信息來源：4hou

一、前言

漏洞是影響網(wǎng)絡(luò)安全的重要因素，而漏洞攻擊作為惡意攻擊的最常用手段，更是有著目標(biāo)行業(yè)化、手段多樣化的趨勢(shì)，不論是個(gè)人還是企業(yè)，都面臨著嚴(yán)峻的漏洞威脅。

2018年在轟動(dòng)式的“幽靈”、“熔斷”兩大CPU漏洞中揭開序幕?！罢鹁W(wǎng)3漏洞利用挖礦”、“412掛馬風(fēng)暴”等安全事件發(fā)生表明，漏洞利用攻擊，不再是APT組織的“專屬”，漏洞利用正往“低成本化”趨勢(shì)發(fā)展。過去一年，Windows、Office、IE、Flash等高危漏洞頻繁被曝光，而各種野外漏洞利用更是攻擊層出不窮，更給個(gè)人和企業(yè)的網(wǎng)絡(luò)安全帶來了嚴(yán)峻的威脅。本報(bào)告主要重點(diǎn)分析2018年Windows平臺(tái)的漏洞攻擊態(tài)勢(shì)，并給個(gè)人和企業(yè)合理化的漏洞防護(hù)建議。

二、2018年Windows平臺(tái)漏洞盤點(diǎn)

2018年對(duì)于安全行業(yè)是頗具考驗(yàn)的一年，據(jù)安全數(shù)據(jù)庫網(wǎng)站cvedetails.com的漏洞提交數(shù)據(jù)統(tǒng)計(jì)，自1999年起，Windows操作系統(tǒng)的漏洞提交數(shù)量就呈逐年上漲的趨勢(shì)，而在近幾年達(dá)到了一個(gè)爆發(fā)期，今年的安全漏洞提交數(shù)相較過往三年同比上升最高超過40%，安全漏洞的數(shù)量和嚴(yán)重性創(chuàng)下歷史新高。

2.1 2018年Windows安全公告數(shù)量

在軟硬件漏洞遍地都是的今天，補(bǔ)丁管理作為網(wǎng)絡(luò)安全最基礎(chǔ)的一環(huán)，就顯得尤為重要。在企業(yè)選擇產(chǎn)品時(shí)亦需要注意廠商對(duì)其產(chǎn)品安全性的投入，只有軟件/平臺(tái)開發(fā)商對(duì)于產(chǎn)品安全性投入高，產(chǎn)品才有保障。微軟作為全球知名的軟件開發(fā)商，對(duì)其名下產(chǎn)品的安全性投入是比較到位的，每月都會(huì)進(jìn)行維護(hù)發(fā)布補(bǔ)丁修復(fù)安全漏洞。2018全年微軟共為其產(chǎn)品(Windows,IE/Edge,office等)發(fā)布了874個(gè)補(bǔ)丁，修復(fù)了728個(gè)漏洞，平均每月修復(fù)多達(dá)60個(gè)漏洞。

2.2 Windows漏洞影響產(chǎn)品&系統(tǒng)分布

2018年，在所有漏洞影響的Windows產(chǎn)品中，Windows系統(tǒng)組件漏洞占到了35%的比例，瀏覽器漏洞占25%，Office漏洞則占比17% 。

根據(jù)騰訊御見威脅情報(bào)中心的數(shù)據(jù)監(jiān)測(cè)，雖然Office和Adobe(主要是Flash)被曝光的漏洞相對(duì)較少，但漏洞利用的比例最高。可見，黑客挑選漏洞時(shí)，更可能是優(yōu)先考慮漏洞利用的成本，并參考其攻擊目標(biāo)人群與產(chǎn)品用戶的重合度，而與產(chǎn)品本身漏洞量的多少并無正相關(guān)。

相比較2017年，2018年Office和.net的漏洞曝光量上升比較明顯，相對(duì)Windows系統(tǒng)組件漏洞，Office漏洞常被大家忽視，但卻備受黑客喜愛，眾多專業(yè)黑客組織對(duì)重要目標(biāo)的攻擊，會(huì)選擇使用Office高危漏洞，騰訊御見威脅情報(bào)中心再次提醒大家需及時(shí)安裝Office漏洞補(bǔ)丁，避免偶然打開一個(gè)文檔就被植入后門。

在所有Windows各版本中，受到最多漏洞影響的卻是Windows 10系統(tǒng)，這說明Windows 10已是主流的操作系統(tǒng)版本，其漏洞曝光量正越來越多，同時(shí)提醒廣大用戶，即便使用最新版本的操作系統(tǒng)，也不可忽視漏洞風(fēng)險(xiǎn)，每個(gè)月及時(shí)安裝安全更新是防范黑客入侵的必要步驟。

從2017年同比數(shù)據(jù)也可以看出，Windows Server 2016上報(bào)告的漏洞數(shù)增加了近7%，同時(shí)可預(yù)測(cè)，針對(duì)新版服務(wù)器操作系統(tǒng)的漏洞也將越來越多。

2.3 2018年漏洞攻擊的地區(qū)&行業(yè)分布

2018年漏洞攻擊地區(qū)分布與當(dāng)?shù)亟?jīng)濟(jì)水平及信息化普及程度相關(guān)。2018年漏洞攻擊集中在北上廣三地，其中以國家政府機(jī)關(guān)、高科技人才和經(jīng)濟(jì)富裕人士匯集的首都北京首當(dāng)其沖。北上廣是全國經(jīng)濟(jì)、政治和科技要地，更是走在中國國際化的前列，大量可見利益匯集，是不法黑客首選的攻擊目標(biāo)。

