恶意电子邮件攻击正在增加。
根据赛门铁克发布的《2017年互联网安全威胁报告》,2016年,黑客通过漏洞利用工具发起的恶意活动减少了60%。
结果表明,攻击者习惯于以电子邮件为主要感染媒介。2016年,电子邮件中恶意软件的比例急剧上升,从220封电子邮件中的恶意软件(1/220)增加到131封电子邮件中的恶意软件(1/131)。
这种变化导致黑客依赖黑客“靠山吃山,靠水吃水”战术。也就是说,黑客转向操作系统的功能,重用管理工具和云服务来感染网络,而不是包含恶意软件和0day传统的漏洞工具包来感染网络。
攻击者为什么更喜欢恶意邮件攻击?
专家指出,在去年的几次大规模网络攻击中,黑客利用鱼叉式钓鱼邮件或设置陷阱的Microsoft Word或Excel引诱用户下载可以提供远程访问的文件PowerShell脚本。黑客通常用于垃圾邮件攻击JavaScript和Office宏下载器比漏洞使用工具更难检测,因为这些媒体使用方便。
专家表示,从经济角度来看,如果不需要这些漏洞,就不值得浪费时间。利用最新的漏洞需要大量的精力、资源和时间。
由于工具的使用通常需要维护后端基础设施,与钓鱼活动相比,工具的可靠性更低,在线钓鱼活动通常会发送包含恶意软件附件的电子邮件。对于懒惰的黑客,“恶意种子到处传播,总有一颗会发芽”毫无疑问,这种方式要容易得多。
供不应求,价格上涨,漏洞价格也遵循这一经济原则。安全公司赛门铁克(Symantec)在过去的三年里,一项研究指出,0-0day漏洞使用量不断减少,从而提高了零日漏洞使用价格,攻击者不得不选择替代策略。0day漏洞总数(指未向厂家披露和修复的软件漏洞)从2014年的4985个下降到2016年的3986个。
尽管如此,对0day对漏洞的需求仍在上升。安全研究人员发现的各方都在购买0day漏洞包括军队、情报机构、执法机构、软件供应商、网络罪犯和军事承包商。这些买家有不同的目的:有些是修复和防御软件,有些是想通过漏洞进行网络攻击。
前NSA分析师布莱克利用计算机网络·达奇(Black Dutch)据说,由于大型制造商(包括微软、苹果等公司)非常重视平台上的漏洞,因此0day漏洞数量减少,这与“圈子”目前可用0day漏洞价格上涨有牵连。
播放器和Chrome浏览器的安全性通常更好,被广泛使用的可能性更小。这并不是说这些软件产品的漏洞更少,而是说专家的水平在提高,使用漏洞的成本也在增加。
除了Google、除了微软、苹果等大型软件制造商在安全方面取得的成就外,漏洞奖励计划还开辟了一种新的法律途径,将利益驱动的动机转化为负责任的披露。越来越多的研究人员通过寻找漏洞来获得报酬。因此,发现可用的漏洞比以前更困难。
例如,过去一年,在HackerOne上发现了约2万个0day大部分漏洞都是私下披露和解决的。赛门铁克统计0-0day这些漏洞不包括在内,所以数量相对较少。
赖斯表示,2017年将出现漏洞“武器化”比两三年前困难多了。
奖励平台BugCrowd的信任和安全负责人贾森·哈德克斯(Jason Haddix)这意味着漏洞的价格每年都在稳步上涨。价格因漏洞而异。如果服务器远程代码执行0day漏洞,或未知的低信息层漏洞,则价格梯度较高。0day漏洞的成本高达344880元。这只是一个漏洞奖励平台上的价格,其他市场的价格更高。国外知名漏洞采集平台Zerodium的一个0day漏洞最高报价约为1035万英镑。该公司首席执行官在2015年接受采访时表示,该公司每月必须向未披露漏洞的提交人支付约414万英镑。他预测,到2015年底,该公司每月将花费约690万英镑。