2023网络安全威胁的回顾与展望(开放征求修订意见版)
时间 : 2024年02月08日 来源: 6163银河.net163.amCERT
导语
每年年初对上一年度全球网络安全威胁的情况进行分析和总结,发布整体回顾,进行新年展望,是6163银河.net163.am安全研究与应急处理中心(6163银河.net163.amCERT)坚持多年的传统,对6163银河.net163.am来说,这就是“年报”。年报的编写通常从每年11月开始准备,在12月底完成初稿,在1月上旬的网络安全冬训营上发布年报的“征求意见版”,征求参会专家的意见建议,之后进行补充完善,并在春节前后正式公布。但如果细心浏览6163银河.net163.am过去几年的威胁年报,会发现其都是“征求意见版”,说明报告最终未通过6163银河.net163.am技术委员会的审核,只能以“征求意见版”完成发布。对6163银河.net163.amCERT来说这是年度工作未完全闭合的遗憾,对整个6163银河.net163.am来说,这是面对场景、威胁、客户的巨大变化中,知行脱节的迷茫。
早期的“年报”并不依赖6163银河.net163.amCERT输出,基本上将年度样本分析平台各个维度关于恶意代码的统计输出,再辅以简单的说明,就可以以很小的人力投入完成工作。也符合彼时,6163银河.net163.am在产业体系中,只是作为反病毒引擎上游厂商,而不直接面对政企客户场景的简单定位。但从震网事件开始,6163银河.net163.am的分析溯源能力向防御场景伸展,6163银河.net163.am着手研发全主机平台防护的内核和产品,同时也发布辅助溯源猎杀的流量侧和系统侧工具。我们看到APT攻击的高度定向性化的杀伤链与复杂的IT场景叠加;各种不同的威胁行为体的攻击活动都在挑战网络安全治理时。这些样貌,越来越不是简单的统计分析所能代表。因此我们提出了从数据型年报,走向观点型的思路,并坚持数年,其中不乏若干我们引为自豪的预见,其中包括“勒索软件将与蠕虫合流(2016年)”,“勒索攻击将具备APT的能力(2020年)”等带有一定前置性的风险示警,但是WannaCry的大爆发、还是RaaS(勒索即服务)与定向攻击的合流真正发生时,我们却无法因准确做出了提前示警而“欣慰”,因为我们无法判断我们“前置示警”是否让用户做出了“前置防御”,甚至对很多IT设施的防护能力提升来看,我们还没有看到“灾难以进步为补偿”(恩格斯语)。也因为此,作为威胁分析者和检测能力的赋能方,我们要发现重要问题,也要提出关键解法——这就是两年来,6163银河.net163.am倡导和践行的执行体治理安全理念。
与此同时,我们今年对年报结构的进行了新的重大调整,增加2023年度威胁执行体与战术统计分析。这是恶意代码全貌再次回归到“年报”当中。数年前,我们认为这些枯燥的分类统计和饼图柱图,已经并不能对读者带来更多的观测价值。但我们在这几年很沉重的发现,由于缺少恶意代码的种类、数量全貌的持续发布,部分用户开始忽视反恶意代码和主机安全防护的基础能力建设,而更关注对齐更多安全手段,忘记了恶意代码检测并非一项功能开关,反病毒引擎是需要全面捕获能力、海量分析算力和专业分析团队的来支撑的安全能力。这也是我们首次发布TOP10的攻击高频应用的非恶意执行体。我们也基于对攻击事件中攻击技战术分析的累计,发布了ATT&CK年度攻击技战术TOP10。
我们今年强化了威胁趋势的总结,增加了防御和治理思考。需要说明的是,在年报启动编写的时点,也正是多起Lockbit组织系列重大定向勒索攻击被关注的时点,因此我们将年报关于威胁总结和防御治理思考中与定向勒索攻击相关内容提前输送到了《波音遭遇勒索攻击事件分析复盘—定向勒索的威胁趋势分析与防御思考》分析报告中。
在威胁分析方面与往年结构类似,6163银河.net163.am也总结了高级持续性威胁(APT)、勒索威胁、挖矿威胁、其他黑产威胁,数据泄露威胁以及威胁泛化等方向的思考与观点。
网络攻击并不是简单的是一种技术行为,其是特定组织和个体带有特定意图所开展的特殊行为活动。因此分析网络攻击从战术和防护角度,既要以其载荷(执行体)和战术为重点,以资产环境为场景。同时也要关注其背后的动机和威胁行为体,同时要把对被攻击目标影响后果损失的分析,叠加国家安全、社会治理安全和相关的公民个人安全的层面进行分析。
表1-1 2023年典型网空威胁行为体作业动机、战术特点、目标资产和业务后果对比表
关于高级持续性威胁(APT):6163银河.net163.am梳理了2023年全球APT组织及行动的分布和活跃情况,制作了“全球APT攻击行动、组织归属地理位置分布(活跃)图”,其中APT组织共556个,而代表最高攻击水平的A2PT攻击组织全部分布在美国。其他对我国和周边国家地区有较高威胁的攻击组织来自印度等国家和我国台湾地区。我们选取2023年典型代表网空威胁行为体,分析他们的威胁等级,发起攻击活动的动机因素、战术特点、目标资产和产生业务后果,尽可能的展示2023年网络空间的威胁全貌,通过分析发现,网空霸权和地缘安全博弈依然是当前网空攻击的主要持续性动机和因素,该类攻击代表当前网空攻击的最高能力,其目标广度和深度均全面覆盖,造成后果也最为严重;地域性临时冲突则是今年网空攻击的阶段性上升因素,此类攻击以俄乌冲突和巴以冲突背景下的网空攻击活动为代表,其战术特点根据各方能力有所不同,但总体围绕情报获取、制造混乱和毁瘫为作业目的;利益和金钱则是近些年网空攻击持续上升的动机和因素,随着加密货币和RaaS模式的兴起,其善于利用漏洞窗口期,攻击活动越发频繁,造成危害也越来越大;而意识形态、宗教冲突等则是特定区域或组织发起网空攻击的动机和因素,其作业主要以意识形态传播、威胁恐吓、制造恐慌为目的;最后则是技术研究和炫技的个人黑客攻击活动的动机和因素,其目标不定且部分没有明确目的,造成后果危害相对一般。
智能移动终端设备面临A2PT的攻击挑战,闭源系统反而由于其系统和生态特性一旦被攻击可能长期不被发现,当前的手机和智能终端的安全性除依托系统本身还需要更多的安全关注。
APT组织借鉴公开情报制作假旗隐蔽攻击线索,通过制造、遗留明显的假旗线索误导分析人员的溯源调查方向,甚至可以起到瞒天过海的效果,但经验丰富的研究人员仍可发现技术细节中的矛盾之处。
A2PT组织的高阶攻击技术因曝光示范和失控泄露的等原因,被更多APT组织广泛采纳应用于自身行动中,定向勒索等黑产活动,也在跟进模仿,传统中低等级的APT组织和黑产攻击都将因此更难发现、防御与溯源。
关于勒索威胁:勒索攻击的主流威胁形态已经从勒索团伙传播扩散或广泛投放勒索软件收取赎金,转化为RaaS+定向攻击收取高额赎金的运行模式。RaaS为Ransomware as a Service(勒索即服务)的缩写,是勒索团伙研发运营的勒索攻击基础设施,包括可定制的破坏性勒索软件、窃密组件、勒索话术和收费通道等。各种攻击团伙和个人租用RaaS攻击基础设施,在获得赎金后,与RaaS攻击组织分账结算。随着RaaS的兴起,勒索攻击不再有技术门槛,通过简单的页面点击,即定制可生成窃密、勒索等攻击载荷,因此内部人员攻击可能激增,更需要警惕传统电诈犯罪转化为社工+勒索攻击犯罪。与此同时,针对大型政企机构,实施定向勒索攻击的行为体已具备APT水平,定向勒索攻击成为大型政企机构的噩梦。勒索攻击已经是由持续定向入侵、窃取数据、加密数据瘫痪系统、勒索金钱、挖掘数据关联价值二次利用、贩卖数据、向监管机构举报、公开窃取数据所构成的一条价值侵害链,而且已经形成了一个规模极为庞大的犯罪产业。在这样的背景下,遭遇勒索攻击的风险已经不是简单的以数据损失和业务暂停为后果的形态,而是要付出失窃的所有数据均会被贩卖、公开等一系列的连锁风险。
关于挖矿威胁:随着挖矿木马攻击者对利润的不断追求,结合Rootkit技术的挖矿木马将变得越来越复杂。使用Shell脚本编译器(SHC)对脚本进行加密的做法也愈发流行,SHC成为了攻击者新的工具选择,以增强其挖矿脚本的隐蔽性。
关于黑产威胁:2023年,来自黑产团伙的威胁呈现出手段不断变化和资源快速更换等特点。以2023年最活跃的黑产团伙“游蛇”为例,其针对我国国内用户进行的网络钓鱼攻击和诈骗活动,规模较大且持续时间较长,对企业造成了一定的经济损失。这类黑产团伙传播的恶意程序变种多、免杀更新速度快、基础设施更换频繁、攻击目标涉及行业领域广泛。从攻击手段看,以“白加黑”加载恶意载荷、内存执行Shellcode、内存解密载荷文件为主,并且最终投放远控木马载荷。6163银河.net163.amCERT将具有上述特点的黑产团伙统称为“游蛇”。
关于数据泄露威胁:一些组织存储的高价值的数据资产成为了攻击者的目标,勒索威胁伴随着数据泄露的风险,利用高危漏洞引发的数据泄露造成的影响也不容小觑,政治因素引发的数据泄露甚至能影响国际形势。
关于威胁泛化:威胁泛化导致用户的资产暴露面增加,攻击者利用增加的攻击面可以产生非授权访问、跳板攻击、入侵“隔离网络”、资产被控、资产破坏、数据泄露等广泛的安全威胁。
