原文章:点击打开链接
在今天的文章中,我们将探讨分析漏洞工具包的规模——即有多少用户受到影响,哪些漏洞工具包最受欢迎,用户们又来自哪里。
这里使用的数据源自Trend Micro公司各款产品在整个2015年年内所分析得出并加以屏蔽的漏洞工具包URL。这部分信息代表着整体威胁环境中一套相当庞大的样本,并允许我们观察其中呈现的各类长期整体性趋势,最终立足于此实现用户保护。
2015年,Trend Micro检测到屏蔽了约140万人次指向漏洞工具包相关URL的访问活动。图一所示为这些受屏蔽访问的各季度次数分布。可以看到,其中最大增量出现在2015年第一季度到第二季度之间。到第四季度,我们看到的每季度受屏蔽访问次数已经达到上年同期的两倍。从任何一种角度出发,这都意味着漏洞工具包的使用频率正显著提升。
图1、2015年被检测到的漏洞工具包攻击活动数量
那么这样的态势是否源自某种单一漏洞工具包?答案是否定的。然而,我们发现整个2015年当中确实有三款漏洞工具包最为活跃:Angler、Nuclear以及Magnitude。特别是Angler,其不断引入最新漏洞的作法使其成为众多攻击者的最佳选项。三者加起来占据过去一年漏洞工具包使用总量中的86%,具体如下图所示:
图2、2015年被检测到的漏洞工具包的使用分布情况
这三款占主导地位的漏洞工具包在2014年中就已经非常活跃,并在整个2015年继续肆虐。其它成功完成“跨年”的漏洞工具包还包括Neutrino与Rig。不过也有一些曾在2014年得到广泛应用的工具包于2015年内逐渐消失:Fiesta与Sweet Orange就属于这一类。另外,一款名为Sundown的新型漏洞工具包亦于2015年首度出现。
我们的数据显示,日本与美国的用户成为2015年当中漏洞工具包的主要针对对象,这一结论与2014年保持一致。日本用户面临多种工具包的威胁,特别是去年3月(Nuclear)与4月(Neutrino),这种趋势在夏季进一步得到强化(Rig)。到2015年下半年,日本用户开始频繁受到Angler的侵扰,这主要是由于持续蔓延的恶意广告行为所推动。
图3、日本漏洞工具包流量每周记录
在美国,过去12个月内也出现了类似的走势。当年年初,Hanjuan曾凭借着零日漏洞肆虐一时。而4月与7月,Magnitude漏洞工具包则全面进入活跃期。7月的态势相当程度上源自Adobe Flash安全漏洞于6月被添加至Magnitude当中。与日本一样,Angler漏洞工具包同样在下半年成为最为严重的用户威胁因素。其它成为漏洞工具包主要目标的国家还包括澳大利亚、加拿大、法国、德国和英国。
图4、美国漏洞工具包流量每周记录
如果我们着眼于各漏洞工具包最为关注的三大主要对象,就会发现其在全球范围内的活动拥有广泛的行为模式:Angler与Nuclear漏洞工具包主要影响日本用户,而Magnitude的近半数指向对象来自美国。
图5、2015年全球Angler、Magnitude和Nuclear漏洞工具包流量分布情况
总结
2015年我们发现漏洞工具包相关攻击活动在数量上迎来显著提升,这主要是由于全年战略与战术性漏洞应用行为变得愈发活跃。在此期间,当年第二季度成为增长速度最快的时间周期。
在受影响群体当中,我们的数据显示日本与美国用户成为占比最高的指向目标。其它受到频繁侵扰的国家还包括澳大利亚、加拿大、法国、德国与英国。
多年以来,漏洞工具包一直是一类非常严重的安全威胁,而且只要存在漏洞的应用程序仍在被广泛使用,它们就将继续作为威胁存在。处理这类漏洞工具包的最佳手段从未改变——我们强烈建议用户与系统管理员始终保持软件及时更新,从而尽量降低任意安全漏洞带来的潜在风险窗口。
/文 转载请注明E安全
E安全——全球网络安全新传媒
9000
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
