绿盟科技：2020安全事件响应观察报告（111页）.pdf

《绿盟科技：2020安全事件响应观察报告（111页）.pdf》由会员分享，可在线阅读，更多相关《绿盟科技：2020安全事件响应观察报告（111页）.pdf（111页珍藏版）》请在三个皮匠报告上搜索。

1、在2018年出现了多个PDF文件漏洞，主要为CVE-2018-4990，CVE-2018-12794，通过漏洞利用可以实现任意代码执行和权限提升的目的。2018年3月ESET在恶意软件扫描引擎(VirusTotal)上捕获了一个用于攻击测试的PDF文档。该PDF文档样本包含两枚0-day漏洞(CVE-2018-4990，CVE-2018-8120)以实现针对Adobe Acrobat/Reader PDF阅读器的任意代码执行。其中CVE-2018-4990为Adobe PDF阅读器的代码执行漏洞，而CVE-2018-8120则是Windows操作系统Win32k的内核提权漏洞，在获取代码执行权

2、限后通过内核提权漏洞绕过Adobe PDF阅读器的沙盒保护，实现任意代码执行。CVE-2018-12794属于类型混淆漏洞，产生漏洞原因是通过构建XML数据包(XML Data Package,XDP)模版，并对XML表单体系结构(XML Forms Architecture，XFA)对象执行某些JavaScript操作，攻击者就可以强制Adobe Reader 从模版对象的边界引用数据。但是PDF文件漏洞利用难度大,使用场景苛刻。一般只针对攻击Adobe Acrobat/Reader PDF阅读器。在攻防演练期间,对来源不明确的PDF都怀疑是恶意文件，但是经过分析，未发现真正恶意的PDF样本

3、。在攻防演练中误报事件总共23起，其中与PDF相关事件有7起，占全部误报事件的30%。PDF误报数量较多的原因可能是因为员工安全意识提升，对于来历不明，并且邮件内容与自身无关的邮件，都认为是可疑。当然不排除攻击者通过获取邮件服务器权限或者窃取猜解员工账号信息，从而实现垃圾邮件发送。攻击者通常使用Metasploit或者Cobalt Strike工具生成shellcode (攻击代码)，但这些工具默认生成的shellcode存在明显的特征，很容易会被邮件网关、安全设备、本地杀毒软件等防护设备拦截。因此，攻击者往往需要对shellcode中的特征进行剔除实现免杀。由于Ooffice宏，.Net代码

4、都是非编译语言，所以比较容易实现代码混淆，只要隐蔽掉常见的恶意代码特征，即可实现免杀，提高病毒代码执行成功率。常见混淆方式主要包括以下三种:字符串加密:主要是对代码中的字符串常量进行编码或加密。方法名类名混淆:将代码里面的类名方法名，改为随机字符串，从而增加了代码的分析难度。代码字符串化并多重修改将脚本代码字符串化，并进行多次字符串修改，常见于PowerShell恶意样本，如DriverMine。但代码混淆只是在一定程度上增加分析人员的时间成本，通过对代码的调试分析都可以获取到最终的执行代码。2020年获取的样本中各种防御方式占比:在2020年的勒索安全事件中，企业、运营商、金融、教育医疗为行

5、业重灾区。相较于2019年，教育医疗行业的勒索事件数量大幅增加，推测其原因与COVID-19爆发有关。COVID-19爆发导致大量学校和企业将教学从线下切换到线上，通过远程访问方式进行管理，这也招致更频繁的勒索攻击。在教育医疗行业遭受勒索攻击次数大幅提升的情况下，2020年企业仍在勒索攻击事件数量上居于榜首;其归因于勒索攻击行业运营愈发成熟，攻击成本愈加低廉。以RDP或其他远程访问方式作为勒索病毒的初始入侵方式虽然相较2019年有所减少，但仍在勒索攻击事件的入侵方式中占50%以上。以钓鱼邮件作为初始入侵方式较2019年有所增加，在入侵方式中占比中维持20%30%。无论何种入侵方式，其主要目标都

6、是获取权限提升后的凭证。一旦凭证被获取，就能对网络进行监视并避开保护程序，对服务器中的文件数据进行窃取与加密。但入侵方式的差异反映了勒索软件家族的利用复杂性和其目标偏好。Dharma利用暴露的RDP端口，而RDP端口暴露在小型企业中很常见。Ryuk更多的是依靠有针对性的邮件钓鱼，这反映了勒索软件运营商或攻击者更倾向于攻击大型组织。这些更有针对性的攻击需要更多社会工程学相关的技术运用。脆弱的RDP端口仍然是攻击者入侵小型企业的一种廉价且可靠的方式。在暗网市场上，有数以万计的企业