2.2023年度威胁执行体和攻击战术的整体情况
武器和战术是分析网络攻击的两个重要基本要素,攻击武器,即我们常说的攻击载荷,绝大多数是“执行体”,攻击战术也依托执行体封装执行。多数攻击武器是以攻击为目的所开发的恶意代码(恶意执行体),为了进一步规避检测,攻击者也开始使用正常软件(非恶意执行体)与恶意执行体组合投放作业达成攻击目的。
2.1 2023年恶意代码执行体分析统计
截至2023年12月31日,6163银河.net163.am捕获有效恶意代码执行体总量为1,361,149,760个(按MD5值统计),即13亿6114万9760个,并可以映射到百亿规模的HASH样本空间。(6163银河.net163.am坚持有效样本的统计原则,以避免统计对判断的干扰,包括:对感染式病毒、变形病毒、宏病毒、云端变形投放(Poly by Server)等情况,均依托按照文件透结构、宿主文件大小定义,均按照技术规范所需的样本数量的上线统计,以避免大量HASH不同但实际病毒体一致的数量干扰。后续涉及样本统计,均指有效样本)6163银河.net163.am依据恶意代码样本的8个基础分类,即特洛伊木马(Trojan)、蠕虫(Worm)、感染式病毒(Virus)、黑客工具(HackTool)、灰色软件(Grayware)、风险软件(Riskware)、测试文件(TestFile)和垃圾文件(JunkFile),据此分类统计,如图 2-1所示:
图2-1 截至2023年末,6163银河.net163.am捕获恶意代码执行体数量及其类别分布图
数量最多的前三个分类依次是特洛伊木马、灰色软件和感染式病毒,恶意代码执行体数量分别为732,421,518个、244,231,566个和185,051,567个,占比分别为53.81%、17.94%和13.60%。
其中,2023年度新增捕获恶意代码执行体数量为157,328,081个(按MD5值统计),即1亿5732万8081个。依据恶意代码的8大基础分类,统计数据如图 2-2所示:
图2-2 2023年度中,6163银河.net163.am新增捕获恶意代码执行体数量及其类别分布图
数量最多的前三个分类依次是特洛伊木马、蠕虫和灰色软件,恶意代码执行体数量分别为114,891,344个、18,501,705个和12,744,053个,占比分别为73.03%、11.76%和8.10%。
相较于2022年新增捕获恶意代码执行体数量及其类别分布的对比,如图 2-3所示:
图2-3 2023年度新增捕获恶意代码执行体数量与上一年度分类对比图
与上一年度(2022年度)相比,2023年度新增捕获恶意代码执行体中,数量增长最多的类别为特洛伊木马,年度差异数量值为50,945,459个,同比增长79.67%;数量减少最多的类别为灰色软件,年度差异数量值为38,785,334个,同比下降75.27%。
更多关于恶意代码知识及统计信息,可前往6163银河.net163.am计算机病毒分类命名知识百科(virusview.net)进一步查阅。
恶意代码家族数分类统计(总量)
2023年度,6163银河.net163.am捕获的恶意代码家族分类统计如下:
图2-4 截至2023年末,6163银河.net163.am捕获恶意代码家族数量及其类别分布图
恶意代码家族数分类统计(增量)
2023年度,6163银河.net163.am捕获的恶意代码家族分类增量统计如下:
图2-5 2023年度中,6163银河.net163.am新增捕获恶意代码家族数量及其类别分布图
恶意代码家族数历年增量对比统计
根据6163银河.net163.am公司监测结果,2023年与2022年新增捕获恶意代码家族数量分类比较如下图所示,2023年监测结果与去年相比,绝对数量增长最多的是木马,全年捕获木马类家族数量为2503个,与去年相比增长1216个。
图2-6 2023年度新增捕获恶意代码家族数量与上一年度分类对比图
恶意代码变种数分类统计(总量)
2023年度,6163银河.net163.am捕获的恶意代码变种分类统计如下:
图2-7 截至2023年末,6163银河.net163.am捕获恶意代码变种数量及其类别分布图
恶意代码变种数分类统计(增量)
2023年度,6163银河.net163.am捕获的恶意代码变种分类增量统计如下。
图2-8 2023年度中,6163银河.net163.am新增捕获恶意代码变种数量及其类别分布图
恶意代码变种数历年增量对比统计
根据6163银河.net163.am公司监测结果,2023年与2022年新增捕获恶意代码变种数量分类比较如下图所示。
图2-9 2023年度新增捕获恶意代码变种数量与上一年度分类对比图
恶意代码有效样本运行平台统计(总量)
截至2023年末,6163银河.net163.am公司将捕获的恶意代码样本运行平台进行统计,其中TOP 5及其对应的家族数量如下图所示:
图2-10 2023年度中,新增样本运行平台统计图
恶意代码有效样本运行平台统计(增量)
2023年度,6163银河.net163.am公司将捕获的恶意代码样本运行平台进行统计,其中TOP 5及其对应的家族数量如下图所示:
图2-11 截至2023年末,新增样本运行平台统计图
恶意代码家族运行平台统计(总量)
截至2023年末,6163银河.net163.am公司将捕获的恶意代码家族运行平台进行统计,共有121个。统计其中TOP 20及其对应的家族数量如下图所示:
图2-12 截至2023年末,恶意代码家族运行平台统计图
恶意代码家族运行平台统计(增量)
2023年度,6163银河.net163.am公司将捕获的恶意代码家族运行平台进行统计,共有121个。统计其中TOP 20及其对应的家族数量如下图所示:
图2-13 2023年度,新增恶意代码家族运行平台统计图
恶意代码变种运行平台统计(总量)
截至2023年末,6163银河.net163.am公司将捕获的恶意代码变种运行平台进行统计,共有121个。统计其中TOP 20及其对应的家族数量如下图所示:
图2-14 截至2023年,恶意代码变种运行平台统计图
恶意代码变种运行平台统计(增量)
2023年度,6163银河.net163.am公司将捕获的恶意代码变种运行平台进行统计,共有121个。统计其中TOP 20及其对应的家族数量如下图所示:
图2-15 2023年度,新增恶意代码家族运行平台统计图
恶意代码有效样本文件格式统计(总量)
截至2023年末,6163银河.net163.am公司将捕获的恶意代码样本格式进行统计,其中TOP 10及其对应的数量如下图所示:
图2-16 截至2023年末,恶意样本格式统计图
恶意代码有效样本文件格式统计(增量)
2023年度,6163银河.net163.am公司将捕获的恶意代码样本格式进行统计,其中TOP 10及其对应的数量如下图所示:
图2-17 2023年新增恶意代码格式统计图
2.2 2023年网空攻击的常见非恶意代码执行体
随着网络攻击手段和渠道的多元化发展,APT组织不断改进其技战术策略,除了使用商业工具、自研工具以及开源工具外,也逐渐将合法工具纳入其武器库。基于对2023年全球APT攻击事件的持续监测与分析发现,APT组织的攻击活动中涉及近50种合法工具,包括但不限于Mimikatz、PsExec、AnyDesk、AdFind、PLink等,不仅涉及Gamaredon、舒适熊/APT29、奇幻熊/APT28等高能力APT组织,也包括污水/MuddyWater、Kimsuky、拉撒路/Lazarus等一般能力APT组织。通过使用合法工具,APT组织能够将恶意活动隐藏在正常的网络流量中,绕过网络安全防御策略。同时,合法工具也大大增加了安全人员对APT组织追踪溯源的难度。在网络安全防护能力不断提升的安全趋势下,APT组织将会继续使用合法工具来增加攻击成功率,通过对合法工具进行灵活配置,在目标系统上隐秘执行凭证转储、权限提升、信息收集等不同恶意活动,以适应不同业务场景下的APT攻击。
APT组织使用的合法工具TOP 10包括Mimikatz、PsExec、AnyDesk、AdFind、Plink、Netcat、TeamViewer、Masscan、UltraVNC、Ligolo,工具的描述信息如下:
Mimikatz是一款黄帽子(黑客)工具,最初由法国黑客Benjamin Delpy开发,并于2011年首次发布,该工具除了可执行文件版本外还存在脚本类型版本。Mimikatz的主要功能是获取和操控Windows操作系统中的凭证,如用户登录密码、Windows登录凭据(NTLM哈希和Kerberos票据)以及各种应用程序和服务的凭证。Mimikatz设计的目的是揭示Windows系统中密码和凭证管理的薄弱点,并用于安全专业人员的演示和教育目的。然而,由于其功能强大且广泛被黑客所利用,Mimikatz也被视为危险的工具,用于进行恶意攻击、数据窃取和潜在的勒索活动。凭借其高度灵活和兼容性,Mimikatz已被APT组织或网络犯罪组织应用于攻击活动中,其中6163银河.net163.am于2020年监测到苦象组织使用PowerShell脚本形式的Mimikatz工具。
