勒索软件攻击最多的四大漏洞

无论是各大 络安全公司此前发布的威胁 告，还是Coalition这样的 络安全保险服务商公布的索赔数据，都明白无误地表明，勒索软件是2020年最猖獗的，同时也是给企业造成损失最大的攻击手段。而软件漏洞，尤其是高龄漏洞和Windows远程访问工具漏洞，则是勒索软件渗透企业防御体系的重要突破口。

根据Check Point的年中 告，2020年上半年观察到的攻击中，80%使用2017年及更早时间 告和注册的“旧漏洞”，超过20%的攻击使用至少7年的高龄漏洞。这表明我们在保持软件最新时有问题。

根据SenseCy的最新研究，勒索软件攻击并不都是由Windows漏洞触发的，很多攻击者利用了用于远程访问Windows 络的工具中的漏洞。以下是研究人员发现的勒索软件热衷使用的四大漏洞：

正如FireEye博客文章中指出的，Ragnarok勒索软件攻击使用Citrix漏洞作为突破口，然后下载用作Windows证书服务一部分的本机工具（在MITRE ATT&CK框架中归类为技术11005）。然后，攻击者下载执行since1969.exe二进制文件，该二进制文件位于目录 C：UsersPublic中，并从当前用户的证书缓存中删除URL。

该漏洞曾被用于窃取和公开900多台VPN企业服务器的密码。今年6月，勒索软件Black Kingdom还利用Pulse VPN的这个漏洞发起攻击，冒充谷歌Chrome的合法定时任务。

真正令人感到不安的趋势是，上述四大漏洞的数量和年龄。这表明大量企业的漏洞和补丁管理流程依然存在很大漏洞，企业需要尽快修补入口点并扫描补丁工具遗漏的高龄漏洞。