美Recorded Future公司发布《 2021年上半年：恶意软件和漏洞趋势报告》

 近期 ，美国网络安全公司Recorded Future 在网站上发布了《 2021 年上半年：恶意软件和漏洞趋势报告》，现在此作部分摘译，以供读者参考。

（图片来源：recorded future）

    本报告梳理了 2021 年 1 月 1 日至 6 月 30 日期间，主要硬件和软件供应商披露的恶意软件使用、分发和开发趋势以及高风险漏洞。本报告将帮助威胁搜寻者和安全运营中心（SOC）团队通过以下方式加强其安全态势：根据本研究和数据，优先考虑搜寻技术和检测方法，并与漏洞团队一起寻找优先修补和确定漏洞定位趋势的措施。

    漏洞利用和恶意软件攻击的趋势经常交叉在一起，因为威胁组织针对这些缺陷，将其恶意代码交付、分发和执行到易受攻击的系统上。在整个 2021 年上半年，有几起值得注意的网络事件，因其广泛的影响和攻击中使用的新颖技术而获得了主流关注，这些事件证明了这种交叉情况。这些事件涉及到黑客利用关键漏洞将恶意软件部署到受感染的系统上，例如 Accellion FTA 软件、Microsoft Exchange Servers、macOS 和 QNAP 设备。以上的攻击说明了网络犯罪分子、勒索软件运营商和国家支持的团体等对高风险漏洞的快速定位和利用。

    2021 年上半年，随着越来越多的运营商开始雇用附属机构来提高攻击的有效性，勒索软件市场逐渐成熟。勒索软件运营商通过在攻击中添加 DDoS、针对 Linux 系统、快速利用新披露的漏洞，甚至针对攻击中的零日漏洞，证明了其行为更加复杂。这种演变表明，勒索软件运营商不再被视为无组织的网络犯罪分子，而是拥有与民族国家黑客组织等成熟组织竞争的资源。

    在对僵尸网络活动的调查中，执法部门于 2021 年 1 月成功取缔了 Emotet 僵尸网络，是近年来对恶意软件和网络犯罪分子重要的一次打击活动，导致上个季度其他机器人的使用有所增加，包括 Trickbot、IcedID、BazarLoader和 Qakbot。

    关于 2021 年上半年漏洞格局的趋势，源自第三方产品漏洞的供应链攻击占据了新闻头条。此外，企业软件中的漏洞比消费级软件更频繁的成为目标，主要供应商的高风险漏洞在今年上半年飙升。

（图片来源：recorded future）

    2021年上半年，几起涉及黑客利用关键漏洞将恶意软件部署到受损系统的网络事件，引起了广泛关注。对Accellion FTA软件、Microsoft Exchange服务器、macOS和QNAP设备的攻击表明，网络犯罪分子、勒索软件运营商和国家支持的团体都在快速利用高价值漏洞。

    2021年1月，Accellion确认其遗留FTA软件中存在漏洞。他们进一步声称，他们于2020年12月中旬首次了解到该漏洞，随后发布了一个补丁，“在72小时内影响最小”。然而，在Accellion的首次新闻发布后的几周内，其他多家公司披露了因利用AccellionFTA而发生的数据泄露。受害者的数据开始出现在CL0P LEAKS网站上，表明Clop勒索软件利用了未修补的漏洞CVE-2021-27101、CVE-2021-27102、CVE-2021-27103和CVE-2021-27104。

    此外，黑客利用FTA软件中的这些漏洞，将DEWMODE Webshell放在受害者服务器上，并从这些服务器中过滤文件，通过SQL注入漏洞CVE-2021-27101获得初始访问权限。黑客利用Accellion FTA中的零日漏洞是访问这些服务器并进一步利用这些服务器的关键。

    2021年3月，微软披露了Exchange邮件服务器产品正在被频繁利用，包括2013年以后（2016年、2019年）的服务器易受攻击；微软同一天发布了漏洞修补程序。被利用的漏洞被集体称为ProxyLogon，并被追踪为CVE-2021-26855、CVE-2021-27065、CVE-2021-26857和CVE-2021-26858。

    据微软称，研究人员发现受损系统在其内部有多个Webshell环境。在2021年3月，CISA发现了9个与Exchange服务器目标相关的Webshell。它们至少从2013年起就发现在野，这是黑客可以使用post-exploitation的工具，允许他们在受损服务器上远程执行代码。

有外媒曾对美国中央情报局（Central Intelligence Agency，简称“CIA”或“中情局”）投资的部分尖端科技创业公司进行了盘点，称中情局拥有一个投资公司，专门资助对该机构可能产生影响的那些初创公司，这已不是一个秘密，这一切都是为了确保中情局保持在科技前沿。而Recorded Future公司就是其中一家。

谷歌旗下风险投资部门Google Ventures和中情局下属的风险投资公司In-Q-Tel都对Recorded Future公司进行了投资。Recorded Future是一家位于美国东北部马萨诸塞州的互联网实时监控企业，号称可以利用互联网中公布的大量信息预测某一事件的发展趋势，从而为中情局提供情报。该公司通过扫描新闻网站、博客、政府网站、社交网络、金融数据库以及网络出版物来搜集信息，同时通过自己特有的算法对这些信息按照人、事和地点等方面进行分析和整理，并且通过分析过去和现在的事情，预测未来可能发生的情况，最终利用图表和时间轴的方式来向用户展示直观的视图，帮助用户预测未来。

Recorded Future会对数以万计的网站、博客和Twitter账户进行监控，找出个人、组织、行为与现在和将来的事件之间的联系。该公司在一份白皮书中表示，其分析引擎可以“找出涉及相同或相关实体和事件的文档之间的‘无形联系’”，从而“超越搜索”。Recorded Future希望搞清每起事件牵扯的个人、发生的地点以及何时有可能结束，然后再对相关的信息进行标记，从而展示出相应事件的网络“势头”。它会剥离出网页中涉及的人物、地点以及活动，还会对这些事件发生的时间和地点(时间与空间分析)以及文档的口吻(语义分析)进行检查，之后再利用一些人工智能算法提炼出相关人物之间的联系。RecordedFuture拥有1亿多起事件的索引，并将其存储在亚马逊的服务器中。

    外媒称，美国情报机构对于挖掘“公开情报”越来越感兴趣。所谓公开情报，是指那些可以通过公共渠道获得，但经常被隐藏在大量的日常电视节目、报纸、博客、网络视频以及广播报道中的信息。

　　美国情报机构已经通过In-Q-Tel投资了多家企业，希望借此更好地挖掘信息。该机构投资的Visible Technologies每天都会对众多网站进行挖掘，查看博客、YouTube、Twitter和亚马逊上的文章和对话。还有一家获得投资的名为Attensity的公司，使用语法来分析网络中“无客观意义的文本”，使之更容易被政府的数据库理解。Keyhole(现在的谷歌地球)则是军事情报机构的主要投资对象。

    （来源：recorded future官网等。本文参考内容均来源于网络，仅供读者了解和掌握相关情况参考，不用于任何商业用途。侵删）