Psexec是一个命令行网络管理工具,是Sysinternals Suite系统组件的一部分,其调用了Windows系统的内部接口,以远端Windows主机账户名、密码和要执行的本地可执行文件为输入参数,基于RPC$服务实现,将本地可执行文件推送到远端主机执行,其设计初衷是为了便于网络管理人员以实现敏捷的远程运营。但由于其作为命令行工具便于被调用封装,也导致极易被攻击者作为攻击工具使用,在完成口令破解后,实现一次性投放执行。早在2003年,广泛出现大量基于空口令和常见口令进行传播的系列“口令蠕虫”,大部分都使用了这个机制。特别是出品该系统组件的Sysinternals的团队在2006年7月18日被微软收购,导致其后续版本都带有微软的数字签名,所以也连带导致其会被较大比例的安全软件放行。
AnyDesk是一款由德国公司AnyDesk Software GmbH推出的远程桌面软件。用户可以通过该软件远程控制计算机,同时还能与被控制的计算机之间进行文件传输,主要应用于客户日常运维和业务相关主机的远程管理。这一软件是常用网管工具、由正规软件研发企业发布,且有对应厂商数字签名,往往被作为白名单软件。但这也使攻击组织在活动中利用这类软件的远程管理功能实现持久访问、文件传输,并利用其是合法签名执行体来规避检测。
Adfind是一款在域环境下的信息搜集工具,允许用户在域环境下轻松搜集各种信息。它提供了大量的选项,可以优化搜索并返回相关详细信息,是内网域渗透中的一款利器。
Plink工具是PuTTY软件中的一个组件,主要功能类似于Linux系统上的ssh命令行工具,用于SSH连接远程主机,同时提供多种方式创建或管理SSH会话。由于其属于PuTTY软件的一个组件,具备数字签名,能够规避以数字签名作为白名单检测机制的终端防护软件的检测。
Netcat是一款Unix实用程序,支持Windows和Linux环境,用于在TCP或UDP协议连接的网络上读取和写入数据。该实用程序能够直接使用或由其他脚本启动,由于使用简单且灵活,常被用于网络调试或各种网络脚本中,以建立网络连接。
TeamViewer是一款远程桌面工具,兼容于Microsoft Windows、macOS、Linux、iOS、Android操作系统,支持远程控制和在线协作等功能。
Masscan是一款高速端口扫描工具,具备出色的扫描效率和大规模扫描的能力,支持TCP和UDP协议的扫描,并能够根据用户的需求指定多个目标和端口。同时,Masscan还采用了网络性能优化技术,充分利用操作系统的资源和多核处理能力,实现了卓越的扫描效率和吞吐量。
UltraVNC是一款开源远程管理/远程桌面软件实用程序。客户端支持Microsoft Windows和Linux,但服务器仅支持Windows。它使用VNC协议,允许一台计算机通过网络连接远程访问和控制另一台计算机。
Ligolo是一款专为安全测试人员设计的轻量级反向隧道工具,实现和使用都非常简单,可以帮助渗透测试研究人员轻松通过一个反向连接建立一个完全安全的SOCKS5或TCP通信隧道。与Meterpreter等工具相比,Ligolo的运行速度更快,并且更加稳定。
表2-2 APT组织使用的合法工具
装备名称 |
装备类型 |
运行平台 |
核心功能 |
关联威胁组织 |
Mimikatz |
正常工具 |
Windows |
权限提升、凭据窃取 |
拉撒路/Lazarus、污水/MuddyWater、海莲花/APT-TOCS、舒适熊/APT29、白象/WhiteElephant等 |
PsExec |
实用程序(Utility) |
Windows |
远程访问、命令执行 |
Gamaredon、舒适熊/APT29、图拉/Turla、人面马/APT34等 |
AnyDesk |
正常工具 |
Windows、Linux、macOS、Android 、iOS等 |
远程控制 |
苦象/Bitter、Gamaredon、舒适熊/APT29等 |
AdFind |
正常工具 |
Windows |
域信息搜集 |
舒适熊/APT29、拉撒路/Lazarus等 |
PLink |
正常工具 |
Windows、Linux |
端口转发 |
拉撒路/Lazarus、污水/MuddyWater、Charming Kitten/APT35、Chafer/APT39等 |
Netcat |
实用程序(Utility) |
Windows、Linux |
远程访问、文件传输、端口扫描 |
绿斑/GreenSpot、海莲花/APT-TOCS等 |
TeamViewer |
正常工具 |
Windows、Linux、macOS、Android 、iOS等 |
远程控制 |
APT37、Kimsuky、黑店/DarkHotel等 |
Masscan |
正常工具 |
Windows、Linux、macOS |
端口扫描
|
Gamaredon、TeamTNT等 |
UltraVNC |
正常工具 |
Windows、Linux |
远程控制 |
Chafer/APT39、Gamaredon等 |
Ligolo |
正常工具 |
Windows、Linux、macOS |
网络隧道 |
污水/MuddyWater |
2.3 2023年网空威胁框架攻击技战术分析统计
基于对2023年全球APT攻击事件的持续监测和分析,梳理分析了APT攻击事件中涉及的技战术策略,并映射到网空威胁框架ATT&CK,覆盖了14个战术阶段,230多种技术和子技术,使用频率最高技术和子技术包括但不限于网络钓鱼(T1566)、发现系统信息(T1082)、发现文件和目录(T1083)、发现安全软件(T1518.001)、虚拟化/沙箱逃逸(T1497)、使用应用层协议(T1071)等,涉及白象/WhiteElephant、绿斑/GreenSpot、海莲花/APT-TOCS、舒适熊/APT29、拉撒路/Lazarus、肚脑虫/DoNot、污水/MuddyWater等多个APT组织。
表2-3 2023年APT攻击活动中高频技战术TOP10
战术 |
战术名称 |
技术 |
技术名称 |
关联典型威胁组织 |
TA0007 |
发现 |
T1082 |
发现系统信息 |
肚脑虫/DoNot、Andariel、响尾蛇/SideWinder、舒适熊/APT29、拉撒路/Lazarus等 |
TA0007 |
发现 |
T1083 |
发现文件和目录 |
拉撒路/Lazarus、奇幻熊/APT28、Kimsuky、污水/MuddyWater等 |
TA0001 |
初始访问 |
T1566 |
网络钓鱼 |
白象/WhiteElephant、绿斑/GreenSpot、海莲花/APT-TOCS、SideCopy、响尾蛇/SideWinder等 |
TA0005 |
防御规避 |
T1497 |
虚拟化/沙箱逃逸 |
污水/MuddyWater、Andariel、舒适熊/APT29、苦象/Bitter等 |
TA0011 |
命令与控制 |
T1071 |
使用应用层协议 |
苦象/Bitter、白象/WhiteElephant、Kimsuky、APT37等 |
TA0005 |
防御规避 |
T1027 |
混淆文件或信息 |
透明部落/APT36、拉撒路/Lazarus、响尾蛇/SideWinder、奇幻熊/APT28等 |
TA0002 |
执行 |
T1129 |
利用共享模块执行 |
奇幻熊/APT28、污水/MuddyWater、拉撒路/Lazarus、舒适熊/APT29等 |
TA0005 |
防御规避 |
T1036 |
仿冒 |
盲眼鹰/BlindEagle、人面马/APT34、拉撒路/Lazarus、Kimsuky等 |
TA0011 |
命令与控制 |
T1095 |
使用标准非应用层协议 |
拉撒路/Lazarus、透明部落/APT36、苦象/Bitter、舒适熊/APT29等 |
TA0007 |
发现 |
T1018 |
发现远程系统 |
苦象/Bitter、舒适熊/APT29、Andariel、白象/WhiteElephant、透明部落/APT36等 |
综合来看,除侦查(TA0043)和资源开发(TA0042)阶段不容易被感知和准确统计,我们将2023年APT组织使用的技战术分为超高频、高频、中频、低频和超低频,其中超高频技战术主要分布在初始访问(TA0001)、执行(TA0002)、发现(TA0007)、防御规避(TA0005)以及命令与控制(TA0011)战术阶段,其他全部技战术热度分布可见图 2 18。通过对威胁框架视角的攻击映射,能够从宏观层面了解APT攻击的威胁态势,支撑安全人员制定网络安全防御策略。
