与时间赛跑：黑客在漏洞披露仅15分钟后就开始搜寻受害者了

网络安全公司Palo Alto Networks表示，攻击者利用未披露零日漏洞的速度不断加快。 

Palo Alto Networks的《2022年事件响应报告》涵盖了600个事件响应（IR）案例。报告揭示，攻击者通常会在披露后的15分钟内就开始扫描漏洞。

其中包括2021年的几个重大漏洞，例如Exchange Server ProxyShell和ProxyLogon漏洞集、长期驻留的Apache Log4j缺陷（又名Log4Shell）、SonicWall零日漏洞和Zoho ManageEngine ADSelfService Plus。 

Palo Alto Networks在报告中表示：“只要新漏洞一披露，我们的威胁情报团队就会观察到对易受攻击系统的广泛扫描。” 

F5旗下Big-IP软件中的一个高危漏洞，则是令攻击者迅速扫描互联网，搜寻受影响设备。今年5月，网络安全与基础设施安全局（CISA）将这个重大漏洞添加到了其不断增长的已知遭利用漏洞目录中。漏洞特征发布后不到10个小时的时间里，Palo Alto Networks就观测到了2500次针对该漏洞的扫描。 

虽然网络钓鱼仍是最主流的初始访问方式，占事件响应案例的37%，但软件漏洞也占据了31%之巨。凭证暴力破解攻击（如密码喷射）占9%，其他占比较小的类别还有此前被盗凭证（6%）、内部人威胁（5%）、社会工程（5%）和信任关系/工具滥用（4%）。   

作为初始访问源头的漏洞中，超过87%归于六个漏洞类别之一。 

最常见的初始访问漏洞是Exchange Server ProxyShell，占Palo Alto Networks所响应案例的55%。微软赶在2021年初为ProxyShell及相关ProxyLogon漏洞提供了补丁，但这些漏洞仍然成为了Hive勒索软件团伙等几个威胁组织的首要目标。  

Log4j仅占Palo Alto Networks响应案例的14%，其后是SonicWall的漏洞（7%）、ProxyLogon（5%）、Zoho ManageEngine（4%）和FortiNet（3%）。其他漏洞占据了剩余的13%。 

仅就涉及勒索软件的事件响应案例而言，该公司发现，其中22%出自易泄露的Conti团伙之手，其次是LockBit 2.0（14%）。其余勒索软件团伙各占不到10%，其中包括Hive、Dharma、PYSA、Phobos、ALPHV/BlackCat、REvil和BlackMatter。   

Palo Alto Networks预测，在全球经济压力之下，对利润丰厚的勒索软件和非加密勒索攻击的报道，会将更多新手黑客卷入网络犯罪。

由于执法部门能够成功顺着加密钱包追踪到其所有者，以及加密货币的不稳定性，该公司还预测，商务电邮欺诈可能会迎来增长，此类骗局价值430亿美元，只不过在公众讨论中被破坏性勒索软件攻击盖过了风头。