2024年在野零日漏洞利用分析(上)

发布于 作者:

2024年在野零日漏洞利用分析(上)

原创 Zer0d0y 天御攻防实验室 2025-04-29 16:09

2024年在野零日漏洞利用分析Hello 0-Days, My Old Friend: A 2024 Zero-Day Exploitation Analysis谷歌威胁情报部门(GTIG)研究报告 | 上篇
谷歌威胁情报部门(GTIG)今天发表了2024年在野零日漏洞利用分析的报告《Hello 0-Days, My Old Friend: A 2024 Zero-Day Exploitation Analysis》,此类报告前几年由Google Project zero和Google TAG编写,谷歌收购Mandiant后,整合了Mandiant情报、Google Project zero、Google TAG和谷歌其他情报团队,形成一个统一对外的部门谷歌威胁情报部门(GTIG)。

本文为上篇,主要介绍《2024年在野零日漏洞利用分析》(下称报告)的主要发现,
下篇将基于我们自己的研究,重点介绍政府支持的网络行动分析。

注意:谷歌的报告没有统计西方国家网络行动中利用的零日漏洞。

为什么?

在与多家大型网络安全厂商的APT狩猎团队深入交流后,我了解到他们内部如何处理”友邦国家”的网络活动——这些公司的人员无一例外地承认,他们会将此类行为”加入白名单”并”事后抹除痕迹”,以此”保护友方行动不被破坏”。

即便抛开这些对话不谈,现实也摆在眼前:绝大多数网络安全厂商和威胁情报公司,哪个不是手握西方政府数十亿美元的大单?哪家没通过情报机构投资部门(比如In-Q-Tel)获得数亿乃至数十亿美元的风投资金?又有哪家不是雇了成百上千名情报界/军方出身的人员——这些人可占据着网络安全行业绝大多数关键岗位。

很难否认这个行业存在严重倾向性:紧盯政府及其盟友的敌人,而对己方行动被曝光时,不是轻描淡写就是竭力阻挠公众知情。

报告详细描述了2024年全球范围内检测到的零日漏洞利用情况。报告基于GTIG的原创研究、违规调查结果以及可靠的公开来源数据,追踪了75个在野外被恶意利用的零日漏洞。报告将漏洞分为两类:终端用户平台和产品(例如移动设备、操作系统和浏览器)以及企业重点技术(例如安全软件和网络[安全]设备)。GTIG指出,其分析数据可能不完全反映所有零日利用情况,因研究具有动态性,数据可能随后续调查而调整。

Google TAG的传奇零日漏洞猎手Clément Lecigne(可能是当今世界上抓到最多0day的男人?)在接受采访时表示,间谍软件厂商”正在投入更多资源用于行动安全(OPSEC),以防止其能力被曝光并避免成为新闻焦点”。

谷歌补充说,监控供应商的数量仍在持续增加。

GTIG的首席分析师James Sadowski在接受采访时表示:”在执法行动或公开披露导致某些供应商倒闭的情况下,我们看到新的供应商崛起,提供类似的服务。只要政府客户继续需求并支付这些服务的费用,该行业就会持续增长。”

James Sadowski特别提到”锁定模式”(Lockdown Mode),这是iOS和macOS的一项特殊功能,通过禁用某些功能来增强手机和电脑的安全性,已被证明能有效阻止政府黑客的攻击;此外还有”内存标记扩展”(Memory Tagging Extension, MTE),这是现代谷歌Pixel芯片组的一项安全功能,有助于检测特定类型的漏洞并提升设备安全性。

2. 关键数据与趋势

2.1 零日漏洞数量变化

75个

2024年GTIG追踪到的零日漏洞数量,较2023年的98个有所减少,但仍高于2022年的63个,显示出零日利用的总体趋势在过去四年中呈缓慢但稳定的增长。

报告指出,检测能力的提升和公开披露的增加是近年来检测到更多零日利用的主要原因。

零日漏洞数量年度变化

2.2 目标分布:终端用户与企业技术

终端用户平台和产品
:2024年,56%(42个)的零日漏洞针对终端用户技术,包括浏览器、移动设备和桌面操作系统。其中:
– 浏览器和移动设备的零日利用显著下降,浏览器从2023年的17个降至11个,移动设备从17个降至9个。