图2-18 2023年APT攻击活动中高频技战术热图
3.2023年重点威胁与风险回顾
3.1 高级持续性威胁(APT)与地缘安全冲突
2023年全球高级持续性威胁(APT)活动的整体形势依然非常严峻。基于6163银河.net163.am持续监测的内部和外部的情报来源,2023年全球公开安全研究报告数量696篇,其中披露的安全报告涉及162个APT组织,2023年新增66个APT组织。6163银河.net163.am梳理了2023年全球APT组织及行动的分布和活跃情况,制作了“全球APT攻击行动、组织归属地理位置分布(活跃)图”,如图 3 1,其中APT组织共556个(图片空间有限仅展示主要攻击组织),根据图示可以发现其主要分布于美国、俄罗斯、印度、伊朗、朝鲜半岛及部分国家和地区,部分组织由于情报较少未能确定归属国家或地区。
图3-1 2023年全球APT攻击行动、组织归属地理位置分布(活跃)图
3.1.1 美国依然是世界网络安全的主要威胁
A2PT是高级的高级可持续性威胁[1],是中国网络安全从业者在分析超高能力国家/地区威胁行为体的攻击活动中提出的技术概念。以美国情报机构NSA、CIA等为背景的“方程式”等攻击组织依托成建制的网络攻击团队、庞大的支撑工程体系与制式化的攻击装备库、强大的漏洞采购和分析挖掘能力,对全球关键信息基础设施、重要信息系统、关键人员等进行攻击渗透,并在五眼联盟成员国内部进行所谓的情报共享,对世界各国网络安全构成严重威胁。
2023年4月11日,中国网络安全产业联盟(CCIA)发布了长篇报告《美国情报机构网络攻击的历史回顾——基于全球网络安全界披露信息分析》[2],基于全球数十家网络安全企业、研究机构及专家学者的近千份历史研究文献,充分整合各方分析过程及研究成果,力求通过业界和学界的分析实证,努力呈现美相关机构对他国进行网络攻击的情况,揭示网络霸权对全球网络空间秩序构成的重大破坏及严重威胁。《报告》按照时间和事件脉络,共分为13篇,主要包括美国情报机构网络攻击他国关键基础设施,进行无差别网络窃密与监控,植入后门污染标准及供应链源头,开发网络攻击武器并造成泄露,所售商用攻击平台失控而成为黑客利器,干扰和打压正常的国际技术交流与合作,打造符合美国利益的标准及秩序,阻碍全球信息技术发展,制造网络空间的分裂与对抗等。报告以中英文双语发布,在国际国内引发巨大反响。
2023年4月13日,五角大楼“泄密门”事件再次曝光美国窃听包括以色列、日本、韩国在内的重要盟友政府信息、窃听联合国秘书长通信,以及监视其“盟友”乌克兰总统泽连斯基等。
2023年6月1日开始,俄罗斯安全厂商卡巴斯基发布“三角测量行动”系列报告[3],披露了一个潜伏数年的iOS恶意代码及多个iOS系统零日漏洞。对此,俄罗斯联邦安全局(FSB)发布声明指责美苹果公司与NSA“密切合作”,通过复杂的恶意软件入侵了数千部苹果手机[4]。“三角测量行动”利用iOS系统内置的iMessage消息服务和iOS系统零日漏洞实现对苹果设备的“零点击”攻击。攻击者起初利用WebKit内存损坏和字体解析漏洞获取执行权限,随后利用整形溢出漏洞提升得到内核权限,再利用多个内存漏洞突破苹果硬件级的安全防御功能,在设备上执行并植入恶意程序。整个过程完全隐藏,不需要用户执行任何操作。卡巴斯基报告认为[5],面对复杂攻击者,任何保护都可能被突破,依赖“隐晦式安全”(security through obscurity)的系统永远不可能真正安全。6月10日,6163银河.net163.am发布报告《“量子”系统击穿苹果手机——方程式组织攻击iOS系统的历史样本分析》[6],公开了对美方依托量子系统,针对手机浏览器进行攻击投放的历史样本分析。
2023年7月26日,武汉市应急管理局发布公开声明称,“武汉市地震监测中心遭受境外组织的网络攻击。部分地震速报数据前端台站采集点网络设备被植入后门程序。”国家计算机病毒应急处理中心和一家国内网络安全厂商联合调查指出[7],已经在受害单位的网络中发现了技术非常复杂的后门恶意软件,符合美国情报机构特征,具有很强的隐蔽性,并且通过恶意软件的功能和受影响的系统判断,攻击者的目的是窃取地震监测相关数据,而且具有明显的军事侦察目的。
2023年10月,Lazarus组织旗下一款跨平台的远程控制框架MATA被发现投入到针对东欧工业公司的网络间谍活动中,该框架最早于2019年被发现[9],早期的版本主要表现出针对Windows、Linux、macOS三方跨平台能力,拥有丰富的窃密控制插件以及独特的多层算法通讯加密,足够典型但并无先进性可言。经过5代版本的更新迭代,MATA框架的研发人员明显参考了多年来安全行业针对“五眼联盟”APT攻击能力的技术研究,以及Vault7和“影子经纪人”等泄露的武器装备资料。卡巴斯基报告认为[8],该APT表面看有朝鲜Lazarus组织的痕迹,但复杂的技术和过程以及攻击资源的富有奢侈程度,怀疑背后真正的组织可能是“五眼联盟”。
3.1.2 关键人员手机一直是A2PT攻击组织的重点目标
近些年来,智能手机已经成为人们不可或缺的一部分,智能手机承载着个人通讯、娱乐、工作、学习、社交等多种需求,手机内存储着大量个人工作、生活的数据资料,对很多人来讲手机可能比PC更加重要。同时,手机等智能终端设备具有远超传统PC节点的广泛感知能力,其带有多种传感器(包括用于获取高精度定位的传感器,加速度传感器、重力传感器、陀螺仪和旋转矢量传感器)可用于获取当前设备的高精度即时动态。除了高精度传感器外,还有摄像头、麦克风这种输入输出的硬件采集装置,甚至是基于Wi-Fi、蓝牙模块进行周边环境和设备的扫描和收集。这种特性使得一旦成功入侵手机,就可以将其变成攻击者的图像、声音、位置等专业窃密器。
但长期以来,很多人认为手机系统生态更加安全,一方面认为智能终端系统,出厂即带安全软件和权限管理且软件应用经过市场审核,只要或私自安装软件就能保证安全;另一方面认为以iOS为代表的封闭操作系统,给人以“黑盒”似的安全感,很多用户认为看不到攻击就没有攻击发生。殊不知攻击者有多种入口攻击智能手机,也有多种技术手段将自己潜伏隐藏。
2016年,6163银河.net163.am捕获到了美国NSA下属方程式组织针对iOS系统的方程式样本,确定了该木马为方程式组织的DoubleFantasy家族,通过量子系统向iOS投放。相关分析成果6163银河.net163.am在今年6月10日公开,并配套绘制了“量子”系统对流量劫持向终端发起攻击的猜想图,如图 3-2,依托该系统美方可对全球智能终端设备发起漏洞攻击并植入木马[6]。2021年,英国广播公司(BBC)报道,以色列软件监控公司NSO向一些国家售卖了一款名为“飞马”的手机间谍软件,用以监控各类重点人员甚至他国的相关政要。“飞马”软件可以轻而易举地入侵iOS和Android系统,并轻松截取手机里的各类信息、图片、视频、电邮内容、通话记录,甚至可以秘密开启麦克风进行实时录音。
2023年,俄罗斯安全厂商卡巴斯基发布“三角测量行动”系列报告[3],披露了一个潜伏持续数年的iOS恶意代码及多个iOS系统零日漏洞。卡巴斯基的研究员最初是在流量上发现了异常,在对终端分析的时候面临无法对iOS系统进行全面取证的问题,此时的封闭系统反而成为一个难以有效进行环境分析和取证的劣势。在最新的“三角测量行动”报告结尾[5],卡巴斯基研究员认为“面对复杂攻击者,任何保护都可能被突破,依赖“隐晦式安全”(security through obscurity)的系统永远不可能真正安全。”以上多个案例都说明,智能终端设备并不安全,反而由于其系统和生态特性一旦被攻击可能长期不被发现,当前的手机和智能终端的安全性除依托系统本身还需要更多的安全关注。
图3-2 量子系统可攻击场景图谱化分析
除此之外,6163银河.net163.am根据斯诺登曝光资料,梳理了NSA的ANT攻击装备体系,在2008年前后陆续列装的攻击装备体系中用于对移动通讯设备扫描、监控和数据收集的攻击装备,共有15种,约占全部48种已曝光装备的三分之一。
图3-3 ANT针对移动通讯设备的网络攻击装备(红色框内)
3.1.3 A2PT组织的示范效应导致了其他组织的跟进模仿和军备竞赛
A2PT具有拥有严密的规模建制,掌控体系化的攻击装备研发和攻击资源采集运营,A2PT所研发使用的武器装备通常具备模块化、框架化的架构、可基于可拓展脚本引擎开发、防御软件规避对抗、采用高强度加密算法、支持内核级Rootkit、组件非落地资源化隐藏、VFS虚拟文件系统、隔离网络穿透、量身定制攻击、丰富窃密采集能力等一整套复杂的高阶能力设计,体现出明显的庞大支撑工程体系优势,诸如具备五眼联盟成员国背景的A2PT威胁如“震网”(Stuxnet)、“毒曲”(Duqu)、“火焰”(Flame)、“方程式”(Equation Group)、“索伦之眼”(ProjectSauron)、“瑞晶”(Regin)等大多具备上述先进优势特点。相对于以“影子经纪人”(Shadow Brokers)泄露方程式组织武器库为典型的超级大国网络军备扩散直接造成噩梦般的大面积安全事件,A2PT攻击组织的历史使用的高阶攻击技术近年来被APT组织广泛应用于各自攻击活动中,该趋势所带来的影响则显得更为潜移默化且深远。
