谷歌威胁情报小组2024年0day漏洞利用分析报告

发布于 作者:

谷歌威胁情报小组2024年0day漏洞利用分析报告

原创 谷歌威胁情报小组 独眼情报 2025-04-30 04:53

背景介绍

谷歌威胁情报小组(GTIG)在2024年共追踪到75个野外被利用的零日漏洞。尽管较2023年的98个有所下降,但仍高于2022年的63个。我们观察到两个显著趋势:
1. 目标转向企业技术
:针对安全软件、网络设备等企业级产品的攻击占比从2023年的37%升至44%,反映出攻击者追求更高效率的网络入侵手段。

  1. 终端平台防御强化
    :浏览器和移动设备的漏洞利用数量显著减少(Chrome和移动设备分别下降35%和47%),印证了供应商安全改进的成效。

值得注意的是,商业监控供应商(CSV)
正通过加强操作安全降低被检测概率,而朝鲜国家背景攻击者
首次跻身零日漏洞利用量前三,显示出地缘政治因素对网络安全格局的影响。

核心发现

图1:2019-2024年零日漏洞数量变化

图1:2019-2024年零日漏洞数量变化

关键数据洞察

  • 终端用户技术
    (56%):

  • 操作系统漏洞占比激增至30%(2023年17%)

  • Chrome浏览器仍是主要目标(11个漏洞)

  • 安卓第三方组件漏洞占比43%(7个中3个)

  • 企业技术
    (44%):

  • 安全/网络设备漏洞占企业类别的60%以上

  • 受攻击厂商达18家(较2023年22家略有下降)

图2:终端产品漏洞两年对比

图2:终端产品漏洞两年对比

攻击者画像

图3:2024年零日漏洞利用者类型

图3:2024年零日漏洞利用者类型

三大焦点群体

  1. 国家背景攻击者
    (53%):

  2. 朝鲜APT组织创纪录利用5个零日漏洞

  3. 利用Windows驱动漏洞(CVE-2024-21338)突破内核防护

  4. 商业监控供应商

  5. 通过定制USB设备(CVE-2024-53104等)物理入侵移动设备

  6. 运营安全升级导致检测率下降

  7. 经济动机组织

  8. FIN11团伙持续攻击文件传输系统(CVE-2024-55956)

  9. CIGAR组织混合金融/间谍活动,利用Firefox漏洞链(CVE-2024-9680/49039)

技术深度解析

案例1:WebKit凭证窃取攻击链

  • 漏洞组合
    :CVE-2024-44308(RCE) + CVE-2024-44309(数据隔离绕过)

  • 攻击手法

  • 通过乌克兰外交学院网站注入恶意JS

  • 利用JIT编译漏洞构建假TypedArray

  • 调用WebCookieJar接口窃取Microsoft在线登录凭证

  • 战术创新
    :放弃完整攻击链,专注cookie窃取以降低暴露风险

案例2:CIGAR组织的双重提权攻击

  • 漏洞利用

  • CVE-2024-9680 (Firefox RCE)

  • CVE-2024-49039 (Windows 提权)

  • 技术细节

  • 通过ubpmtaskhostchannel端点绕过RPC安全限制

  • 滥用WPTaskScheduler创建SYSTEM级计划任务

  • 同一漏洞被多个组织用于加密货币钓鱼攻击

图4:ubpm.dll中的RPC端点配置缺陷

图4:ubpm.dll中的RPC端点配置缺陷

防御建议

企业防护策略

  1. 网络设备优先防护
    :对VPN、防火墙等设备实施严格补丁管理

  2. 纵深防御架构

  3. 最小权限原则

  4. 关键系统网络隔离

  5. EDR覆盖安全设备

供应商应对措施

  • 代码安全实践
    :加强释放后使用、命令注入等漏洞的自动化检测

  • 安全设计范式

  • RPC接口的端点/接口/临时检查三重防护

  • 沙盒逃逸防护机制升级

  • 威胁情报共享
    :建立跨行业漏洞预警机制

未来展望

  1. 攻击面持续扩大
    :医疗IoT、工业控制系统可能成为新目标

  2. 漏洞利用商业化
    :CSV可能提供零日漏洞租赁服务

  3. AI双刃剑效应

  4. 攻击方:自动化漏洞挖掘加速

  5. 防御方:AI驱动的威胁检测升级

图5:企业供应商受攻击数量变化

图5:企业供应商受攻击数量变化

本分析基于GTIG的威胁情报数据,实际漏洞数量可能因后续发现调整。防御者需建立动态安全策略,持续跟踪威胁态势演变。