根據(jù)騰訊御見威脅情報(bào)中心數(shù)據(jù)監(jiān)測(cè)， Windows操作系統(tǒng)存在高危漏洞在教育、政府、衛(wèi)生醫(yī)療行業(yè)占比最高。

從受攻擊量的對(duì)比數(shù)據(jù)看，政府、教育、醫(yī)療衛(wèi)生行業(yè)因?yàn)槠湎到y(tǒng)存在大量高危漏洞未及時(shí)修復(fù)，所受攻擊次數(shù)也相對(duì)較高。而科技行業(yè)雖然漏洞存在量相對(duì)較少，受攻擊量卻是最高的，這樣從另一方面說明，漏洞利用攻擊者通常是有目的針對(duì)性地采取攻擊，對(duì)科技行業(yè)的攻擊，泄取機(jī)密往往成為首選目的。

2.4 國內(nèi)用戶整體漏洞修復(fù)情況&高危漏洞修復(fù)情況

2018國內(nèi)用戶整體漏洞修復(fù)中，Windows漏洞和.NET漏洞達(dá)到了70%以上的修復(fù)率，其次是IE、Flash和Office漏洞修復(fù)率徘徊在60%上下。整體漏洞修復(fù)率偏低可以反映出國內(nèi)的個(gè)人用戶目前的信息安全意識(shí)亟待提升，公眾對(duì)于安全漏洞的危害認(rèn)知尚不到位。

而在四類高危漏洞（存在野外利用的漏洞）修復(fù)中，Windows高危漏洞達(dá)到了82%的修復(fù)率，其次是IE和.NET高危漏洞修復(fù)率約達(dá)到70%，F(xiàn)lash和Office高危漏洞則修復(fù)率較低，僅有約50%。

Flash高危漏洞修復(fù)率偏低是由于許多第三方軟件會(huì)自帶一個(gè)Flash插件，而微軟官方提供的Flash補(bǔ)丁僅能更新其中一小部分，無法完全覆蓋第三方瀏覽器目錄下的所有Flash插件，導(dǎo)致部分用戶電腦上的Flash漏洞較難得到徹底修復(fù)解決。

Office軟件本身對(duì)更新做的是相對(duì)較弱的提示，如果沒有第三方安全軟件的強(qiáng)提醒，一般用戶主動(dòng)安裝補(bǔ)丁修復(fù)Office安全漏洞的較少；另一方面，國內(nèi)存在大量盜版Office用戶，而這些盜版鏡像往往經(jīng)過鏡像制作者的修改，難以正常安裝補(bǔ)丁。對(duì)于重要的政府機(jī)構(gòu)、企事業(yè)單位、科研機(jī)構(gòu)來說，軟件系統(tǒng)的正版化對(duì)降低黑客入侵風(fēng)險(xiǎn)具有十分重要的意義。

2.5 Windows漏洞危害類型分布&漏洞危害等級(jí)分布

在2018年曝光的Windows平臺(tái)漏洞中，遠(yuǎn)程執(zhí)行代碼類漏洞達(dá)到了42%的高占比，其次是信息泄露類漏洞和特權(quán)提升類漏洞各占20%。遠(yuǎn)程執(zhí)行代碼類漏洞由于其兼具隱蔽性與自由度，廣受黑客攻擊者歡迎，今年曝出的兩個(gè)IE“雙殺”0day漏洞（CVE-2018-8174、CVE-2018-8373）就是被廣泛利用于惡意攻擊的最好例子。

2018年曝光的Windows平臺(tái)漏洞中，“危急”等級(jí)(漏洞危害最高等級(jí))的漏洞占比23%，“危急”等級(jí)的漏洞量依然占據(jù)著較高的比例。

2.6 Windows漏洞利用病毒分布&被利用的漏洞分布

在2018年利用漏洞進(jìn)行攻擊的病毒中，非PE（文件格式）占了66%的高比例，而PE文件占了31%。常見非PE漏洞攻擊病毒有Office宏類病毒、腳本類病毒。相比較PE，非PE病毒的攻擊手法更靈活，對(duì)安全軟件來說檢測(cè)非PE病毒更為困難。

2.7 2018年Windows平臺(tái)高危漏洞盤點(diǎn)

2018年1月，Microsoft Office公式編輯器再次曝出兩個(gè)高危漏洞CVE-2018-0798和CVE-2018-0802。CVE-2018-0798是Office公式編輯器在解析Matrix Record(0x05)的內(nèi)容時(shí)，沒有對(duì)行與列的成員進(jìn)行特定的長度校驗(yàn)，這就導(dǎo)致黑客可以通過精心構(gòu)造內(nèi)容任意指定后續(xù)讀入的行與列長度，從而造成棧溢出。CVE-2018-0802技術(shù)原理與之類似，微軟在1月9日通過發(fā)布移除公式編輯器的補(bǔ)丁修復(fù)這兩個(gè)漏洞。

2月，Adobe Flash被曝出一個(gè)0day漏洞CVE-2018-4878。該漏洞影響版本在28.0.0.137以下的Adobe Flash，通過修改Flash腳本對(duì)象ByteArray的值至特殊長度來實(shí)現(xiàn)任意地址讀寫，實(shí)現(xiàn)漏洞利用，再將Adobe Flash Player嵌入Office文檔和郵件等載體中并誘使用戶打開的途徑快速傳播漏洞，在解析ATF文件時(shí)訪問內(nèi)部數(shù)據(jù)結(jié)構(gòu)使用了無效的指針偏移導(dǎo)致漏洞，成功攻擊后可能會(huì)導(dǎo)致敏感信息泄露。該漏洞在2月6日被修復(fù)；