2023年10月,Lazarus组织旗下一款跨平台的远程控制框架MATA被发现投入到针对东欧工业公司的网络间谍活动中[8],该框架最早于2019年被发现[9],早期的版本主要体现有针对Windows、Linux、macOS三方跨平台能力[10],拥有丰富的窃密控制插件以及独特的多层算法通讯加密,足够典型但并无先进性可言。经过5代版本的更新迭代,MATA框架的研发人员明显参考了多年来安全行业针对“五眼联盟”APT攻击能力的技术研究,以及Vault7和“影子经纪人”等泄露的武器装备资料,例如MATA框架的C2通讯过程采用TTLV(Type-Tag-Length-Value)数据编码格式、多层协议和有限状态机(FSM)握手机制,该技术早期曾被Lambert和方程式组织的多款武器中使用;MATA攻击过程中使用自带易受攻击的驱动程序(BYOVD)技术访问系统内核干扰EDR软件的检测响应,该技术也曾被Lambert组织使用;MATA后门支持主动连接/被动激活的组合模式,该类后门启用模式被方程式组织的EQUATIONVECTOR、STRAITBIZARE和Lamberts组织的GoldLambert装备广泛使用;MATA组件支持通过感染可移动存储设备中的软件程序试图针对隔离网络发起攻击,而利用摆渡攻击策略突破隔离网基本是震网、Fanny、索伦之眼等经典A2PT攻击的标配能力。卡巴斯基报告认为,该APT表面看有朝鲜Lazarus组织的痕迹,但复杂的技术和过程以及攻击资源的富有奢侈程度,怀疑有可能是“五眼联盟”APT。
3.1.4 APT组织借鉴开源情报以“假旗”信标隐蔽攻击行为
在网络安全领域中“假旗”(False Flag)是一种十分常见的攻击行为隐蔽策略,通常水平相对高超的攻击者会刻意在攻击流程中的资源预置、抵近突破、驻留潜伏、控制致效等阶段中埋设虚假信息,例如留下语言、位置、身份等信息掩盖来源方向,也可以是散布挖矿、勒索、银行木马等常规威胁来掩盖致效意图,也可能是复用独家武器工具、特征代码数据、过期基础设施,复现独家漏洞、作战技术具体实现、作战战术路径、软件编码风格等,将攻击行为痕迹指向其他具体的已知威胁行为体。“假旗”策略的具体实现不论是设定位置还是栽赃对象,在数量方面通常来说都是宜少不宜多,宜精从简,能造成一定追踪分析成本代价往往能增加更好的效果,而当前业内十余年大量的公开APT研究资料也成为了攻击组织“假旗”构思的重要参考来源。下图举例了海莲花组织的“假旗”仿冒手段。
图3-4 2023年海莲花组织的“假旗”栽赃手段
2022-2023年,APT29组织频繁采用鱼叉式钓鱼邮件投递附件包裹的模式,通过诱导受害者执行包裹中的快捷方式调动其他白加黑组件序列,多层加载解密在仅内存中运行如CobaltStrike、RatelC4等红队工具的远控载荷,此类攻击的活动范围基本限于欧美地区的政治军事目标,且数量众多反复被主流厂商分析曝光;2023年全年,6163银河.net163.am多次在我国重要政企单位发现类似的攻击模式,且在涉及的攻击技战术、武器工具和基础设施中也发现多处曾被公开曝光的APT28、APT29组织特征痕迹。例如初始阶段加载器的解密密钥与2022年已曝光的APT29活动完全一致[11];投递阶段的加载器组件模仿了2018年APT28组织Zebrocy加载器所用的信息窃密和隐藏窗口执行代码,以及ADS流数据存储技术和相同特征参数[12],深入分析发现攻击者目的仅是执行自定义的加载器代码来调用其他模块;投递阶段的注入器组件静态看与2018年已曝光的APT28组织Zebrocy远控完全一致[13]。深入分析发现是攻击者篡改劫持了Zebrocy旧样本的代码流程,转而执行样本资源节中隐藏的远控载荷;最终控制阶段的远控载荷使用特定破解版本的CobaltStrike,该版本的水印数值已知被APT29、TrickBot、SmokeLoader等威胁组织经常使用,相关C2基础设施配套的数字证书的使用者信息字段还包含典型的Wellmess组织特征[14]。上述多处特征痕迹显得有几分刻意,6163银河.net163.am基本认定是属于攻击者制造遗留的“假旗”,且分析判定表明攻击活动涉及的组织背景实际疑似为海莲花组织,攻击者此举纯粹是尝试误导溯源调查方向,并未采集利用“假旗”中仿造的其他威胁组织工具手段的执行结果。
3.1.5 地缘冲突的网络战中伴随大量的黑客行动主义活动
巴以冲突是今年新爆发的地缘安全热点。巴以冲突爆发前,中东方面就有伊朗背景的多个APT组织Agrius、APT35、MuddyWater、OilRig持续地将以色列关键基础设施等行业作为打击目标、也有长期以来支持巴勒斯坦情报收集的APT组织TA402[15]。在巴以冲突爆发后与哈马斯有关联的WildCard组织[16]尝试修改TTPs(包括C2从Google Drive转向OneDrive、SysJoker样本从C++到Rust语言的变化)针对以色列进行新一轮攻击等具有战略意志的APT活动,但受限于自身技术以及美国、以色列众多网络安全厂商的频繁曝光,总体来看这些APT组织具有广泛的情报收集能力(CNE)但其针对定向性目标的IT技术网络攻击能力(CNA)运用不足。同样作为地缘安全热点激化的网络冲突,在俄乌冲突中占主导作用的网络攻击行为主要是俄、乌、北约等国家行为体实施的作战行动,以军事系统、关键信息基础设施为目标,通过入侵突防、恶意代码植入,获取长期控制权,实现持续信息窃取,并可瘫痪、干扰关键系统运行。期间虽然也有大量民间黑客组织基于自身立场战队宣誓,但这些活动的象征意义居多。巴以冲突是实力完全非对等但纠葛更复杂的冲突,国家、民族、宗教等地缘安全背景更加复杂,以色列情报机构有极强的攻击能力,始终对周边国家进行攻击渗透,网空情报能力是其战略情报能力的重要支撑。但巴方本身并没有特别成熟的信息基础设施和网空作业力量。基本上是大量民间行为体和以方间的一场混战。而且,为报复对以色列的支持,新加坡、日本、意大利在内的目标都遭到攻击,风险快速外溢。
相对平衡的黑客组织势力站队不同,巴以冲突中,大多数民间组织站到了同情巴方一侧。在巴以冲突爆发后,包括亲巴勒斯坦的黑客组织和亲以色列的黑客组织在社交媒体中不断宣扬着黑客行动主义,属于典型的非国家行为体受意识形态驱动的黑客组织行为体活动。但媒体大肆宣传的“巴以冲突网络战”,对实际冲突进程影响甚微,其效果远弱于网空认知战。与俄乌冲突网络战进行对比,巴以冲突中出现的DDoS、擦除性恶意代码也不是仿照俄乌冲突的“抄作业”行为,与俄乌网络战中出现的国家行为体攻击活动不同,巴以冲突更多的出现的是黑客主义行为体。巴以冲突的网络战作业模式、致效结果都与俄乌冲突存在明显差异。第一点,从冲突爆发的地缘政治背景考虑,俄乌网络战中攻击的目标基本是一致的、有组织有计划的网络攻击,而在巴以冲突中,多个不同的黑客组织缺少协调工作和明确的目标,多数是打击报复行为,例如入侵包括新加坡、日本、意大利在内的目标针对其支持以色列进行报复。第二点,从国家行为体背景和网络战实际影响考虑,俄乌网络战活动中存在着多个国家背景的行为体并且可以联合Trickbot等黑客组织发起的网络攻击活动产生了实际的影响,为现实冲突赢得了先机。
而据称与哈马斯有关联的黑客团队Storm-1133虽然声称入侵以色列国防部网站窃取数据,但其网络攻击活动对现实冲突产生的影响有限。第三点,从攻击意图考虑,巴以冲突中的激进的黑客行动主义活动试图在短期内制造更多的影响,俄乌冲突则是在地缘政治背景下长期持续性的网络攻击活动。从整体的中东局势观察,包括伊朗、叙利亚、以色列等国在内的网络攻击活动不断,例如2023年12月18日伊朗加油站疑似遭到以色列黑客网络攻击。越来越多的黑客行动主义将随着巴以“火药桶”的引爆在网络空间针对关键基础设施带来威胁、影响牵动中东各国敏感神经。
3.2 勒索攻击与其他的网络黑产犯罪活动的动向
3.2.1 勒索攻击采用定向+RaaS的组合模式,形成“定向勒索+窃密+曝光+售卖”链条作业
3.2.1.1 具备“APT”水平的定向勒索攻击已趋于常态
在当前网络安全舞台上,定向勒索攻击已经成为一种极为普遍且极具威胁性的攻击形式。在2019年[17]和2020年[18]的6163银河.net163.am年报中,我们指出了勒索攻击组织在目标选择方面更趋向于有针对性,专注于对有价值攻击目标的定向勒索。在2021年[19]的6163银河.net163.am年报中,我们评估了定向勒索攻击的能力已经达到了“高级持续性威胁”(APT)水平。当前这种攻击方式不再仅仅是网络空间的短暂风波,而是已经深刻融入了现代威胁景观的主流。定向勒索攻击是一种专门针对特定目标的网络攻击,其目的在于通过威胁受害者,迫使其支付赎金。攻击者通过深入的目标分析和侦察,有选择性地攻击关键的系统、数据或信息,迫使受害者在支付高昂赎金或面临数据泄露等威胁的情况下做出抉择。
