谷歌威胁情报小组2024年0day漏洞利用分析报告

admin 2025年5月1日01:27:22评论11 views字数 1435阅读4分47秒阅读模式

背景介绍

谷歌威胁情报小组(GTIG)在2024年共追踪到75个野外被利用的零日漏洞。尽管较2023年的98个有所下降,但仍高于2022年的63个。我们观察到两个显著趋势:

  1. 目标转向企业技术:针对安全软件、网络设备等企业级产品的攻击占比从2023年的37%升至44%,反映出攻击者追求更高效率的网络入侵手段。
  2. 终端平台防御强化:浏览器和移动设备的漏洞利用数量显著减少(Chrome和移动设备分别下降35%和47%),印证了供应商安全改进的成效。

值得注意的是,商业监控供应商(CSV)正通过加强操作安全降低被检测概率,而朝鲜国家背景攻击者首次跻身零日漏洞利用量前三,显示出地缘政治因素对网络安全格局的影响。

核心发现

谷歌威胁情报小组2024年0day漏洞利用分析报告
图1:2019-2024年零日漏洞数量变化

关键数据洞察

  • 终端用户技术(56%):

    • 操作系统漏洞占比激增至30%(2023年17%)
    • Chrome浏览器仍是主要目标(11个漏洞)
    • 安卓第三方组件漏洞占比43%(7个中3个)
  • 企业技术(44%):

    • 安全/网络设备漏洞占企业类别的60%以上
    • 受攻击厂商达18家(较2023年22家略有下降)
谷歌威胁情报小组2024年0day漏洞利用分析报告
图2:终端产品漏洞两年对比

攻击者画像

谷歌威胁情报小组2024年0day漏洞利用分析报告
图3:2024年零日漏洞利用者类型

三大焦点群体

  1. 国家背景攻击者(53%):

    • 朝鲜APT组织创纪录利用5个零日漏洞
    • 利用Windows驱动漏洞(CVE-2024-21338)突破内核防护
  2. 商业监控供应商

    • 通过定制USB设备(CVE-2024-53104等)物理入侵移动设备
    • 运营安全升级导致检测率下降
  3. 经济动机组织

    • FIN11团伙持续攻击文件传输系统(CVE-2024-55956)
    • CIGAR组织混合金融/间谍活动,利用Firefox漏洞链(CVE-2024-9680/49039)

技术深度解析

案例1:WebKit凭证窃取攻击链

  • 漏洞组合:CVE-2024-44308(RCE) + CVE-2024-44309(数据隔离绕过)
  • 攻击手法
    1. 通过乌克兰外交学院网站注入恶意JS
    2. 利用JIT编译漏洞构建假TypedArray
    3. 调用WebCookieJar接口窃取Microsoft在线登录凭证
  • 战术创新:放弃完整攻击链,专注cookie窃取以降低暴露风险

案例2:CIGAR组织的双重提权攻击

  • 漏洞利用
    • CVE-2024-9680 (Firefox RCE)
    • CVE-2024-49039 (Windows 提权)
  • 技术细节
    • 通过ubpmtaskhostchannel端点绕过RPC安全限制
    • 滥用WPTaskScheduler创建SYSTEM级计划任务
    • 同一漏洞被多个组织用于加密货币钓鱼攻击
谷歌威胁情报小组2024年0day漏洞利用分析报告
图4:ubpm.dll中的RPC端点配置缺陷

防御建议

企业防护策略

  1. 网络设备优先防护:对VPN、防火墙等设备实施严格补丁管理
  2. 纵深防御架构
    • 最小权限原则
    • 关键系统网络隔离
    • EDR覆盖安全设备

供应商应对措施

  • 代码安全实践:加强释放后使用、命令注入等漏洞的自动化检测
  • 安全设计范式
    • RPC接口的端点/接口/临时检查三重防护
    • 沙盒逃逸防护机制升级
  • 威胁情报共享:建立跨行业漏洞预警机制

未来展望

  1. 攻击面持续扩大:医疗IoT、工业控制系统可能成为新目标
  2. 漏洞利用商业化:CSV可能提供零日漏洞租赁服务
  3. AI双刃剑效应
    • 攻击方:自动化漏洞挖掘加速
    • 防御方:AI驱动的威胁检测升级
谷歌威胁情报小组2024年0day漏洞利用分析报告
图5:企业供应商受攻击数量变化

本分析基于GTIG的威胁情报数据,实际漏洞数量可能因后续发现调整。防御者需建立动态安全策略,持续跟踪威胁态势演变。

原文始发于微信公众号(独眼情报):谷歌威胁情报小组2024年0day漏洞利用分析报告

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月1日01:27:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   谷歌威胁情报小组2024年0day漏洞利用分析报告http://cn-sec.com/archives/4020660.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息