漏洞利用鏈(也稱為漏洞鏈)是將多個漏洞利用組合在一起以危害目標的網(wǎng)絡(luò)攻擊方式。與專注于單一入口點相比，網(wǎng)絡(luò)犯罪分子更喜歡使用它們來破壞設(shè)備或系統(tǒng)，以獲得更大的破壞力或影響。

Forrester分析師Steve Turner表示，漏洞利用鏈攻擊的目標是獲得內(nèi)核/根/系統(tǒng)級別的訪問權(quán)限來破壞系統(tǒng)以執(zhí)行攻擊活動。漏洞利用鏈允許攻擊者通過使用正常系統(tǒng)進程中的漏洞，繞過眾多防御機制來快速提權(quán)自己，從而融入組織的環(huán)境中。

雖然漏洞利用鏈攻擊通常需要花費網(wǎng)絡(luò)犯罪分子更多的時間、精力和專業(yè)技能，但將漏洞利用組合在一起，允許惡意行為者執(zhí)行更復(fù)雜且難以修復(fù)的攻擊，這具體取決于漏洞序列的長度和復(fù)雜程度。

漏洞利用鏈的風險

漏洞利用鏈給組織帶來的風險將是巨大的。Turner介紹稱，漏洞利用鏈的執(zhí)行往往發(fā)生得非常快，而且大多數(shù)組織并沒有配置正確的策略、流程和工具來積極阻止或遏制此類威脅。

Vulcan Cyber研究團隊負責人Ortal Keizman表示，不幸的現(xiàn)實是，IT安全團隊背負著這樣一個事實：幾乎所有漏洞利用都利用了已知漏洞和漏洞利用鏈，而這些漏洞由于各種原因尚未得到緩解。可以說，漏洞管理是當今IT安全行業(yè)面臨的一場大規(guī)模的‘打地鼠游戲’，至少56%的企業(yè)組織缺乏快速、大規(guī)模修復(fù)漏洞以保護其業(yè)務(wù)的能力。

可以合理地假設(shè)，大多數(shù)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者還在查看NIST報告的漏洞列表或CISA已知利用的漏洞列表，因為他們根本沒有牢牢掌握自己的風險態(tài)勢。對此，Keizman表示，如果無法衡量風險，還談何降低風險，如果風險優(yōu)先級沒有與特定組織或業(yè)務(wù)部門的定制風險承受能力保持一致，那么風險優(yōu)先級將毫無意義。

漏洞利用鏈用例和示例

以下漏洞利用鏈攻擊場景的示例要么已發(fā)生在現(xiàn)實世界中，要么是假設(shè)的(但很可能發(fā)生)。

SolarWinds攻擊

現(xiàn)實世界中，漏洞利用鏈攻擊的最佳示例之一就是SolarWinds漏洞利用，它為我們展示了利用多個(需要修復(fù)的)漏洞和多個(需要保護的)供應(yīng)鏈后門的強大破壞性。在這起事件中，攻擊者首先利用軟件供應(yīng)鏈的關(guān)鍵層開發(fā)了一種高級持續(xù)威脅，這些關(guān)鍵層允許遠程訪問和提升私有網(wǎng)絡(luò)內(nèi)的特權(quán)。一旦后門向軟件工廠打開，攻擊者就能確保使用概念驗證(PoC)漏洞利用通過已知(但由于各種原因尚未得到緩解的)漏洞進一步滲透目標系統(tǒng)。

針對移動設(shè)備的漏洞利用鏈

Netenrich公司首席威脅獵手John Bambenek發(fā)現(xiàn)，漏洞利用鏈最常用于移動設(shè)備。鑒于手機架構(gòu)的性質(zhì)，需要使用多種漏洞來獲取root訪問權(quán)限，以執(zhí)行移動惡意軟件所需的操作。安全公司Lookout的研究證實了這一點，該研究詳細介紹了多種Android監(jiān)控工具。