回顾2023年,大型企业频繁成为定向勒索攻击的目标,如英国皇家邮政、日本名古屋港口和波音公司等都面临了不同程度的威胁。波音公司遭受勒索攻击是一起基于Lockbit勒索攻击组织所提供的RaaS基础设施的针对知名企业的定向勒索攻击事件。攻击者以ADC网络边界设备为初始突防点,把握了相关设备在出现漏洞后未及时响应带来的机会窗口,在相关漏洞利用代码出现后,实现了第一时间发掘利用,以此实现凭证窃取。之后利用凭证完成进一步的横向移动和向场景中按需投放的落地能力。攻击组织运用了大量开源和商用工具作为实现不同功能的攻击组件,并通过突破域控等关键主机,实现进一步的凭证权限窃取实现准确和有效投放,窃取了所攻陷主机的相关数据,实现了勒索软件部署。
通常情况下,大型企业在网络架构上通常部署了相应的网络安全防护设施,足以抵御非定向广泛攻击。然而,当面对定向勒索攻击时,企业的网络安全体系显得相对薄弱,因为这类攻击的实施者实质上具备了APT的水平,并将其与勒索软件相结合,对抗能力已经远远超越了单个防护产品的极限,尤其是终端防护系统等产品的防御范围。同时,定向勒索攻击的威胁程度逐渐升级,攻击者的工具和手段也在不断演进。随着勒索软件即服务(RaaS)的崛起,即便是缺乏高深技术水平的个体也能够轻松购买和使用专业的勒索工具,进一步扩大了定向勒索攻击的范围。攻击者不再局限于技术精湛的专业团队,而是包括更广泛的参与者,这使得定向勒索攻击呈现更为多样化的特征。综合来看,当前具备“APT”水平的定向勒索攻击已趋于常态。
3.2.1.2 愈发成熟的勒索即服务模式使勒索攻击
网络犯罪的商业化趋势推动威胁行为者不断提升威胁行为的复杂程度。类似于正常供应链,这些行为者在网络犯罪供应链的特定领域内表现出熟练的专业知识,使得整个行业呈现出高效运作的趋势。网络犯罪行业采用了“即服务”(aaS)的商业模式,极大地提高了实施网络犯罪的便捷性;即使是相对不成熟的威胁行为者也能轻松获取高级工具和服务。这一趋势使得网络犯罪的从业者能够更迅速、便捷地进行攻击,从而对网络安全形成更大的挑战。
RaaS模式的广泛应用推动了众多勒索软件组织的兴起,勒索攻击事件层出不穷,包括BlackCat、Clop和LockBit等组织,其中LockBit更是成为全球最活跃的勒索攻击组织之一。勒索攻击组织通过RaaS模式吸纳附属成员,附属成员则通过初始访问经纪人(IAB)建立初始访问权限,实现各自专业领域的细化运作。RaaS运营方专注于改进和更新其恶意软件,而附属成员和IAB负责开发和优化渗透系统的方法。“Gold Melody”是一支以经济为动机的IAB黑客组织[20],又名Prophet Spider或UNC961。该组织通过多种手段入侵目标系统,窃取凭证后进行出售,供勒索攻击组织实施有针对性的攻击。
网络犯罪商业化推动威胁行为者提升攻击复杂度,形成专业化和高效运作趋势。采用“即服务”商业模式使实施网络犯罪更便捷,即便是没有任何技术技能的行为者也能通过点击网页生成窃密勒索工具。这将是全球数字化时代面临的一场难以终结的噩梦。
3.2.1.3 勒索攻击组织利用漏洞武器化进行高效突防
在当前网络威胁不断升级的背景下,将漏洞武器化以实现对攻击目标的入侵已成为勒索软件最为有效的攻击手段之一。根据美国网络安全基础设施安全机构CISA的统计数据,截至2023年12月25日,已有1053个漏洞被用于网络攻击[21],其中有212个漏洞明确被用于勒索攻击,这些漏洞涉及Microsoft、QNAP、VMware、Accellion、Citrix和MOVEit等。在面对企业部署的网络安全防护设施时,攻击者可能难以通过传统手段攻破防线,但通过武器化未修补的漏洞作为突防工具,攻击者可以绕过安全检测和身份验证,轻松实施恶意行为。
2023年初,安全研究人员在打印管理软件PaperCut中发现了两个漏洞[22],分别是CVE-2023-27350和CVE-2023-27351。多个勒索攻击组织利用这些漏洞成功入侵PaperCut供应链,随后向供应链下游用户投放勒索软件,包括Clop、LockBit和Bloody等勒索攻击组织。在同年5月,Clop勒索攻击组织借助文件传输软件MOVEit的漏洞CVE-2023-34362[23],展开大规模的勒索攻击活动。这次攻击导致众多MOVEit软件用户成为Clop的受害者。攻击者充分利用该漏洞,成功突破目标系统的防线,实施了“窃密+加密”操作,并公开了658家企业因此次勒索攻击活动而受害的信息。而在10月,LockBit勒索攻击组织则利用Citrix的漏洞CVE-2023-4966[24],即Citrix Bleed,将波音公司列为受害者之一。本事件用于突防的CVE-2023-4966漏洞的利用代码(POC)10月26日在Github上出现,27日攻击者宣布入侵波音成功。我们倾向攻击发生在POC代码公开后。Citrix已于10月10日修复,但波音等机构并未进行修补。这反映出攻击者对漏洞资源的运用效率和敏感性远胜于防御方。这一系列事件凸显出漏洞利用在供应链攻击和大规模勒索活动中的危害性,漏洞武器化已然成为勒索攻击组织突破防御的有效抓手。
由于攻击者能熟练使用网络空间测绘引擎的等开源情报,并长期关注积累对重要信息目标的暴露面,因此在POC代码出现后,会有一大批攻击者快速匹配寻找可突防目标。从漏洞的角度看,此前关于0day-1day-Nday的概念,更多还是建立在漏洞发布或公开的时点上,但POC代码被公开,则更是其中需要高度关注的节点,其意味着利用难度瞬间降低,攻击活动的高峰会迅速到来。6163银河.net163.amCERT把类似攻击称为1Exp攻击。由于RaaS+定向勒索本身又构成了一种“众筹犯罪”模型,导致关注不同目标资源或拥有目标信息资源的大量攻击者,都可能在发现机会窗口时尽可能的将机会窗口转化为实际收益。
3.2.1.4 勒索攻击形成“定向勒索+窃密+曝光+售卖”链条作业
从波音遭遇勒索攻击事件分析复盘报告中可以看出,目前勒索软件的RaaS模式不仅仅是提供技术基础设施,而是结合宣传炒作、曝光窃取数据、拍卖窃取数据、将受害人举报到监管机构等方式对受害人实施压力,并制造新闻热点,提升品牌效应,从而以滚雪球方式让勒索组织形成臭名昭著的品牌效应。定向勒索模式针对高价值目标,RaaS的附属成员通过各种方式,包括购买0Day漏洞、研发高级恶意代码、收买企业内鬼和情报等手段提高突防能力,提升勒索载荷落地成功率。这种定向+RaaS的组合模式,形成“定向勒索+窃密+曝光+售卖”链条作业,胁迫受害者支付赎金从而实现获利[25]。
3.2.2 挖矿木马使用内核级工具与SHC加密提升隐蔽性和检测难度
3.2.2.1 内核级工具使挖矿木马更加难以检测
2023年,6163银河.net163.amCERT监测到多款挖矿木马使用Rootkit内核级工具,如yayaya Miner[26]、TeamTNT[27]和"8220"[28]等。Rootkit内核级工具之所以受到青睐,主要是因为它们能够在系统的最底层进行潜伏,从而提供更深层次的隐蔽性和控制力。这些工具能够直达操作系统的核心,加载恶意的内核模块,以实现无法被传统安全软件检测到的状态。它们可以有效地隐藏恶意进程和文件,由于这些工具对系统的高级控制,即便是系统重启,它们也能够持续在后台运行,确保持续的挖矿活动不受干扰。随着挖矿木马攻击者对利润的不断追求,结合Rootkit技术的挖矿木马将变得越来越复杂。它们不仅仅满足于利用受害者的计算资源,更可能进行更为深入的网络渗透,对网内其他终端造成潜在威胁。
3.2.2.2 SHC加密脚本促使挖矿木马更加隐蔽
2023年,6163银河.net163.amCERT对监测到的挖矿木马进行了梳理,发现挖矿木马攻击者为了逃避安全检测,开始采用各种混淆和加密技术来隐藏其恶意代码。其中,使用Shell脚本编译器(SHC)对脚本进行加密的做法愈发流行,SHC成为了攻击者新的工具选择,以增强其挖矿脚本的隐蔽性。SHC是一种将Shell脚本加密成二进制可执行文件的工具,它可以有效地隐藏脚本的源代码,从而使得分析人员难以直接查看代码内容。这种加密不仅可以防止脚本源代码被分析,还可以绕过基于签名的检测机制,因为每次加密后生成的二进制文件都具有不同的签名。6163银河.net163.amCERT在2023年先后分析了Hoze[29]、yayaya Miner和Diicot[30]等挖矿木马,均利用SHC加密的脚本发起初始攻击,这种攻击方式为挖矿木马的传播提供了便利,增加了用户系统被感染的风险。
3.2.3 利用远控木马实施诈骗的黑产威胁活动频繁
