鎖定APT攻擊/目標攻擊經常利用漏洞來暗中感染電腦系統,這類攻擊不一定會利用新發現或零時差的漏洞,例如 Internet Explorer 的 CVE-2013-2551 漏洞就是一個在 2014 年仍受到攻擊的漏洞。
儘管如此,零時差攻擊依然是一項嚴重威脅,因為它們會讓所有人都措手不及,包括資訊安全廠商在內。零時差漏洞正是利用這段防護空窗期,因此即使是勤勞的使用者和系統管理員也不免會暴露於威脅當中。
防護研究
趨勢科技的產品內含一些可解決這類問題的技術,包括瀏覽器漏洞防護、文件漏洞防護以及虛擬修補。這些技術都已整合到我們的消費端及企業級產品當中。
此外,我們也利用這些產品所回報的漏洞與漏洞攻擊訊息來建立一些經驗法則,進而防範已修補的漏洞和零時差漏洞。這樣的作法已展現優良成效。2010 年,一些利用 IE 漏洞來攻擊 Google (CVE-2010-0249) 的惡意程式樣本早在漏洞被揭露之前數星期前就被我們預先攔截。其他類似的案例還有利用 CVE-2013-5990、CVE-2013-3346、CVE-2014-0496 以及 CVE-2014-1761 等漏洞的攻擊。
發掘漏洞
趨勢科技投入了大量的人力和資源來發掘漏洞以及相關的零時差攻擊,這方面也獲得了不少成果。2014 年我們在各種應用程式當中總共發現了 14 個可能讓駭客從遠端執行程式碼的漏洞。其中十個是 Internet Explorer 漏洞,兩個是 Adobe Flash Player 漏洞,另外 Adobe Reader/Acrobat 和 Java 也各有一個。
圖 1:2014 年發現的漏洞。
我們在 2014 年發現的這 14 個重大漏洞以及受影響的軟體 (皆已通報相關廠商) 分別為:
- CVE-2014-0290 – Internet Explorer
- CVE-2014-0417 – Java
- CVE-2014-0525 – Adobe Acrobat/Reader
- CVE-2014-0536 – Adobe Flash
- CVE-2014-0559 – Adobe Flash
- CVE-2014-1753 – Internet Explorer
- CVE-2014-1772 – Internet Explorer
- CVE-2014-1782 – Internet Explorer
- CVE-2014-1804 – Internet Explorer
- CVE-2014-2768 – Internet Explorer
- CVE-2014-4057 – Internet Explorer
- CVE-2014-4095 – Internet Explorer
- CVE-2014-4097 – Internet Explorer
- CVE-2014-4105 – Internet Explorer
我們主要是分析從鎖定APT攻擊/目標攻擊受害者所蒐集到的樣本,因為這些樣本更能反應威脅情勢的真實狀況。這些樣本來源廣泛,包括:誘補網路、產品回報、使用者送審的檔案等等。我們相信,這些樣本所使用的都是駭客正在使用或者最可能使用的漏洞。
趨勢科技透過多種方法來發掘潛在的漏洞和漏洞攻擊,包括:經驗法則掃瞄、機器自我學習以及沙盒模擬分析 (Sandboxing)。我們的自動化流程每日可處理數十萬個樣本,其中只有數十個樣本必須再經過手動分析。
如同其他研究人員一樣,我們也會利用靜態分析、輸入資料錯誤測試 (fuzzing)、滲透測試等方法來主動發掘漏洞。我們會在這些漏洞遭駭客利用之前預先通報 Microsoft、Adobe 和 Oracle 等廠商。 繼續閱讀