網絡威脅情報(CTI)扮演的關鍵戰略和戰術角色之一是對軟件漏洞的跟蹤，分析和優先級排序，這些漏洞可能會使組織的數據，員工和客戶面臨風險。在這個由四部分組成的文章系列中，FireEye Mandiant威脅情報分析了CTI在實現漏洞管理中的價值，并揭示了有關最新威脅，趨勢和建議的研究。

根據研究結果，與前3年相比，我們發現2019年被利用的零日(0-day)漏洞數量更多。雖然并非每次0-day利用都能溯源到特定的攻擊組織，但我們發現越來越多的攻擊組織已經逐步具備這類能力。此外，有些攻擊組織會購買商業公司提供的進攻性網絡產品及服務，所利用的0-day數量也越來越多，并且隨著時間的推移，針對中東的0-day攻擊事件也越來越多。現在有許多組織/個人在提供攻擊性網絡武器服務，展望未來，我們認為會有更多攻擊者開始使用0-day。

國家和地區的0-day 漏洞使用情況

自2017年底以來，FireEye Mandiant威脅情報指出，已知或懷疑為提供攻擊性網絡工具和服務的私人公司的客戶的組織利用的0-Day 漏洞工作天數顯著增加。此外，我們觀察到針對中東和/或與該地區有可疑聯系的團體所利用的0-Day 漏洞有所增加。

示例包括：[[322957]]

(1) 研究人員將其稱為 stealth-falcon 和 FruityArmor 的一個小組是一個間諜團體，據報道 以中東的記者和活動人士為目標。在2016年，該小組使用了NSO小組出售的惡意軟件，該軟件利用了三個iOS 0-Day 漏洞。從2016年到2019年，該小組使用的0-Day 漏洞工作時間超過其他任何小組。

(2) 此攻擊活動被稱為“沙貓”(SandCat)，被懷疑與烏茲別克斯坦的國家情報有關，在針對中東目標的行動中使用0-Day 漏洞進行了偵查。該小組可能是通過從NSO組之類的私營公司購買惡意軟件獲得0-Day 漏洞的，因為在SandCat運營中使用的0-Day 漏洞也被用于Stealth Falcon行動中，而且這些不同的活動集不可能獨立地發現相同的三個0-Day 漏洞。

(3) 在2016年和2017年全年，BlackOasis的活動(主要針對中東實體，并且過去很可能從私營公司Gamma Group獲得了至少一個0-Day 漏洞)也表現出了類似的頻繁獲取0-Day 漏洞的機會。

• https://citizenlab.ca/2016/05/stealth-falcon/
• https://www.securityweek.com/windows-zero-day-exploited-fruityarmor-sandcat-threat-groups
• https://www.welivesecurity.com/2019/09/09/backdoor-stealth-falcon-group/
• https://www.vice.com/en_us/article/3kx5y3/uzbekistan-hacking-operations-uncovered-due-to-spectacularly-bad-opsec
• https://www.securityweek.com/middle-east-group-uses-flash-zero-day-deliver-spyware
• https://www.securityweek.com/middle-east-group-uses-flash-zero-day-deliver-spyware

我們還注意到了0-Day 漏洞利用的例子，這些事例并未歸因于受追蹤的群體組織，但似乎已被私人安全公司提供的工具所利用，例如：

(1) 據報道，2019年，WhatsApp(CVE-2019-3568)中的0-Day 漏洞被用來分發由以色列軟件公司NSO集團開發的間諜軟件。

(2) FireEye分析了針對一家俄羅斯醫療保健組織的活動，該組織利用了2018年Adobe Flash0-Day 漏洞(CVE-2018-15982)，該0-Day 漏洞可能與Hacking Team泄露的源代碼有關。

(3) 據報道，NSO Group工具于2019年10月在野外利用了 Android0-Day 漏洞CVE-2019-2215 。

• https://www.itpro.co.uk/spyware/33632/whatsapp-call-hack-installs-spyware-on-users-phones
• https://thehackernews.com/2019/10/android-kernel-vulnerability.html

可以看到主要網絡大國的間諜組織對0-Day 漏洞的利用。

(1) 據研究人員稱，中國間諜組織APT3 在2016年利用CVE-2019-0703進行了有針對性的攻擊。

(2) FireEye觀察到朝鮮小組APT37開展了2017年的活動，該活動利用了Adobe Flash漏洞CVE-2018-4878，該小組還顯示出在發現漏洞后不久即可迅速利用這些漏洞的能力有所增強。

(3) 從2017年12月到2018年1月，我們觀察到多個中國集團利用CVE-2018-0802在針對歐洲，俄羅斯，東南亞和臺灣的多個行業的活動中。在發布此漏洞的補丁之前，至少使用了六分之三的樣本。

(4) 2017年，俄羅斯組織APT28和Turla在Microsoft Office產品中利用了多個0-Day 漏洞。

• https://www.symantec.com/blogs/threat-intelligence/buckeye-windows-zero-day-exploit
• https://www.fireeye.com/blog/threat-research/2017/05/eps-processing-zero-days.html

此外，我們認為，某些最危險的國家贊助的入侵正在日益顯示出迅速利用已公開的漏洞的能力。在許多情況下，與這些國家有聯系的組織已經能夠利用漏洞將其武器化并將其納入其運營中，利用漏洞披露與補丁安裝之間的時間窗口。

在2019年5月，我們報告FIN6在2019年2月有針對性的入侵中使用Windows Server 2019的UAF 0-Day 漏洞(CVE-2019-0859)，一些證據表明，該組織可能自2018年8月以來就使用了該漏洞利用程序。盡管公開消息表明該組織有可能從代號為BuggiCorp的地下組織那里獲得0-Day 漏洞，但我們還沒有找到直接證據證明該組織與該漏洞利用程序的開發或銷售有關。

分析結論

根據私營企業潛在客戶對0-day的利用情況及比例，我們推測現在攻擊者對0-day的利用趨勢已經越來越商品化。之所以會出現這種情況，可能有如下原因：

• 私營公司可能會創造和提供比過去更多的0-Day 漏洞服務，導致0-Day 漏洞資源能力集中在資源豐富的團體中。
• 私營公司可能會越來越多地向總體能力較低的團體和/或對運營安全性較少關注的團體提供攻擊能力，這也將導致0-day利用活動越來越頻繁。

各國可能會繼續支持內部漏洞利用程序的發現和開發;但是，通過私營公司提供0-Day 漏洞服務可能比依靠國內解決方案或地下市場提供更具吸引力的選擇。因此我們認為，如果攻擊者有能力且愿意投入金錢，那么能夠獲取這類漏洞的攻擊者數量將不斷上升，并且增長速度將比其自身的整體網絡攻擊能力增長速度要快。