3月，Ulf Frisk曝光了一個(gè)Windows內(nèi)核提權(quán)高危漏洞Totel Meltdown(CVE-2018-1038 )。該漏洞是由微軟先前發(fā)布用于修復(fù)“Meltdown”漏洞的補(bǔ)丁產(chǎn)生的新問題，補(bǔ)丁錯(cuò)誤地將PML4權(quán)限設(shè)定成用戶級(jí)，可以讓任意進(jìn)程讀取并修改頁表項(xiàng)目，該漏洞僅影響Windows7 x64 和 Windows Server 2008 R2系統(tǒng)，并在3月29日被修復(fù)；

4月，Internet Explorer被曝出一個(gè)0day漏洞“雙殺”（CVE-2018-8174）。該漏洞通過VBScriptClass::Release函數(shù)中存在的缺陷訪問未分配內(nèi)存，從而觸發(fā)漏洞達(dá)到任意地址讀寫的目的。該漏洞通過精心構(gòu)造的頁面或往郵件或Office文檔中嵌入VBScript腳本即可觸發(fā)，危害性較強(qiáng)，也因此被命名為“雙殺”漏洞，且一遭曝光便第一時(shí)間被APT組織利用于黑客活動(dòng)。該漏洞于5月8日被修復(fù)；

5月，Windows操作系統(tǒng)和Adobe Acrobat/Reader PDF閱讀器被ESET公布了兩個(gè)捆綁在一起的0day漏洞。（CVE-2018-8120、CVE-2018-4990）這是源于ESET在3月捕獲的用于攻擊測(cè)試的一個(gè)PDF樣本。CVE-2018-4990實(shí)際上是一個(gè)堆內(nèi)存越界訪問任意地址釋放漏洞，原樣本精準(zhǔn)地使用堆噴射布局內(nèi)存，然后釋放兩塊大小為0xfff8的相鄰堆塊，在Windows堆分配算法將堆塊合并后，利用該堆塊改寫一個(gè)ArrayBuffer對(duì)象的長度為0x66666666從而實(shí)現(xiàn)任意地址讀寫。CVE-2018-8120則是由于內(nèi)核函數(shù) SetImeInfoEx 未對(duì)其目標(biāo)窗口站 tagWINDOWSTATION的指針成員域 spklList 的指向地址進(jìn)行有效性校驗(yàn)，而是直接進(jìn)行讀取訪問。這兩個(gè)漏洞已在5月被修復(fù)；

6月，Windows 10被曝出一個(gè)0day漏洞（CVE-2018-8414）。這是一個(gè)Windows Shell 遠(yuǎn)程執(zhí)行代碼漏洞，由于Windows Shell在某些情況下會(huì)不正確地驗(yàn)證文件路徑，通過精心構(gòu)造的惡意腳本觸發(fā)該漏洞，可以達(dá)到任意讀寫的目的。該漏洞僅適用于Windows 10的新文件類型“.SettingContent-ms”，該漏洞直到8月14日才正式分配CVE編號(hào)并修復(fù)。

7月，Internet Explorer被曝光0day漏洞“雙殺”二代（CVE-2018-8242），它的出現(xiàn)是由于4月“雙殺”一代（CVE-2018-8174）的修復(fù)補(bǔ)丁并未完全解決漏洞，導(dǎo)致VBScript腳本引擎中仍存在類似問題，該漏洞由360Vulcan團(tuán)隊(duì)發(fā)現(xiàn)并提交，并在7月10日被修復(fù)；

8月，(1)Exchange Server被公開了一個(gè)內(nèi)存損壞漏洞（CVE-2018-8302）的POC，攻擊者可使用釣魚攻擊觸發(fā)漏洞利用攻擊企業(yè)用戶計(jì)算機(jī)，并再次發(fā)起攻擊直至接管Exchange Server服務(wù)器。Exchange對(duì)語音郵件的接收存儲(chǔ)過程中，會(huì)轉(zhuǎn)換語音郵件讀取TopNWords.Data并通過.NET BinaryFormatter對(duì)它反序列化，該漏洞就存在于反序列化過程中。

(2)Internet Explorer被Trendmicro曝出0day漏洞“雙殺”三代（CVE-2018-8373），它基于與“雙殺”一代相似的原理，通過VBScript.dll中存在的缺陷獲取任意讀取權(quán)限。兩例漏洞都于8月14日被修復(fù)；

9月，(1)Windows被曝出ALPC提權(quán)0day漏洞（CVE-2018-8440），它通過高級(jí)本地過程調(diào)用(ALPC)函數(shù)中SchRpcSetSecurity函數(shù)無法正確檢查用戶權(quán)限的缺陷，獲得本地權(quán)限提升(LPE)來執(zhí)行惡意代碼。

(2)Microsoft Jet Database Engine被公開了一個(gè)遠(yuǎn)程代碼執(zhí)行0day漏洞（CVE-2018-8423）的POC，該漏洞是一種越界（OOB）寫入漏洞，可誘導(dǎo)用戶打開包含以JET數(shù)據(jù)庫格式存儲(chǔ)的數(shù)據(jù)的特制文件，通過對(duì)象鏈接和嵌入數(shù)據(jù)庫（OLEDB）的Microsoft組件打開Jet源來觸發(fā)漏洞，發(fā)起攻擊。兩例漏洞分別于9月11日和10月9日被修復(fù)；

10月，(1)Microsoft Edge被公開了一個(gè)關(guān)于Windows Shell的RCE高危漏洞（CVE-2018-8495）的POC，攻擊者可以使用該漏洞利用POC，通過Microsoft Edge構(gòu)造包含特殊URI的網(wǎng)頁，誘導(dǎo)用戶打開即可實(shí)現(xiàn)在遠(yuǎn)程計(jì)算機(jī)上運(yùn)行惡意代碼。漏洞是由于Windows Shell處理URI時(shí)，未過濾特殊的URI所導(dǎo)致（如拉起腳本的Windows Script Host的URI為wshfile）。