2023年,来自黑产团伙的威胁呈现出手段不断变化和资源快速更换等特点。以2023年最活跃的黑产团伙“游蛇”为例,其针对我国国内用户进行的网络钓鱼攻击和诈骗活动,规模较大且持续时间较长,对企业造成了一定的经济损失。这类黑产团伙传播的恶意程序变种多、免杀更新速度快、基础设施更换频繁、攻击目标涉及行业领域广泛。从攻击手段看,以“白加黑”加载恶意载荷、内存执行Shellcode、内存解密载荷文件为主,并且最终投放远控木马载荷。6163银河.net163.amCERT将具有上述特点的黑产团伙统称为“游蛇”。
3.2.3.1 通过多种途径传播恶意文件投放远控木马
“游蛇”黑产团伙通过即时通讯软件、搜索引擎恶意推广、钓鱼邮件等多种途径传播恶意文件。在利用微信、企业微信等即时通讯软件传播恶意程序的场景下,攻击者会向目标用户投递伪装成文档的恶意文件,并利用话术诱导用户执行;在利用搜索引擎传播恶意程序的场景下,黑产团伙将恶意文件伪装成各种常用软件的安装包,在搜索引擎中恶意推广其搭建的钓鱼下载站,导致用户误下载和执行经过伪装的恶意文件;在利用钓鱼邮件传播恶意文件的场景下,黑产团伙会向攻击目标发送“发票”、“传票”相关主题及内容的钓鱼邮件,在邮件正文中添加指向仿冒票据服务、税务机关的钓鱼网站链接,并在仿冒的钓鱼网站中放置恶意文件。
相较于后两种传播途径,使用即时通讯软件传播恶意文件时需要更多的人力及时间成本,因此黑产团伙通过“代理人”在境外社交软件中创建群组,以按单结算的方式招收大量“投毒手”,传授其各类钓鱼话术,再由“投毒手”通过网推、网聊、地推等方式对多种行业领域的攻击目标分发恶意文件,并诱导目标用户执行。黑产团伙构建以自身为上游、以“代理人”为中游、以“投毒手”为下游的三级结构,实现了恶意文件的大范围传播,由此形成了一种通过即时通讯软件投放远控木马的运营模式[31]。
3.2.3.2 采用开源远控木马并频繁更新免杀手段
黑产团伙频繁更新免杀手段,与安全产品进行持续性的对抗,常使用的手段有“白加黑”加载恶意载荷、内存执行Shellcode、内存解密载荷等,并重点对恶意利用的白程序、加解密方式及关键的加密载荷进行更换。为了绕过安全产品的常规检测,黑产团伙通常会将编写好的Shellcode保存至文本文件中,通过其投放的加载器读取文本中的内容,在内存中执行Shellcode,利用Shellcode进行多层的解密操作,最终在内存中加载执行远控木马载荷。这种攻击方式增加了远控木马执行的隐蔽性,使安全产品不断面临新的挑战。
在远控木马方面,黑产团伙直接选用成熟的开源远控木马代码进行二次开发,目前已发现的有Gh0st远控木马及其变种、winos、AsyncRAT、DCRAT、SiMayRAT等。这些远控木马由受控端和控制端两部分组成,被植入受害主机中的受控端会收集主机中的各类信息,包括系统基本信息、窗口信息、安全产品信息等,以此构造上线包发送至C2服务器,从而与控制端建立通信,并通常采用自定义算法对通信内容进行加解密。此外,这些远控木马能够接收远程控制指令并执行相应的功能,通常支持以下载执行插件的形式扩展其功能模块。攻击者能够通过控制端程序查看受控端上线信息、对受控端屏幕进行监控、对受控端进行系统文件管理以及对受控端进行远程控制。
3.2.3.3 利用远程控制即时通讯软件和伪装身份对目标用户实施诈骗
在2023年的攻击活动中,黑产团伙将社工手段与诈骗套路相结合,在植入远控木马后,黑产团伙主要控制受害者主机中的微信、企业微信等即时通讯软件开展后续的攻击活动。黑产团伙根据行业、身份、职位等因素对受害者进行筛选及分类,并针对不同类别的目标用户群体采取不同的后续攻击方式[32]。
由于黑产团伙的主要目的在于牟取经济利益,因此从事金融相关行业的人员以及各公司的财务人员是黑产团伙的重点攻击目标。针对此类目标群体,黑产团伙主要通过远控木马对受害主机进行远程控制,根据受害者微信通讯录中的备注信息,将某领导的真实微信号删除,再添加一个与该领导相同头像、名称的伪装微信号,并利用该伪装微信号逐步诱导受害者进行转账,以此完成诈骗活动。攻击者也会利用其中的聊天记录获取有关受害者及其相关联系人的更多信息,从而更加真实地伪装成某一身份。
针对电商客服、企业客服以及其他各类店铺的联系人,黑产团伙主要将受害者微信或企业微信号添加进事先创建好的群组中,将其好友添加至该群组中后移除受害者账号。由于此类人员添加的好友大多是其客户,因此黑产团伙会对其创建的群组进行相应的伪装,并对群组中的用户实施集中诈骗。黑产团伙会在群组中通过发送红包或者小额反利等方式降低用户的戒备心,进一步诱导用户加入大群或添加所谓接待员的微信,以此进行层层筛选,并诱导最终筛选出的目标进行转账。
3.3 脆弱性的泛化趋势
在2013年,6163银河.net163.am用恶意代码泛化(Malware/Other)一词表示安全威胁向智能设备、物联网等新领域的演进,此后“泛化”一直是6163银河.net163.am研究的重要威胁趋势。泛化意味着攻击者的攻击目标不再局限于手机、电脑等传统智能设备,智能家居、工业物联网、关键基础设施等智能技术加持的新领域也都是攻击者积极利用的目标。
《物联网新型基础设施标准体系建设指南(2023版)》(征求意见稿)[33]指出,到2025年,物联网新型基础设施标准体系基本建立。新制定国家标准和行业标准30项以上、参与制定国际标准10项以上,为推动物联网发展提供有力支持。国家也出台多项政策鼓励应用物联网技术来促进生产生活和社会管理方式向智能化、精细化、网络化方向转变。
但物联网高速发展的背后也隐含着不可小觑的安全风险。与2022年相比,全球范围内针对物联网设备的恶意软件攻击呈现高速增长的趋势,其中制造业尤为突出,这主要是因为制造业严重依赖于物联网与OT系统。IT与OT的进一步融合,在提升系统运营效率的同时,也带来了漏洞管理难度加大、供应链安全风险上升及攻击面扩大等一系列严峻的安全问题。
此外,物联网设备持有量逐年递增,整合了IoT技术的摄像头、无线AP在各类组织、企业中随处可见。但由于管理和使用上的缺陷,比如未更改初始密码、默认开启telnet远程登录功能、向互联网开放管理权限、部署后缺乏漏洞管理、没有或者无法及时更新补丁等问题,使得攻击者能够利用此类设备构建物联网僵尸网络,从而发起DDoS攻击或进行其他恶意活动。例如,2023年11月,InfectedSlurs僵尸网络利用两个具有远程代码执行功能的漏洞感染使用默认凭据的路由器与录像机。相比于传统的僵尸网络,物联网僵尸网络能够形成最高可达1-2Tbps的流量峰值,且在设备规模上比传统僵尸网络更加庞大。
人工智能技术的快速发展为社会带来了正面影响,但同时也要警惕人工智能驱动的网络犯罪威胁也在不断增加。人工智能具有学习和优化能力,这意味着它可以从大量数据中分析出个体的特征、偏好和行为模式,从而有针对性地实施社会工程学攻击,并从每次攻击结果中学习,不断优化攻击策略,提高了欺骗受害者的可能性。基于深度伪造技术,人工智能也可以创建高度逼真的个人音频和视频,通过伪造他人身份散播谣言、损害声誉,甚至是进行犯罪活动。例如,2023年8月,攻击者通过深度伪造技术冒充软件开发公司Retool的员工,以自身账户出现问题为由诱骗受害者提供多重身份验证(MFA)代码,并最终导致该公司27名客户的账户信息泄露。
在日益加剧的全球威胁背景下,关键基础设施也面临着来自多方面的网络攻击威胁,成为网络攻击重点目标。在网络战中,攻击者通过对此类设施发起攻击,造成电力、网络、医疗等系统的大规模瘫痪,严重影响了社会的正常运转。例如,2023年12月,意大利云服务提供商Westpole遭受Lockbit3.0勒索软件攻击,造成了多达540个城市的1300多个公共管理部门服务瘫痪,一些城市被迫恢复人工操作以提供服务。此外,关键基础设施的数字化转型也增加了其遭受攻击的风险。许多组织在防御纵深构建、暴露面管理、远程访问管理、主机系统安全、漏洞响应以及员工安全意识等高优先级领域存在防范短板,可以被攻击者利用。攻击者还普遍通过,渗透攻击上游软硬件供应链的方式,提前获得攻击优势。总之,从其中一环渗透至关键系统中,给整个系统带来了安全隐患。防御投入的不足、防御能力的低下、防御面存在敞口,防御不能覆盖全生命周期等,等都为攻击者提供了可乘之机。在复杂多变的国际局势下,我国关键基础设施面临的风险严峻升级,需要做好迎接风高浪急甚至惊涛骇浪的准备。
当前,安全威胁泛化已经成为常态。6163银河.net163.am依然采用与前几年年报中发布“网络安全威胁泛化与分布”一样的方式,以一张新的图表来说明2023年威胁泛化的形势。
3.4 网络安全风险全面转化为数据和业务风险
现今数据已经是组织的重要资产之一。大量的数据存储,给人工智能提供了生长环境,AI让全球看到了海量数据由量变产生质变的憧憬画面,数据资产的价值得到空前提高。然而有光明的一面就有阴影,一些组织存储的高价值的数据资产成为了攻击者的目标,勒索攻击伴随着数据泄露的风险,利用高危漏洞引发的数据泄露造成的影响也不容小觑,政治因素引发的数据泄露甚至能影响国际形势。
