谷歌威胁情报小组2024年0day漏洞利用分析报告

背景介绍

谷歌威胁情报小组（GTIG）在2024年共追踪到75个野外被利用的零日漏洞。尽管较2023年的98个有所下降，但仍高于2022年的63个。我们观察到两个显著趋势：

1. 目标转向企业技术：针对安全软件、网络设备等企业级产品的攻击占比从2023年的37%升至44%，反映出攻击者追求更高效率的网络入侵手段。
2. 终端平台防御强化：浏览器和移动设备的漏洞利用数量显著减少（Chrome和移动设备分别下降35%和47%），印证了供应商安全改进的成效。

值得注意的是，商业监控供应商（CSV）正通过加强操作安全降低被检测概率，而朝鲜国家背景攻击者首次跻身零日漏洞利用量前三，显示出地缘政治因素对网络安全格局的影响。

核心发现

关键数据洞察

• 终端用户技术（56%）：

• 操作系统漏洞占比激增至30%（2023年17%）
• Chrome浏览器仍是主要目标（11个漏洞）
• 安卓第三方组件漏洞占比43%（7个中3个）

• 企业技术（44%）：

• 安全/网络设备漏洞占企业类别的60%以上
• 受攻击厂商达18家（较2023年22家略有下降）

攻击者画像

三大焦点群体

1. 国家背景攻击者（53%）：

• 朝鲜APT组织创纪录利用5个零日漏洞
• 利用Windows驱动漏洞（CVE-2024-21338）突破内核防护

2. 商业监控供应商：

• 通过定制USB设备（CVE-2024-53104等）物理入侵移动设备
• 运营安全升级导致检测率下降

3. 经济动机组织：

• FIN11团伙持续攻击文件传输系统（CVE-2024-55956）
• CIGAR组织混合金融/间谍活动，利用Firefox漏洞链（CVE-2024-9680/49039）

技术深度解析

案例1：WebKit凭证窃取攻击链

• 漏洞组合：CVE-2024-44308（RCE） + CVE-2024-44309（数据隔离绕过）
• 攻击手法：
1. 通过乌克兰外交学院网站注入恶意JS
2. 利用JIT编译漏洞构建假TypedArray
3. 调用WebCookieJar接口窃取Microsoft在线登录凭证
• 战术创新：放弃完整攻击链，专注cookie窃取以降低暴露风险

案例2：CIGAR组织的双重提权攻击

• 漏洞利用：
• CVE-2024-9680 (Firefox RCE)
• CVE-2024-49039 (Windows 提权)
• 技术细节：
• 通过ubpmtaskhostchannel端点绕过RPC安全限制
• 滥用WPTaskScheduler创建SYSTEM级计划任务
• 同一漏洞被多个组织用于加密货币钓鱼攻击

防御建议

企业防护策略

1. 网络设备优先防护：对VPN、防火墙等设备实施严格补丁管理
2. 纵深防御架构：
• 最小权限原则
• 关键系统网络隔离
• EDR覆盖安全设备

供应商应对措施

• 代码安全实践：加强释放后使用、命令注入等漏洞的自动化检测
• 安全设计范式：
• RPC接口的端点/接口/临时检查三重防护
• 沙盒逃逸防护机制升级
• 威胁情报共享：建立跨行业漏洞预警机制

未来展望

1. 攻击面持续扩大：医疗IoT、工业控制系统可能成为新目标
2. 漏洞利用商业化：CSV可能提供零日漏洞租赁服务
3. AI双刃剑效应：
• 攻击方：自动化漏洞挖掘加速
• 防御方：AI驱动的威胁检测升级

本分析基于GTIG的威胁情报数据，实际漏洞数量可能因后续发现调整。防御者需建立动态安全策略，持续跟踪威胁态势演变。