(2)Windows被曝出一個(gè)Win32k提權(quán)0day漏洞（CVE-2018-8453），它的利用過程較為復(fù)雜，簡言之是利用了在win32k.sys組件的win32kfull!xxxDestroyWindow函數(shù)中的UAF漏洞從而獲取本地提權(quán)。兩例漏洞都于10月9日修復(fù)；

11月，Windows再被曝出Win32k提權(quán)0day漏洞（CVE-2018-8589）。它的出現(xiàn)是由于在win32k!xxxMoveWindow函數(shù)中存在不恰當(dāng)?shù)母偁帡l件，導(dǎo)致線程之間同時(shí)發(fā)送的信息可能被不當(dāng)鎖定。該漏洞已在11月13日被修復(fù)；

12月，(1)Microsoft DNS Server被曝光存在一個(gè)堆溢出高危漏洞（CVE-2018-8626）。所有被設(shè)置為DNS服務(wù)器的Windows服務(wù)器都會(huì)受到此漏洞影響。攻擊者向Windows DNS服務(wù)器發(fā)送精心構(gòu)造的漏洞利用惡意請(qǐng)求，以觸發(fā)堆溢出并遠(yuǎn)程代碼執(zhí)行。漏洞于12月11日發(fā)布補(bǔ)丁修復(fù)。

(2)Windows連續(xù)第四個(gè)月被曝出0day漏洞。這次是一個(gè)更加高危的kernel內(nèi)核事務(wù)管理器驅(qū)動(dòng)程序的提權(quán)漏洞（CVE-2018-8611），它是源于kernel模式下對(duì)文件操作的不當(dāng)處理引發(fā)內(nèi)核事務(wù)管理器產(chǎn)生競爭條件，此漏洞繞過了現(xiàn)在主流web瀏覽器的進(jìn)程緩解策略而從實(shí)現(xiàn)沙箱逃逸，這可讓黑客在web上構(gòu)建完整的遠(yuǎn)程代碼執(zhí)行攻擊鏈。該漏洞最初在10月29日被發(fā)現(xiàn)，微軟于12月11日分配CVE號(hào)并公布修復(fù)補(bǔ)??；

三、2018典型漏洞安全事件

2018年的安全行業(yè)，可謂是“熱鬧非凡”。前有勒索病毒野火燒不盡，春風(fēng)吹又生；后有隨著區(qū)塊鏈概念被炒熱，挖礦掛馬頻出；上有APT組織針對(duì)企業(yè)、政府、科研機(jī)構(gòu)、事業(yè)單位的定向攻擊；下有針對(duì)外貿(mào)行業(yè)的“商貿(mào)信”釣魚郵件和針對(duì)個(gè)人用戶的釣魚郵件攻擊，小規(guī)模爆發(fā)。

而專業(yè)APT組織的攻擊手法，對(duì)普通病毒木馬黑產(chǎn)起到教科書般的指導(dǎo)和示范作用，致使高危漏洞的利用從高端到大眾快速傳播普及，高危漏洞對(duì)信息安全的影響力之大，由此便可見一斑。

3.1 “新一代幽靈”——英特爾CPU漏洞持續(xù)升級(jí)

繼年初發(fā)現(xiàn)的CPU漏洞Meltdown和Spectre后，英特爾處理器在2018年5月初又被Google Project Zero安全研究團(tuán)隊(duì)曝出發(fā)現(xiàn)8個(gè)新的“幽靈式”硬件漏洞，被稱為“新一代幽靈”——Spectre-NG。利用該漏洞可繞過云主機(jī)系統(tǒng)與虛擬機(jī)的隔離，實(shí)現(xiàn)虛擬機(jī)逃逸，竊取機(jī)密信息。并且，利用該漏洞還可以攻擊同一服務(wù)器的其它虛擬機(jī)。

然而，在下半年再次發(fā)現(xiàn)了英特爾CPU存在TLBleed、Foreshadow、PortSmash等多個(gè)超線程漏洞。11月初發(fā)現(xiàn)的PortSmash漏洞（CVE-2018-5407）影響所有支持超線程技術(shù)的Intel處理器。利用該漏洞，攻擊者所在的進(jìn)程可以竊取運(yùn)行在同一個(gè)物理內(nèi)核的另外一個(gè)進(jìn)程的隱私數(shù)據(jù)，安全研究人員已經(jīng)實(shí)現(xiàn)從OpenSSL進(jìn)程中竊取私鑰。

一系列的CPU漏洞，對(duì)芯片漏洞的修復(fù)同樣一波三折，倉促發(fā)布的補(bǔ)丁帶來新的風(fēng)險(xiǎn)，同時(shí)導(dǎo)致CPU性能下降，補(bǔ)丁不得不發(fā)行了多個(gè)版本，最終促使英特爾加快新一代處理器的發(fā)布進(jìn)程，并成為把超線程技術(shù)徹底砍掉的最后一根稻草。

3.2 Office公式編輯器再曝新漏洞，商貿(mào)信釣魚攻擊屢試不爽 （CVE-2017-11882、CVE-2018-0802、CVE-2018-0798）

Office公式編輯器漏洞（CVE-2017-11882）是典型的棧溢出漏洞，存在于Eqnedit.exe組件中，該漏洞影響所有Office版本且極易利用，由于該漏洞在2017年11月14日僅僅被Windows添加了ASLR（地址隨機(jī)化）漏洞緩解措施，實(shí)際上并未真正修復(fù)，且大量用戶并不升級(jí)Office補(bǔ)丁，因此至今仍能見到許多野外攻擊案例。