  • Chrome是浏览器零日利用的主要目标,反映其全球用户基础的庞大。

  • 移动设备利用中,约90%的攻击依赖多漏洞利用链。

  • Android设备中第三方组件的漏洞利用持续存在,2024年7个Android漏洞中有3个来自第三方组件。

  • 桌面操作系统(OS)的漏洞数量增加,从2023年的17个增至2024年的22个,占总零日漏洞的近30%,其中Microsoft Windows的零日漏洞从2022年的13个增至2024年的22个。

企业技术
:2024年,44%(33个)的零日漏洞针对企业技术,比例从2023年的37%上升,主要集中在安全和网络软件及设备上。
– 安全和网络产品成为高价值目标,2024年有20个漏洞(占企业技术零日利用的60%以上)涉及此类产品,例如Ivanti Cloud Services Appliance、Palo Alto Networks PAN-OS和Cisco Adaptive Security Appliance。

  • 企业技术目标的多样性增加,2024年有18个独特的企业厂商受到攻击,占总厂商的90%(20个)。

终端用户与企业技术目标分布

2.3 厂商受影响情况

厂商
2024年漏洞数量
变化趋势
Microsoft
26
↑ 较2023年增加
Google
11
↓ 较2023年减少
Ivanti
7
新上榜
Apple
5
↓ 较2023年减少

受影响最多的厂商包括大型科技公司和安全网络产品供应商。Microsoft以26个零日漏洞居首,其次是Google(11个),Ivanti(7个)和Apple(5个)。

Ivanti成为第三大目标,反映出黑客对网络和安全产品的关注增加。

2.4 漏洞类型

2024年,超过一半(42个)的零日漏洞被用于远程代码执行(RCE)和权限提升。

最常被利用的漏洞类型包括:
Use-after-Free(8个)
:常见于硬件、低级软件、操作系统和浏览器。

  • 命令注入(8个)
    :几乎全部针对网络和安全软件,用于控制更大规模的系统和网络。

  • 跨站脚本(XSS,6个)
    :目标包括邮件服务器、企业软件、浏览器和操作系统。

这些漏洞类型均源于软件开发错误,报告强调通过代码审查、更新遗留代码库和使用最新库等安全编码实践可有效预防。

3. 威胁行为体分析

3.1 总体归因情况

45%

GTIG在2024年对75个零日漏洞中的34个(约45%)进行了归因,较2023年略有下降,但高于2022年的30%。

归因显示,传统间谍活动行为者(包括政府支持团体和商业监控供应商CSVs)占归因漏洞的53%(18个),其中10个归因于可能的国家支持威胁团体,8个归因于CSVs。

3.2 主要威胁行为体

  • 国家支持
    XXX支持的团体
    :持续为最活跃的政府支持零日利用者,2024年归因5个漏洞,全部针对安全和网络技术,例如Ivanti设备上的CVE-2023-46805和CVE-2024-21887。

  • 国家支持
    朝鲜行为体
    :2024年首次与XXX团体并列,归因5个漏洞,结合间谍和财务动机,目标包括Chrome(2个)和Windows产品(3个),例如CVE-2024-38178和CVE-2024-21338。

  • 商业监控
    商业监控供应商(CSVs)
    :贡献了8个零日漏洞利用,尽管数量较2023年下降,但仍远高于2022年及之前,显示其在零日利用领域的作用扩大。

  • 财务动机
    非国家行为体
    :约15%(5个)的归因漏洞与财务动机团体相关,例如FIN11利用文件传输产品的CVE-2024-55956进行数据盗窃勒索。此外,CIGAR(UNC4895/RomCom)利用CVE-2024-9680和CVE-2024-49039,结合财务和间谍动机。

4. 具体案例分析

4.1 WebKit窃取Cookie(CVE-2024-44308, CVE-2024-44309)

2024年11月12日,GTIG检测到针对乌克兰外交学院网站的恶意JavaScript代码,利用WebKit远程代码执行漏洞和数据隔离绕过漏洞,目标为MacOS Intel硬件用户,目的是窃取用户Cookie以访问login.microsoftonline.com。

