APT组织在攻击中更多使用已知漏洞

软件更新减少了被利用的机会，但是由于更新也可能带来重大变化，因此企业面临着平衡保护软件与更新的需求与支持运营的需求的问题。对此研究人员提出了一种方法来定量研究软件更新策略对APT攻击的有效性。

意大利特伦托大学安全研究人员整理了一个APT攻击数据集，其中涵盖了2008年至2020年间发生的86次APT攻击和350个活动。研究人员研究了攻击媒介、利用的漏洞（如零日漏洞与公共漏洞）、以及受影响的软件和版本。

研究发现的观点是，所有APT都非常复杂，并且更喜欢攻击零日漏洞，而不是已经修补的漏洞。与普遍看法相反，大多数APT活动都使用了众所周知的漏洞。

研究人员观察到，鱼叉式网络钓鱼是主要的攻击向量，存在于130个不利用任何漏洞的活动和122个利用至少一个漏洞的活动中。入侵不仅在存在漏洞时使用，而且还用于促进利用社会工程来触发用户下载恶意软件的活动。

在2008年至2020年期间，APT组织在至少一次活动中利用了118个独特的漏洞。一些CVE在多个活动中被不同的APT利用。最具针对性的客户端应用程序和最具针对性的服务器/操作系统包括微软的Office、Windows 2008 Server、和Adobe的Flash Player。如果使用的CVE适用于不同的软件产品，则针对不同的产品计算活动。例如CVE-2012-0158会影响Office、SQL server、Visual Fox Pro和Commerce Server。到目前为止，Office是攻击的主要目标，其次是Windows操作系统、和Flash播放器。这与之前观察到的攻击向量一致，因为它们通常通过带有恶意附件的网络钓鱼进行攻击。

每年被利用的不同漏洞的平均数量大约为5个，近年来，该数字显著增长。但是该数字可能会受到早期活动报告数量有限的影响，在此期间不太可能报告有关网络攻击的信息。近两年该数字有所下降，是由于数据收集事件与活动本身的日期接近，导致公开报告活动的自然延迟。从APT活动中CVE的发生情况来看，大多数APT更喜欢利用已发布的CVE，只有少数APT例外。

事实上研究人员发现，在研究人员调查的86个APT中，只有8个利用了其他组织没有利用的漏洞。这八个APT组织是Stealth Falcon、APT17、Equation、Dragonfly、Elderwood、FIN8、DarkHydrus和Rancor。

这表明并非所有APT都像许多人想象的那样复杂，因为这些组织经常重复使用工具、恶意软件和漏洞。这一发现表明，组织应尽快更新修复系统中存在的已知漏洞，而不是花时间应用针对已知漏洞发布的更新。

研究人员发现，企业通常需要200多天才能将90%的机器更新至最新的软件补丁，从而确保更新后的系统正常运行。

这种行为是合理的，因为并非所有漏洞总是在野外被利用，并且一些作者已经确定，针对大规模攻击者的缓慢更新的实际风险是有限的，并且通常是由于特定类型的漏洞，例如在黑市交易的漏洞或具有其他可预测特征的漏洞。因此在考虑大规模攻击者时，风险分析可能是一种有效的方法，因为大规模攻击者很可能会厌恶工作，并坚持旧的漏洞利用，直到他们不再有利可图。然而，许多公司也面临APT威胁。APT是高度专业化的专业人员，使用各种定制策略，通常利用鱼叉式网络钓鱼和零日漏洞来保持隐秘的配置文件。然而为了对抗APT，缓慢的更新似乎就不合适了。

事实上，如果组织能够在更新发布后立即更新，更快的更新可以显著降低被入侵的可能性。研究发现，如果一个组织等待一个月更新，被入侵的可能性是4.9倍，然而等待三个月使入侵的可能性增加了9.1倍。

然而研究人员发现，尽管如此，立即修补并不能保证组织不会受到损害，及时应用修复的企业仍有14%到33%的几率受到威胁。

总体而言，APT对组织提出了独特的挑战，因为很难预测攻击是否发生以及何时发生，因此基本上超出了控制范围。“不幸的是，一家公司无法提前完全决定他们在被攻击者攻击时的配置，因为这取决于攻击者的选择。”

然而公司可以控制的是其软件更新策略，组织通常采用以下三种方式：当有新的软件更新可用时立即更新、等待一段时间更新以执行回归测试、或完全跳过更新。

有新版本可用时立即更新软件可提供最佳的被入侵概率下限。即使在这种情况下，大约四分之一的活动也可能危及目标。尽管可以在某些危急情况下立即应用更新，但如果考虑一种更现实的方法，即软件在当月延迟更新，被入侵的几率会增加5倍。

与等待公共漏洞出现的策略相比，计划策略提供了类似但稍微好一些的被入侵概率。但是，在发布CVE时等待更新会使更新次数减少8倍。因此，如果企业无法跟上更新，并需要在部署之前等待，则可以考虑简单地被动响应。对于计划策略，更新次数随着时间间隔的增加而减少，因为更新超出了观察期。如果使用更长的更新间隔，则在3个月和7个月的更新间隔内，被入侵的概率分别增加9倍和20倍。只有在更新间隔很小的情况下，了解未知漏洞才有一点优势。一旦企业等待3到7个月，该漏洞就会被公开，并被APT积极利用。

由于黑客更加关注新版本，因此总是更新到新版本但延迟的策略为APT提供了时间来定位和利用漏洞。相比之下，很少更新的方法可能会向攻击者展示不包含新易受攻击代码的旧版本。换言之，要么总是立即更新到新版本，要么只是最近更新具有相同的风险概况，但比很少更新要付出更多的成本。

研究人员没有更新所有新版本的软件，而是建议采用一种简化的方法，来专注于修补已知漏洞，这似乎会影响组织的APT攻击风险。组织可以执行所有可能的更新中的12%，仅限于修复已知漏洞的版本，而不会显著改变被攻击的几率。

参考资源:

【1】https://threatpost.com/apts-overwhelmingly-share-known-vulnerabilities-rather-than-attack-o-days/179657/

【2】Tizio, Armellini, Massacci, Software Updates Strategies: a Quantitative Evaluation against Advanced Persistent Threats, May 2022

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。