2017年12月20日，騰訊御見威脅情報(bào)中心就發(fā)現(xiàn)Eqnedt32模塊還存在其他漏洞，同時(shí)捕獲了一例“黑鳳梨”（BlackTech）APT組織利用Office公式編輯器中的0day漏洞（CVE-2018-0802）進(jìn)行攻擊的樣本，該樣本采用魚叉攻擊的方式將攜帶惡意代碼的Office文檔偽裝成辦公文件進(jìn)行傳播，影響范圍較為廣泛。

2018年1月9日，Office公式編輯器再曝出新漏洞，這次Windows干脆直接通過刪掉公式編輯器的途徑來修復(fù)漏洞，一了百了。但漏洞補(bǔ)丁剛發(fā)布一周，就已開始出現(xiàn)多例CVE-2018-0798漏洞的變種和在野利用。

2018年2月26日騰訊御見威脅情報(bào)中心捕獲到doc文檔樣本利用了CVE-2017-11882，通過下載并運(yùn)行已被公開源碼的“波尼”木馬，竊取用戶比特幣錢包文件等敏感信息。

2018年6月1日，騰訊御見威脅情報(bào)中心再次檢測(cè)到針對(duì)中國進(jìn)出口企業(yè)投放的，利用CVE-2017-11882的大規(guī)模“商貿(mào)信”攻擊，此類攻擊郵件的投放量每天達(dá)上千封之多，病毒變種也層出不窮。

由此可以預(yù)見，未來相當(dāng)長的一段時(shí)間內(nèi)，魚叉攻擊+簡單易用又十分符合辦公場(chǎng)景的Office公式編輯器漏洞，仍會(huì)成為備受歡迎的針對(duì)中小型企業(yè)的攻擊手段之一。

3.3 Adobe系列產(chǎn)品多次報(bào)警，0day漏洞屢遭曝光

3.3.1 Adobe Flash再曝0day野外利用（CVE-2018-4878、CVE-2018-5002）

2018年2月1日， Adobe官方發(fā)布了安全通告（APSA18-01）稱一個(gè)最新的Adobe Flash零日漏洞被發(fā)現(xiàn)用于針對(duì)韓國地區(qū)的人員發(fā)起魚叉攻擊。該0day漏洞編號(hào)為CVE-2018-4878，官方已于2月5日發(fā)布補(bǔ)丁進(jìn)行修復(fù)。漏洞公布后，隨即發(fā)現(xiàn)大量垃圾郵件迅速利用該漏洞進(jìn)行傳播，攻擊者發(fā)送帶有短鏈接的惡意Word文檔的電子郵件，在下載并打開Word文檔后，利用該漏洞打開命令行，再用鏈接到的惡意域的惡意shellcode遠(yuǎn)程注入命令，下載一個(gè)名為m.db的DLL文件，并使用regsvr32進(jìn)程執(zhí)行，完成攻擊鏈。

CVE-2018-5002則在2018年6月7日被發(fā)現(xiàn)野外利用，由APT組織Hacking Team通過即時(shí)聊天工具或郵箱發(fā)送包含外交部官員基本工資情況（阿拉伯語）的釣魚文檔進(jìn)行攻擊，在誘餌文檔被用戶打開后在宿主進(jìn)程excel中執(zhí)行惡意代碼，并利用假冒的網(wǎng)站作為木馬下載站達(dá)成進(jìn)攻目的。攻擊者將Loader、Exploit、Payload實(shí)行分離部署，加大安全工程師逆向還原漏洞利用代碼的難度，顯然是經(jīng)過精心準(zhǔn)備。

該APT組織費(fèi)盡心思精心構(gòu)造了攻擊鏈，并使用0day漏洞攻擊政府相關(guān)部門，可見其具有一定的政治意圖。

3.3.2 Adobe Reader被發(fā)現(xiàn)0day漏洞在野利用攻擊（CVE-2018-8120、CVE-2018-4990）

2018年5月15日， ESET捕獲了一個(gè)使用兩個(gè)0day漏洞聯(lián)合進(jìn)行攻擊的PDF樣本，其中包括一個(gè)Adobe Reader的0day漏洞（CVE-2018-4990）和Win32k的內(nèi)核提權(quán)0day漏洞（CVE-2018-8120）。

CVE-2018-8120是Win32k特權(quán)提升漏洞，CVE-2018-4990是Adobe Acrobat/Reader的堆內(nèi)存越界訪問任意地址釋放漏洞，攻擊樣本通過CVE-2018-4990獲取代碼執(zhí)行權(quán)限，再通過利用內(nèi)核提權(quán)漏洞繞過Adobe Acrobat/Reader的沙盒保護(hù)并實(shí)現(xiàn)任意代碼執(zhí)行。而有意思的是該樣本僅是一個(gè)測(cè)試樣本，兩個(gè)0day漏洞還沒來得及利用于攻擊便已被修復(fù)。

3.4 老漏洞被反復(fù)利用，“永恒之藍(lán)”是否真的永恒？

多數(shù)黑客進(jìn)攻個(gè)人電腦和企業(yè)服務(wù)器的目的，還是從不法途徑謀取利益。往往是美味的蛋糕在哪里，不法黑客的身影就出現(xiàn)在哪里，病毒與木馬也就如影隨形地進(jìn)攻到哪里。而這批利益至上的黑客們，對(duì)易用又穩(wěn)定的老漏洞可謂是愛不釋手，讓我們?cè)賮砜纯?018年那些利用老漏洞進(jìn)行攻擊的熱點(diǎn)安全事件。

