漏洞利用情况

典型漏洞攻击事件监测举例

漏洞利用是攻击的常用手段，通过对漏洞攻击事件的监测可以掌握攻击者的技术特点，行为习惯， 进而可以对攻击者进行行为画像，为漏洞预警提供帮助，值得持续监测。本文重点关注 MS17-010 和 CVE-2019-0708 的攻击事件。
2017 年 4 月 Shadow Brokers 发布了针对 Windows 操作系统以及其他服务器系统软件的多个高危 漏洞利用工具。同年 5 月 EternalBlue 工具被 WannaCry 勒索软件蠕虫利用，在全球范围大爆发，影响 了包括中国在内的多个国家 1。EternalBlue 相关的漏洞主要有 CVE-2017-0144、CVE-2017-0145 以及 CVE-2017-0147，对应 Microsoft 的安全公告 MS17-0102。之后又陆续发生多起与 MS17-010 有关的勒 索或挖矿木马攻击事件，WannaMine、PowerGhost、Satan 等众多恶意软件均利用了 MS17-010 进行 传播。根据绿盟威胁情报中心监测到的 2019 年实际攻击事件显示，利用 CVE-2017-0144 的攻击事件共 计 4919441 次，利用 CVE-2017-0145 的攻击事件共计 27276 次，利用 CVE-2017-0147 的攻击事件共 计 1567618 次，按月分布的情况如图 2.1 所示。我们可以看到在 2019 年中，利用这些漏洞的网络攻击
活动持续活跃在真实网络中。图 2.1 利用 ETERNALBLUE漏洞的攻击事件
2019 年 5 月，Microsoft 在当月的安全更新中，对一个新的 RDP漏洞 CVE-2019-0708[^1] 发布了警告， 该漏洞可以被用作蠕虫攻击，8 月又披露了两个类似的可用作蠕虫的漏洞 CVE-2019-1181/1182。随后 的 9 月针对 CVE-2019-0708 的可利用攻击脚本已被公开 [^2]。截止 2020 年 3 月，绿盟威胁情报中心监测 到相关攻击事件 87211 次，如图 2.2 所示。在漏洞刚披露的 5 月份，漏洞的时效性强，并非所有用户 都及时修复，漏洞利用价值高，高级攻击组织就会在网络中发起攻击，攻击事件出现了短暂的峰值。7 月份漏洞利用的代码被公开，更多黑产、脚本小子等攻击者开始使用，攻击事件再次呈现快速增长的趋势。 随着攻击事件的持续发生，越来越多的用户开始更新补丁，修复漏洞，针对该漏洞的攻击事件逐渐下降。
图 2.2 利用 CVE-2019-0708 漏洞的攻击事件
无论是开源软件还是闭源软件，一旦被攻击者抢先掌握漏洞的利用方式，并实现稳定的攻击工