从2014到2019在野发现的0Day漏洞和其归因溯源分析汇总

释放双眼,带上耳机,听听看~!

每周五晚上例行推荐安全分析资源:本期是漏洞研究资源篇

不管是菜鸟,老鸟还是黑鸟,在日常安全分析过程中,遇到0day漏洞在野利用的概率无异于大海捞针。

而为了提升发现0day漏洞被APT组织或者黑产组织利用攻击的概率,我们一般都会将过去用于在野攻击的0day漏洞进行复盘分析,从而达到前人栽树,后人乘凉的效果。

那么现在就有人问了,我不做漏洞分析啊,我只关心有哪些APT组织历史使用这些漏洞进行攻击鸭。

也许牛逼哄哄的Google的Project Zero团队早就想到了这一点,他们团队将所有曾经被APT组织或黑产组织使用过的0day漏洞的描述和分析,以及为了溯源是哪个组织使用而进行分析的文章,全部汇聚在一个表格中。


此列表不包括在漏洞曝光后,被攻击者利用的CVE

(例如CVE-2015-0072,CVE-2018-8414或CVE-2018-8440)

此列表包含未在真实攻击案例中发现的漏洞,但是以泄露或发现的形式表明他们很可能在野外使用。(例如方程组和黑客团队泄漏)。


归因:一般来说,”声明属性“列是指据报道使用该攻击的攻击小组利用,但在某些情况下,它可以指的是漏洞利用的供应商(参见HackingTeam,NSO Group,Exodus)

表格中的信息大致长这个样子

当然,里面有一些信息,请自行肉眼过滤。

通过统计这些数据,Project Zero团队对0day漏洞出现的趋势进行了分析,得出

1、平均而言,每17天就会发现一个新的在野0day漏洞(但实际上这些漏洞通常在同一天发现的漏洞链中聚集在一起);


2、在所有供应商中,平均需要15天才能修补主动攻击中使用的漏洞;


3、86%列出的CVE都发布了关于漏洞根本原因的详细技术分析;


4、内存损坏问题是68%列出的CVE的根本原因。

通过这个数据还可以提出一个有趣的问题:0day漏洞的检测率是多少?

换句话说,在攻击中使用0day漏洞,最快多久会被发现?

这是安全性中的一个关键“未知参数”,对其进行建模将极大地将您的观点,计划和优先级进行防御。

同样重要的是,实际上,这些数据全是攻击者的失败案例,因为他们都没发现了,事实上,还有很多未知的0day漏洞并没有发现,因此根据这样的有限数据集得出关于攻击者行为的总体结论是没有意义的,只是代表局部案例,并不代表总体,黑鸟对此表示极大的赞同

此外,平台之间的检测率可能大不相同(例如,移动与桌面系统),因此它对平台之间的直接用处也不大。

因此,按需求来进行分析,才是最重要的。

下载以及参考链接:

https://docs.google.com/spreadsheets/d/1lkNJ0uQwbeC1ZTRrxdtuPLCIl7mlUreoKfSIgajnSyY/view#gid=1123292625

或者扫码加入知识星球,直接下载文件。

当然,有的同学可能上不去谷歌,没关系,我已经将表格传Gayhub一份。

关注公众号,后台回复”0day漏洞

即可获取gayhub地址

但愿大佬们,可以从过去漏洞中的灵感,来找到CVE-2019-0708的正确答案。

上期看点

感谢您的关注和转发

右下角

今天的CVE-2019-0708的EXP和POC依旧精彩不断,有兴趣请去我微博看一下。

https://weibo.com/blackorbird/

本文源自微信公众号:黑鸟

人已赞赏
安全工具

朝鲜的APT组织之间的代码重用分析/bokbot/漏洞工具包总结

2019-10-16 10:42:30

安全工具

微软再发通告:提醒你更新系统以防蠕虫病毒

2019-10-16 10:42:36

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索