3.4.1 “永恒之藍(lán)”系列漏洞：從勒索病毒到挖礦木馬

“永恒之藍(lán)”是一個(gè)于2017年被曝光的，存在于445端口上的SMB文件共享協(xié)議漏洞，不法分子利用此漏洞獲取系統(tǒng)最高權(quán)限，將病毒木馬等惡意軟件植入Windows系統(tǒng)。近兩年來， “永恒之藍(lán)”漏洞已經(jīng)成為被利用程度最高的安全漏洞之一。

勒索病毒主要通過三種途徑傳播：漏洞利用、釣魚郵件和廣告。其中通過漏洞發(fā)起的攻擊占攻擊總數(shù)的80%以上，典型案例就是以利用“永恒之藍(lán)”漏洞主動(dòng)傳播的蠕蟲式勒索病毒。“永恒之藍(lán)”(WannaCry)可以說是開啟了勒索病毒的新時(shí)代，并將這樣的勢(shì)頭延續(xù)到了今年。另外，隨著區(qū)塊鏈的概念越發(fā)火熱，今年越來越多的人加入炒幣行列，而不法黑客自然不會(huì)放過這個(gè)牟利的好機(jī)會(huì)。

今年3月，騰訊御見情報(bào)威脅中心就捕獲一個(gè)門羅幣挖礦木馬WannaMiner利用“永恒之藍(lán)”漏洞在局域網(wǎng)內(nèi)傳播，將染毒機(jī)器打造成龐大的僵尸網(wǎng)絡(luò)，長期潛伏挖礦，國內(nèi)600多家企業(yè)超3萬臺(tái)電腦受到感染；

今年5月，捕獲一款門羅幣挖礦木馬“微笑”通過掃描“永恒之藍(lán)”漏洞攻擊企業(yè)服務(wù)器悄悄在后臺(tái)進(jìn)行挖礦。該木馬從3月就開始活動(dòng)，截至5月，其已經(jīng)累計(jì)挖取846枚門羅幣，挖礦收入一度高達(dá)120萬人民幣；

6月1日，捕獲一款Glupteba惡意代理木馬利用“永恒之藍(lán)”漏洞在局域網(wǎng)迅速傳播，感染量激增；

今年8月，臺(tái)積電曝出遭受WannaCry勒索病毒攻擊導(dǎo)致產(chǎn)線癱瘓，造成25.96億新臺(tái)幣損失；

8月9日，捕獲蠕蟲病毒bulehero利用“永恒之藍(lán)”漏洞在企業(yè)內(nèi)網(wǎng)攻擊傳播；

11月，又有一家知名半導(dǎo)體企業(yè)合晶科技，其位于大陸的工廠全線感染W(wǎng)annaCry勒索病毒，造成產(chǎn)線癱瘓，工廠全部停產(chǎn)。

由于越大型的單位和機(jī)械系統(tǒng)，越追求穩(wěn)定性，使用的越是win7sp0、xp等微軟早已停止提供更新服務(wù)的操作系統(tǒng)，因此存在大量無法及時(shí)修復(fù)的漏洞。而只要漏洞場(chǎng)景存在，安全威脅就不會(huì)消失，與勒索病毒和挖礦木馬的抗?fàn)?，就必須持續(xù)進(jìn)行下去。

3.4.2 國內(nèi)首例利用“震網(wǎng)3”LNK漏洞實(shí)施挖礦

2018年3月，騰訊御見威脅情報(bào)中心監(jiān)測(cè)到，國內(nèi)首例使用U盤作為傳播載體，利用lnk遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2017-8464）作為主要傳播手段的門羅幣挖礦木馬。

病毒樣本通過利用Lnk漏洞執(zhí)行惡意代碼，還會(huì)自動(dòng)感染其它插入的可移動(dòng)磁盤。使用U盤作為傳播載體，可被用來攻擊基礎(chǔ)設(shè)施、存放關(guān)鍵資料的核心隔離系統(tǒng)等，對(duì)政企單位的內(nèi)網(wǎng)安全有較大威脅。由于該次攻擊主要影響群體為頻繁使用U盤進(jìn)行文件傳送的局域網(wǎng)用戶，使得校園和政企等單位頻頻中招。

其實(shí)“震網(wǎng)3”這種通過快捷方式產(chǎn)生的漏洞本身沒什么技術(shù)含量，但由于其超鏈接的特性能夠執(zhí)行系統(tǒng)上任意程序或腳本，自由度極高且隱蔽性強(qiáng)而在漏洞利用攻擊中喜聞樂見。

3.4.3 “412”掛馬風(fēng)暴（CVE-2016-0189）

2018年4月12日，騰訊御見威脅情報(bào)中心監(jiān)控到大量客戶端的內(nèi)嵌新聞頁中被嵌入惡意代碼，導(dǎo)致用戶在毫無知情的情況，被植入挖礦木馬、銀行木馬、以及遠(yuǎn)控木馬等。本波掛馬波及到的客戶端多達(dá)50多個(gè)，影響超過20w用戶，影響面非常之廣。該掛馬利用了一個(gè)2016年3月的vbscript腳本引擎損壞漏洞（CVE-2016-0189）來下載惡意腳本。CVE-2016-0189與今年新的IE“雙殺”0day漏洞CVE-2018-8174一樣，曾經(jīng)是一個(gè)被用于APT攻擊的0day漏洞，該漏洞利用了VBScript腳本引擎vbscript.dll中存在的數(shù)組訪問越界問題來執(zhí)行惡意代碼。

可以看到，黑客們也會(huì)“偷懶”，幾乎所有被大量使用的漏洞，都是那些簡單易用、穩(wěn)定又成功率高的漏洞。對(duì)于黑客而言，除非是為了完成一些特殊的任務(wù)，否則那些漏洞利用中的技術(shù)壁壘則是必須要考慮的因素之一。

