背景介绍
谷歌威胁情报小组(GTIG)在2024年共追踪到75个野外被利用的零日漏洞。尽管较2023年的98个有所下降,但仍高于2022年的63个。我们观察到两个显著趋势:
-
目标转向企业技术:针对安全软件、网络设备等企业级产品的攻击占比从2023年的37%升至44%,反映出攻击者追求更高效率的网络入侵手段。 -
终端平台防御强化:浏览器和移动设备的漏洞利用数量显著减少(Chrome和移动设备分别下降35%和47%),印证了供应商安全改进的成效。
值得注意的是,商业监控供应商(CSV)正通过加强操作安全降低被检测概率,而朝鲜国家背景攻击者首次跻身零日漏洞利用量前三,显示出地缘政治因素对网络安全格局的影响。
核心发现
关键数据洞察
-
终端用户技术(56%):
-
操作系统漏洞占比激增至30%(2023年17%) -
Chrome浏览器仍是主要目标(11个漏洞) -
安卓第三方组件漏洞占比43%(7个中3个) -
企业技术(44%):
-
安全/网络设备漏洞占企业类别的60%以上 -
受攻击厂商达18家(较2023年22家略有下降)
攻击者画像
三大焦点群体
-
国家背景攻击者(53%):
-
朝鲜APT组织创纪录利用5个零日漏洞 -
利用Windows驱动漏洞(CVE-2024-21338)突破内核防护 -
商业监控供应商:
-
通过定制USB设备(CVE-2024-53104等)物理入侵移动设备 -
运营安全升级导致检测率下降 -
经济动机组织:
-
FIN11团伙持续攻击文件传输系统(CVE-2024-55956) -
CIGAR组织混合金融/间谍活动,利用Firefox漏洞链(CVE-2024-9680/49039)
技术深度解析
案例1:WebKit凭证窃取攻击链
-
漏洞组合:CVE-2024-44308(RCE) + CVE-2024-44309(数据隔离绕过) -
攻击手法: -
通过乌克兰外交学院网站注入恶意JS -
利用JIT编译漏洞构建假TypedArray -
调用WebCookieJar接口窃取Microsoft在线登录凭证 -
战术创新:放弃完整攻击链,专注cookie窃取以降低暴露风险
案例2:CIGAR组织的双重提权攻击
-
漏洞利用: -
CVE-2024-9680 (Firefox RCE) -
CVE-2024-49039 (Windows 提权) -
技术细节: -
通过ubpmtaskhostchannel端点绕过RPC安全限制 -
滥用WPTaskScheduler创建SYSTEM级计划任务 -
同一漏洞被多个组织用于加密货币钓鱼攻击
防御建议
企业防护策略
-
网络设备优先防护:对VPN、防火墙等设备实施严格补丁管理 -
纵深防御架构: -
最小权限原则 -
关键系统网络隔离 -
EDR覆盖安全设备
供应商应对措施
-
代码安全实践:加强释放后使用、命令注入等漏洞的自动化检测 -
安全设计范式: -
RPC接口的端点/接口/临时检查三重防护 -
沙盒逃逸防护机制升级 -
威胁情报共享:建立跨行业漏洞预警机制
未来展望
-
攻击面持续扩大:医疗IoT、工业控制系统可能成为新目标 -
漏洞利用商业化:CSV可能提供零日漏洞租赁服务 -
AI双刃剑效应: -
攻击方:自动化漏洞挖掘加速 -
防御方:AI驱动的威胁检测升级
本分析基于GTIG的威胁情报数据,实际漏洞数量可能因后续发现调整。防御者需建立动态安全策略,持续跟踪威胁态势演变。
原文始发于微信公众号(独眼情报):谷歌威胁情报小组2024年0day漏洞利用分析报告
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论