近日網(wǎng)絡(luò)安全研究人員編制了一份勒索軟件漏洞利用列表，其中列出了勒索軟件團(tuán)伙入侵受害者網(wǎng)絡(luò)并初始訪問權(quán)限時(shí)，最常用的漏洞清單（下圖）。

　　該列表由Recorded Future的CSIRT（計(jì)算機(jī)安全事件響應(yīng)小組）的成員Allan Liska發(fā)起，在其他幾位貢獻(xiàn)者的幫助下，該列表迅速增長，目前已經(jīng)包括在來自十多個(gè)不同軟件和硬件供應(yīng)商的產(chǎn)品中發(fā)現(xiàn)的安全漏洞。

　　該列表以圖表的形式出現(xiàn)，為防御者提供了一個(gè)起點(diǎn)，以保護(hù)其網(wǎng)絡(luò)基礎(chǔ)設(shè)施免受傳入的勒索軟件攻擊。

　　01 2021年勒索軟件組織主要針對的漏洞

　　僅在今年，勒索軟件組織和附屬機(jī)構(gòu)就在他們的武器庫中添加了多個(gè)漏洞利用程序，以積極利用目標(biāo)漏洞。

　　例如，本周，一些未公開數(shù)量的勒索軟件即服務(wù)附屬組織已開始針對最近修補(bǔ)的Windows MSHTML漏洞（CVE-2021-40444）的RCE漏洞。

　　9月初，Conti勒索軟件也開始針對Microsoft Exchange服務(wù)器，利用ProxyShell漏洞（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）破壞企業(yè)網(wǎng)絡(luò)。

　　8月，LockFile開始利用PetitPotam NTLM中繼攻擊方法（CVE-2021-36942）接管全球的Windows域，Magniber開始利用PrintNightmare漏洞（CVE-2021-34527），而eCh0raix也被發(fā)現(xiàn)開始針對QNAP和Synology NAS設(shè)備（CVE-2021-28799）。

　　HelloKitty勒索軟件在7月針對易受攻擊的SonicWall設(shè)備（CVE-2019-7481），而REvil破壞了Kaseya的網(wǎng)絡(luò)（CVE-2021-30116、CVE-2021-30119和CVE-2021-30120）并進(jìn)一步攻擊了大約60個(gè)MSP VSA服務(wù)器和1500個(gè)下游業(yè)務(wù)客戶。

　　正如Mandiant在6月報(bào)道的那樣，F(xiàn)iveHands勒索軟件正忙于利用CVE-2021-20016 SonicWall漏洞，然后于2021年2月下旬修補(bǔ)。

　　QNAP還警告說，AgeLocker勒索軟件在4月份使用過時(shí)固件中的未公開漏洞對NAS設(shè)備進(jìn)行攻擊，就像大規(guī)模的Qlocker勒索軟件活動(dòng)針對未針對硬編碼憑據(jù)漏洞（CVE-2021-28799）修補(bǔ)的QNAP設(shè)備一樣。

　　同月，在FBI和CISA聯(lián)合警告威脅行為者正在掃描易受攻擊的Fortinet設(shè)備后，Cring勒索軟件開始加密工業(yè)部門公司網(wǎng)絡(luò)上未打補(bǔ)丁的Fortinet VPN設(shè)備（CVE-2018-13379）。

　　3月，全球Microsoft Exchange服務(wù)器遭到Black Kingdom和DearCry勒索軟件的攻擊，這是針對ProxyLogon漏洞（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065）。

　　最后，2020年12月至2021年1月Clop勒索軟件團(tuán)伙攻擊Accellion服務(wù)器（CVE-2021-27101、CVE-2021-27102、CVE-2021-27103、CVE-2021-27104）后，直接拉高了今年前三個(gè)月的平均勒索贖金的價(jià)格。

　　02 如何對抗不斷升級(jí)的勒索軟件威脅？

　　除了Liska和他的貢獻(xiàn)者正在做的抵御勒索軟件攻擊的工作，其他組織也在紛紛行動(dòng)，例如：

　　上個(gè)月，作為聯(lián)合網(wǎng)絡(luò)防御協(xié)作（JCDC）合作伙伴關(guān)系的一部分，微軟、谷歌云、亞馬遜網(wǎng)絡(luò)服務(wù)、AT&T、Crowdstrike、FireEye Mandiant、Lumen、Palo Alto Networks和Verizon加入了CISA，專注于保護(hù)關(guān)鍵基礎(chǔ)設(shè)施免受勒索軟件的侵害和其他網(wǎng)絡(luò)威脅。

　　美國聯(lián)邦機(jī)構(gòu)還在6月發(fā)布了一種新的勒索軟件自我評估安全審計(jì)工具CEST（https://github.com/cisagov/cset），旨在幫助處于風(fēng)險(xiǎn)中的組織了解他們是否有能力抵御針對信息技術(shù)（IT）、運(yùn)營技術(shù)（OT）、或工業(yè)控制系統(tǒng)（ICS）資產(chǎn)的勒索軟件攻擊。

　　CISA為遭受勒索軟件攻擊的組織提供勒索軟件響應(yīng)清單、有關(guān)如何防范勒索軟件的建議以及有關(guān)勒索軟件的常見問題解答。

　　新西蘭計(jì)算機(jī)應(yīng)急響應(yīng)小組（CERT NZ）最近發(fā)布了企業(yè)勒索軟件保護(hù)指南（https://www.cert.govt.nz/business/guides/protecting-from-ransomware/）。

　　CERT NZ的指南概述了勒索軟件攻擊途徑，并說明了可以設(shè)置哪些安全控制來防止或阻止攻擊。

　　CERT NZ發(fā)布的勒索軟件攻擊指南