3.5 Windows下半年頻現(xiàn)0day漏洞

今年是0day漏洞持續(xù)爆發(fā)的一年，Windows系產(chǎn)品可謂是多災(zāi)多難，不僅在補(bǔ)丁發(fā)布和Win10子版本升級(jí)方面BUG頻出，讓用戶叫苦不迭；更是在短短半年時(shí)間內(nèi)被連續(xù)曝出10個(gè)0day漏洞，7個(gè)已發(fā)現(xiàn)野外利用，而其中有6個(gè)在被發(fā)現(xiàn)的短短幾天時(shí)間內(nèi)，就迅速被APT組織利用于盜竊企業(yè)、政府機(jī)構(gòu)的機(jī)密信息，0day漏洞的重要性，從這些黑客的手上就能夠讀懂。

3.5.1 “雙殺”0day漏洞被APT組織DarkHotel（黑店）APT組織利用（CVE-2018-8174、CVE-2018-8242、CVE-2018-8373）

2018年4月18日，首個(gè)IE“雙殺”系列漏洞CVE-2018-8174的在野攻擊樣本被發(fā)現(xiàn)，由此開啟了Windows下半年每月“穩(wěn)定供應(yīng)”一個(gè)0day漏洞的節(jié)奏。

據(jù)報(bào)道稱，該樣本來自一個(gè)被命名為Darkhotel(APT-C-06)的APT組織。該APT組織善于利用高危漏洞針對(duì)企事業(yè)單位進(jìn)行定向攻擊，竊取國家機(jī)密，DarkHotel早在年初就利用Office公式編輯器漏洞發(fā)起過針對(duì)政府單位的攻擊。

在接下來的7月、8月里，Internet Explorer又相繼被曝出“雙殺”二代（CVE-2018-8242）和“雙殺”三代（CVE-2018-8373）0day漏洞。DarkHotel組織再度使用相同的攻擊技術(shù)，利用 “雙殺”三代針對(duì)企業(yè)高管、國防工業(yè)、電子工業(yè)等重要機(jī)構(gòu)發(fā)起定向攻擊。

除被APT組織多次利用外，“雙殺”一代（CVE-2018-8174）還在6月16日被騰訊御見威脅情報(bào)中心捕獲到一個(gè)木馬傳播利用的案例。一款名為“流量寶流量版”的軟件在軟件內(nèi)嵌的IE瀏覽器中利用該漏洞執(zhí)行shellcode并下載DDoS木馬和挖礦木馬等將受害電腦控制為肉雞。來自該樣本的漏洞利用攻擊請(qǐng)求次數(shù)，最高曾高達(dá)30多萬次。

3.5.2 APT組織Darkhydrus和摩訶草對(duì)CVE-2018-8414的利用

2018年6月，一種關(guān)于Windows 10新引入的文件類型“.SettingContent-ms”的任意代碼執(zhí)行攻擊技巧被公開了POC，該漏洞一遭公開就迅速被不法黑客和APT組織利用。在野外攻擊中，捕獲多個(gè)利用該0day漏洞的攻擊樣本。

據(jù)報(bào)道，曾發(fā)現(xiàn)Darkhydrus使用該漏洞利用技術(shù)，用于投遞DNS隧道通信攻擊，另外，疑似APT組織摩訶草也曾利用該漏洞投放攻擊樣本。

直到2018年8月14日微軟才發(fā)布相應(yīng)漏洞補(bǔ)丁并給予漏洞編號(hào)CVE-2018-8414。

3.5.3 APT組織FruityArmor對(duì)CVE-2018-8453的利用

CVE-2018-8453是一個(gè)位于win32kfull!xxxDestroyWindow函數(shù)中的UAF遠(yuǎn)程代碼漏洞，該漏洞最早在8月由卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)被APT組織FruityArmor利用于近期的攻擊活動(dòng)中，據(jù)悉，卡巴斯基實(shí)驗(yàn)室捕獲的攻擊樣本使用的shellcode長期以來只被FruityArmor在C2領(lǐng)域所使用，而這次，F(xiàn)uityArmor利用該漏洞發(fā)起的攻擊似乎有高度針對(duì)性，僅影響了中東地區(qū)的十幾名用戶。

3.5.4 APT組織SandCat對(duì)兩個(gè)0day提權(quán)漏洞的利用（CVE-2018-8589、CVE-2018-8611）

10月17日，卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)一例APT組織SandCat針對(duì)中東地區(qū)用戶進(jìn)行的小范圍針對(duì)性攻擊，該攻擊利用了Windows Win32k本地提權(quán)漏洞CVE-2018-8589，該漏洞僅影響Windows 7 x86以及Windows Server 2008操作系統(tǒng)，暫時(shí)僅被發(fā)現(xiàn)利用于APT活動(dòng)。

而該漏洞被發(fā)現(xiàn)還不到一個(gè)月，在10月29日，再次發(fā)現(xiàn)一個(gè)新的Windows內(nèi)核提權(quán)0day漏洞CVE-2018-8611被同一組織利用。新的漏洞可以繞過了主流web瀏覽器的沙箱，相較于CVE-2018-8589而言更具威脅性。

Windows下半年被曝出的0day漏洞，幾乎都是通過APT組織投放的攻擊樣本發(fā)現(xiàn)，可以看出APT組織較喜愛利用0day漏洞，以達(dá)到出其不意，一擊必殺的目的，且將攻擊影響范圍縮到最小，確保攻擊活動(dòng)的隱匿性。

四、如何做好漏洞防護(hù)

4.1.  個(gè)人用戶漏洞防護(hù)

4.1.1 及時(shí)修復(fù)安全漏洞開啟安全軟件實(shí)時(shí)防護(hù)