針對瀏覽器的漏洞利用鏈

針對瀏覽器漏洞的利用鏈同樣存在可能性，Tripwire漏洞和暴露研究團隊的成員Tyler Reguly發(fā)現(xiàn)，攻擊者可以使用網(wǎng)絡(luò)釣魚電子郵件將用戶引導(dǎo)到網(wǎng)頁，然后再發(fā)起“路過式”(drive-by)攻擊以利用瀏覽器漏洞。然后將它們與第二個漏洞鏈接以執(zhí)行沙盒逃逸，然后是第三個漏洞以獲取權(quán)限提升。

在這種場景中，攻擊者希望利用漏洞在整個網(wǎng)絡(luò)中傳播并進入特定系統(tǒng)。Reguly補充道，“當我想到漏洞利用鏈時，腦力里總會浮現(xiàn)一副畫面：《老友記》中羅斯反復(fù)大喊‘轉(zhuǎn)軸(Pivot)’的場景。攻擊者希望使用他們的漏洞利用鏈來創(chuàng)建樞軸點，以在系統(tǒng)和網(wǎng)絡(luò)中移動。”

勒索軟件攻擊者使用的漏洞利用工具包

Turner表示，作為勒索軟件攻擊者和其他攻擊者團體使用的商品化漏洞利用工具包的一部分，漏洞利用鏈正變得越來越普遍。兩個流行的例子就是零點擊漏洞利用鏈，用戶不需要做任何事情就可以執(zhí)行它;以及像ProxyLogon一樣的東西，攻擊者可以利用一系列漏洞來獲得管理員訪問權(quán)限，以執(zhí)行他們想要的任何代碼。

勒索軟件組織經(jīng)常使用這種方法在環(huán)境中快速站穩(wěn)腳跟，以竊取數(shù)據(jù)，然后勒索組織。Turner補充道，“我們很有信心地預(yù)計，攻擊者將利用眾所周知的RCE漏洞(例如Log4j漏洞)創(chuàng)建額外的漏洞利用工具包，將一系列漏洞利用鏈接在一起，從而快速獲得他們想要的系統(tǒng)/內(nèi)核級別訪問權(quán)限。”

漏洞利用鏈攻擊防御建議

談及降低漏洞利用鏈攻擊風險時，Reguly強調(diào)稱，要記住最重要的事情是你可以破壞“鏈”中的任何一環(huán)。一些損害可能已經(jīng)造成，但斷開任何一環(huán)都可以阻止進一步的潛在損害。一個強大而成熟的網(wǎng)絡(luò)安全計劃可以實施有效的技術(shù)、策略和程序(TTP)，破壞“鏈”中的每個環(huán)節(jié)，提供最大數(shù)量的潛在緩解或保護來抵御每一種可能的攻擊。

如果這一點在組織中行不通，可以思考一下“網(wǎng)絡(luò)殺傷鏈”以及可以阻止它的點，也是很好的建議。雖然漏洞利用鏈可能讓人望而生畏，但如果可以檢測到某些東西(無論是在利用鏈中還是在其他攻擊者行為中)，響應(yīng)者就可以了解問題并解決它。

對于Keizman來說，正面解決漏洞利用鏈需要大規(guī)模開源社區(qū)和閉源軟件供應(yīng)商之間的協(xié)調(diào)努力。開源軟件開發(fā)實踐已經(jīng)并將提供很大幫助，但現(xiàn)在正是商業(yè)和開源軟件開發(fā)陣營聯(lián)合起來的最佳時機。

至于首席信息安全官，Keizman支持實施基于風險的整體網(wǎng)絡(luò)衛(wèi)生，而不是在每個漏洞出現(xiàn)時盲目地解決它們。企業(yè)必須制定策略在威脅發(fā)生之前解決它，并根據(jù)自己的特定業(yè)務(wù)需求進行優(yōu)先級排序，否則將輸?shù)暨@場比賽。

本文翻譯自：https://www.csoonline.com/article/3645449/exploit-chains-explained-how-and-why-attackers-target-multiple-vulnerabilities.html如若轉(zhuǎn)載，請注明原文地址。