报告推测攻击者未使用完整利用链的原因可能包括技术限制、成本考量或仅需窃取凭据即可满足目标。

4.2 CIGAR权限提升(CVE-2024-49039)

2024年10月初,GTIG发现CIGAR针对Firefox和Tor浏览器的利用链,利用use-after-free漏洞(CVE-2024-9680)和沙箱逃逸/权限提升漏洞(CVE-2024-49039),从低完整性级别(Low Integrity Level)提升至SYSTEM级别。

此外,一个可能的财务动机团体也在同一漏洞仍为零日时,利用相同漏洞通过加密货币新闻网站的水坑攻击(Watering Hole)进行攻击。

5. 展望与启示

5.1 未来趋势预测

报告预测零日漏洞利用将持续缓慢上升,操作系统和浏览器作为高兴趣目标将持续受到攻击,而企业软件和设备的零日利用预计将继续增加。

威胁行为体将继续寻求隐秘性、持久性和检测规避,零日漏洞对他们的吸引力将保持不变。

5.2 防御建议

  • 厂商层面
    :需要加强安全编码实践,解决配置和架构设计中的漏洞,特别是在高权限和广泛连接的工具中。报告强调,许多安全和网络产品缺乏端点检测和响应(EDR)能力,需加以改进。

  • 组织层面
    :建议采用零信任原则(如最小权限访问和网络分段),并进行持续监控以快速限制和终止未经授权访问。

  • 威胁面意识
    :GTIG建议组织保持对威胁面的敏锐意识,结合厂商缓解措施的经验教训,制定针对性防御策略。

6. 总结

2024年的零日漏洞利用分析显示,尽管在浏览器和移动设备领域的攻击有所下降,但企业技术的目标比例显著上升,安全和网络产品成为高价值目标。威胁行为体的多样化(包括国家支持团体、CSVs和非国家财务动机团体)以及利用技术的复杂性,凸显了零日漏洞防御的战略性和优先级挑战。报告强调,厂商和组织需通过改进安全实践、加强检测能力和制定针对性策略,共同应对日益增长的零日威胁。

参考资料:

https://services.google.com/fh/files/misc/2024-zero-day-exploitation-analysis-en.pdf
© 天御[攻防]实验室 | 报告发布日期:2025年4月30日

推荐阅读

闲谈
1. 中国网络安全行业出了什么问题?

  1. 国内威胁情报行业的五大“悲哀”

  2. 对威胁情报行业现状的反思

  3. 安全产品的终局

  4. 老板,安全不是成本部门!!!

威胁情报

  1. 威胁情报 – 最危险的网络安全工作

2.威胁情报专栏 | 威胁情报这十年(前传)

3.网络威胁情报的未来

4.情报内生?| 利用威胁情报平台落地网空杀伤链的七种方法

5.威胁情报专栏 | 特别策划 – 网空杀伤链

6.以色列情报机构是如何远程引爆黎巴嫩传呼机的?

7.对抗零日漏洞的十年(2014~2024)

8.零日漏洞市场现状(2024)

APT
1. XZ计划中的后门手法 – “NOBUS”

  1. 十个常见的归因偏见(上)

  2. 抓APT的一点故事

  3. 揭秘三角行动(Operation Triangulation)一

  4. 闲话APT报告生产与消费

  5. 一名TAO黑客的网络安全之旅

  6. NSA TAO负责人警告私营部门不要搞“黑回去”

  7. 我们为什么没有抓到高端APT领导者的荷兰AIVD

  8. 抓NSA特种木马的方法

  9. 美中央情报局(CIA)网络情报中心

入侵分析与红队攻防
1. 入侵分析与痛苦金字塔

  1. 资深红队专家谈EDR的工作原理与规避

  2. TTP威胁情报驱动威胁狩猎

天御智库
1. 独家研判:五眼情报机构黑客纷纷浮出水面

  1. 美军前出狩猎并不孤单,美国网络外交局优先事项分析

  2. 《国际关系中的网络冲突》

  3. 首发 | 特朗普政府对华网络政策评估