防范漏洞攻擊最直接有效的方法就是使用新版本的系統(tǒng)，并且及時(shí)修復(fù)系統(tǒng)環(huán)境中存在的安全漏洞。騰訊電腦管家漏洞云庫收集了超過千款補(bǔ)丁，支持Windows，Office，F(xiàn)lash等產(chǎn)品的漏洞修復(fù)，采用快速修復(fù)引擎，降低50%的漏洞修復(fù)時(shí)間，100%還原windows update功能，保證了漏洞修復(fù)的準(zhǔn)確性和系統(tǒng)兼容性。并且開啟電腦管家實(shí)時(shí)防護(hù)可以有效攔截利用漏洞觸發(fā)傳播的病毒，有效彌補(bǔ)因各種原因未能及時(shí)修復(fù)漏洞的不足。

4.1.2 培養(yǎng)良好的計(jì)算機(jī)使用習(xí)慣

個(gè)人需提高計(jì)算機(jī)網(wǎng)絡(luò)安全意識(shí)，不輕易下載不明軟件程序，不輕易打開不明郵件夾帶的可疑附件，注意識(shí)別&不輕易打開可疑的網(wǎng)站，及時(shí)備份重要的數(shù)據(jù)文件。

4.2. 企業(yè)用戶漏洞防護(hù)

4.2.1 建立有效的漏洞情報(bào)監(jiān)控體系，建設(shè)完善的漏洞補(bǔ)丁管理能力

建立起有效的安全情報(bào)監(jiān)控體系，密切關(guān)注各大安全媒體如“御見威脅情報(bào)中心”的威脅情報(bào)預(yù)警。

同時(shí)需要做好生產(chǎn)力工具的安全管理，積極安裝最新補(bǔ)丁，修復(fù)漏洞，時(shí)刻保證個(gè)人/企業(yè)使用的設(shè)備、軟件、硬件的安全性，縮短漏洞平均存續(xù)期，可以大大減少被不法分子攻擊的可能。使用騰訊御點(diǎn)終端安全管理系統(tǒng)可以全網(wǎng)統(tǒng)一安裝系統(tǒng)補(bǔ)丁，提升客戶端的安全性。

4.2.2 安全演練，培養(yǎng)員工良好的信息安全意識(shí)

定期組織企業(yè)信息安全演練，以釣魚郵件、釣魚網(wǎng)頁、社會(huì)工程等擬真攻擊手段來提高員工安全意識(shí)，能使員工對(duì)信息安全有更深刻的印象與認(rèn)識(shí)，從終端杜絕安全威脅。

五、回顧2018，展望2019

回顧2018，勒索病毒、挖礦木馬大行其道，智能合約、智能硬件、人工智能等新技術(shù)帶來新趨勢(shì)的同時(shí)更帶來新的安全威脅，全球各領(lǐng)域漏洞提交數(shù)量持續(xù)上漲而0day漏洞正變得愈發(fā)常見，全球各行各業(yè)的重大信息泄露事件層見迭出，APT組織帶有政治意味的攻擊也愈發(fā)猖狂，國際信息安全態(tài)勢(shì)正處于弓弦逐漸緊繃的時(shí)刻，而作為信息安全守護(hù)者的我們，更應(yīng)該時(shí)刻思考如何應(yīng)對(duì)新的變化，永遠(yuǎn)做好迎接全新挑戰(zhàn)的準(zhǔn)備。

5.1 思維進(jìn)化，道高一丈

2018年12月，國內(nèi)黑客就用一起典型的、針對(duì)軟件供應(yīng)鏈發(fā)起的攻擊結(jié)合利用漏洞傳播木馬的安全事件（廣東省深圳市某知名軟件廠商軟件升級(jí)通道傳播木馬），拉開了安全攻防新時(shí)代的巨幕。在技術(shù)革新不斷發(fā)生的時(shí)代，“進(jìn)攻方”的手段在不斷演化升級(jí)，作為“防守方”更要時(shí)刻開闊眼界，與時(shí)俱進(jìn)，不死守陳舊的防守觀，追求“魔高一尺道高一丈”，才能真正成為信息安全的守護(hù)神。

5.2 千里之堤毀于蟻穴，人永遠(yuǎn)是最大的漏洞

釣魚、廣告甚至社會(huì)工程學(xué)等傳統(tǒng)、低技術(shù)含量的手段能夠?qū)以嚥凰?，成為黑客們最喜愛的傳播病毒、木馬的手段，恰恰說明了信息安全中最大的漏洞還是在人身上。低技術(shù)含量的攻擊手段本身，就是個(gè)高效的篩選器，可以過濾掉那些對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)十分了解的精明用戶，將安全意識(shí)低下的目標(biāo)人群篩選出來，真正地達(dá)到高精準(zhǔn)的定點(diǎn)攻擊，基于這樣的情況，企業(yè)、政府等機(jī)構(gòu)更是需要多進(jìn)行安全事件演習(xí)，加強(qiáng)業(yè)務(wù)人員的信息安全意識(shí)，才能在真正意義上“修復(fù)漏洞”，保障信息安全。

5.3 需建設(shè)多維、立體的安全能力體系

安全漏洞涉及計(jì)算機(jī)的方方面面，企業(yè)信息安全不能再只作簡單的網(wǎng)絡(luò)隔離，更要全方位地加強(qiáng)企業(yè)生產(chǎn)力設(shè)備中網(wǎng)絡(luò)、軟件、硬件的安全性，做好補(bǔ)丁管理及時(shí)更新企業(yè)軟硬件，并建設(shè)一定的漏洞檢測(cè)、安全應(yīng)急響應(yīng)、威脅情報(bào)監(jiān)控、攻擊溯源追蹤能力，才能擁有一道更堅(jiān)固的信息安全防火墻。