。低技術含量的攻擊手段本身，就是個高效的篩選器，可以過濾掉那些對計算機和網(wǎng)絡十分了解的精明用戶，將安全意識低下的目標人群篩選出來，真正地達到高精準的定點攻擊，基于這樣的情況，企業(yè)、政府等機構更是需要多進行安全事件演習，加強業(yè)務人員的信息安全意識，才能在真正意義上“修復漏洞”，保障信息安全。

5.3 需建設多維、立體的安全能力體系

安全漏洞涉及計算機的方方面面，企業(yè)信息安全不能再只作簡單的網(wǎng)絡隔離，更要全方位地加強企業(yè)生產(chǎn)力設備中網(wǎng)絡、軟件、硬件的安全性，做好補丁管理及時更新企業(yè)軟硬件，并建設一定的漏洞檢測、安全應急響應、威脅情報監(jiān)控、攻擊溯源追蹤能力，才能擁有一道更堅固的信息安全防火墻。