3.4.1 数据泄露损失创历史新高
在万物互联的数字化时代,数字经济已经快速崛起,使得数据已经成为一种重要的资产和战略资源,随之带来的风险也在不断攀升。据相关机构统计,2023年,全球每次数据泄露平均损失达445万美元,创历史新高[34]。数据泄露比较严重的组织已经越来越偏向于关键信息基础设施领域和产业链中上游,其中卫生医疗行业已连续12年成为数据泄露成本的“领先”行业。这些组织存储的数据具有一定“公信力”,存储的数据较完善、真实性较高、数据量较大、数据类型较全,因此这类数据被认为具有很高的价值。据研究显示,83%的泄露事件是出于经济动机[35],而这类具有高价值的数据将会更加受到攻击者觊觎。随着攻击手段的不断更新和漏洞武器化,使得攻击这些存有高价值数据的组织成本变低,因此数据窃取的目标将会愈加趋向选择这些组织。
3.4.2 勒索攻击相关的数据泄露风险
勒索攻击的目标和数据泄露的目标重合度很高,被勒索攻击的目标往往存有高价值的数据,勒索这些组织也往往会获得更高的收益。勒索攻击逐渐形成了通过深入的目标分析和侦察,有选择性地攻击关键的系统、数据或信息,迫使受害者在支付高昂赎金和遭受关键数据泄露的损害之间做出选择。无论是否支付赎金,被窃取的数据处置权都在攻击方手中,仍然会给受害方带来数据泄露的风险。勒索攻击一般是为了经济利益,受害方的高价值数据也为勒索者提供了一项“副业”,因此存在勒索攻击的地方就基本会伴随着数据泄露的风险。
为了逼迫受害方支付赎金,一些勒索组织会预先公布部分泄露的样例文件,威胁或诱导受害方满足其要求,并以此作为与受害方谈判的筹码。中国台湾电脑零部件制造商微星(MSI)被勒索软件团伙Money Message攻击[36],该团伙宣称从微星的企业网络中窃取到了源代码,在其网站中发帖展示CTMS与ERP数据库,以及包含软件源代码、私钥和BIOS固件文件的屏幕截图。威胁微星满足其勒索要求,否则将在五天内公布这些被窃取的文件。最终微星拒绝了其勒索要求,但也因此导致微星、英特尔等公司承受了巨大代价。
3.4.3 漏洞利用依然是窃取数据攻击的主要突防点
2023年备受瞩目的漏洞之一MOVEit漏洞,在MOVEit被发现存在多个高危漏洞后(CVE-2023-34362,CVE-2023-36932,CVE-2023-36933,CVE-2023-36934),一波网络攻击和数据泄露浪潮就开始出现。攻击者利用这些漏洞可以查看、修改、删除数据库,也可以提升用户权限和执行代码。从5月开始MOVEit漏洞就已经被黑客组织利用,根据统计,截至9月份仅勒索组织Cl0p利用MOVEit漏洞攻击的组织数量已超过2000个,受影响的人数超过6000万,MOVEit漏洞的受害者清单正在持续增长,而勒索组织Cl0p也暂时放弃使用勒索软件,转而只窃取敏感数据,并威胁缴纳赎金,否则将其数据泄露出去[37]。截至12月20日,受到攻击的组织已增长到2611个,如图 3 5。
图3-5 勒索组织Cl0p利用MOVEit漏洞攻击的各国组织数量
受害者虽多在欧美,但同样给国内的网络安全领域敲响了警钟,勒索组织Cl0p已经多次利用高危漏洞窃取数据进行勒索并得逞,需要警惕他们的“示范作用”可能会吸引其他黑客组织的效仿。高价值的数据已经能够使勒索组织暂时放弃勒索软件直接用数据勒索,数据系统被攻击产生的影响不容小觑,数据安全需要各行各业都予以重视,防范措施需要及时、有效。
3.4.4 政治因素引发的数据泄露威胁国家安全、影响国际局势
2023世界地缘政治局势动荡,引起不同阵营的黑客组织或个人的激烈交锋,因此也伴生了大量的数据泄露。如北约军事档案数据泄露事件,泄漏了大量的飞机、导弹、无人机、军舰等军事设施的图纸、技术参数等信息。网络安全公司CloudSEK的人工智能数字风险平台XVigil发现[38],由于印度对以色列的长期支持,多个黑客组织策划了对印度的网络攻击。这些攻击背后的动机主要围绕政治因素,造成的多起数据泄露,严重影响了国家、组织和个人的安全。
涉俄乌冲突的机密文件被泄露更是直接影响了俄乌冲突的走向。泄露的文件涉及俄乌冲突方面的情报,详细描述了乌克兰和俄罗斯军队的部署和状态,尤其是暴露了乌克兰防空系统的潜在漏洞,这对乌克兰计划发起的春季反攻带来了情报威胁。其他文件情报集中在中东以及印度洋与太平洋地区的国防和安全问题上,暴露了美国对韩国、以色列、乌克兰等盟友进行监听的“间谍活动”,这可能将引发新一轮信任危机[39]。此次泄密事件被外媒称为自2013年“棱镜门”事件以来美国最大的泄密事件[40]。
巴以冲突和俄乌冲突中,各国情报机构和黑客组织的深度介入,使其在外围形成了“网络战场”,政治因素引发的数据泄露将会威胁到国家安全,影响地区或国际局势。在复杂多变的国际局势下,我国同样面临着数据安全的挑战,需要做好迎接挑战的准备。
4.2023威胁趋势总结
回顾2023年重点威胁,高级持续性威胁(APT)活动整体形势依然严峻,定向勒索即服务(RaaS)模式趋于成熟导致勒索攻击愈演愈烈,利益驱动下的挖矿、远控、数据窃密等黑产威胁更加隐蔽化、复杂化以及威胁泛化引发的可攻击面不断扩散和放大。威胁永不眠,具有各种政治、经济、军事意图的攻击行为,对我国网络空间安全治理提出了更具针对性和更深层次的挑战。
• 攻击者利用认知和防护盲区进行突破。
无论是超高能力国家/地区行为体、高级能力国家/地区行为体、一般能力国家/地区行为体,还是网络恐怖组织、网络犯罪团伙或黑客组织、黑产组织、业余黑客等发起的网络攻击活动都有可能穿透现有防御体系,攻击者借助“假旗”(False Flag)策略,穷尽各类攻击手段(甚至直接招募内鬼),面向组织的人力、财务、运维、客服等与互联网进行高频、深度交互的人员开展线下和线上攻击,采取社会工程学方式并利用人员疏于防范的安全意识,突破组织的安全防线。纵深防御和资源分配不应只是基于拓扑和资产分布的均匀分配,而应形成针对性、有重点的资源投放。
• 攻击者对漏洞资源的利用效率远胜于防御方。
由于攻击者能熟练使用网络空间测绘引擎的等开源情报,并长期关注积累对重要信息目标的暴露面,因此在POC代码出现后,会有一大批攻击者快速匹配寻找可突防目标。6163银河.net163.amCERT把类似攻击称为1Exp攻击。由于RaaS+定向勒索本身又构成了一种“众筹犯罪”模型,导致关注不同目标资源或拥有目标信息资源的大量攻击者,都可能在发现机会窗口时尽可能的将机会窗口转化为实际收益。
• 安全产品本身极易成为攻击突破口。
由于网络设备和网络安全设备本身是一种容易获取的资源,安全产品本身极易成为被忽略的攻击入口,这些重点威胁明确暴露出这样一个事实:安全产品(设备)或具有一定安全能力的产品(设备)其本身并非是绝对安全的,其整体的设计机理都是将安全能力作用于外部环境对象或者流量对象,并未真正将自身作为可能被攻击者所攻击的目标来强化自身的安全特性。同时,这些产品(设备)在现实应用中,又因其带有安全功能,往往给用户带来了“其自身是安全的”的认知错觉,从而使其更容易成为攻击者的突破点。
• 基于身份+权限+访问控制的合规体系极易被突破。
统一的身份认证机制、权限管理和访问控制机制是安全合规体系的重要基石。特别是统一身份认证在支撑了安全的情况下,又带来了使用上的便利性。但波音事件攻击者较容易地进行了相关凭证和身份的窃取,之后便利用这些凭证进行攻击和横向移动。由于相关行为不是一般性的探测扫描,而本身就是基于绑定凭证的定向植入与投放,导致攻击过程中波音方面完全无感。这说明在没有有效的、细粒度的感知和敏捷闭环运营能力支撑下,身份权限机制一旦被突破,就反过来成为了攻击者的掩护,从而使攻击者在整个合规体系中畅行无阻。
• 混合执行体攻击越来越普遍。
不同层次的攻击者不断借鉴和改进其技战术策略,除了使用商业工具、自研工具以及开源工具外,也逐渐将合法工具纳入其武器库,在一些类似的定向勒索或APT级定向攻击中,基于攻击装备清单的梳理,往往同样有很大比例不再是传统意义上的恶意代码,而是为正常的网络管理应用目的所编写的工具或脚本,其中不乏知名的开源工具和商业产品,这些开源工具和商用产品往往都带有发布厂商的数字签名。这种组合运用多种来源执行体的攻击,6163银河.net163.amCERT称之为混合执行体攻击。这就使攻击从早期的基于免杀的方式对主机的突防,进一步走入到可以击破反病毒引擎+可信验证的双安全系统的混合执行体攻击。防范这种攻击,简单结合反病毒引擎+可信验证,显然是颗粒度不足的。
• 主机安全防护依然没有得到有效的强化。
攻击者采用各种方式穿透边界防御措施并建立持久访问,本质上必须依赖在主机侧投递、加载、运行载荷并最终达成致效,在波音遭受勒索事件中波音公司的防御体系几乎无感,表明其主机侧安全产品和运营能力极为不足,而这一问题在国内更为严重:在数字化发展背景下,对“安全的基石回归主机系统侧”这一必然趋势认识不足,对主机侧的安全需求依然理解为合规性的主机杀毒软件或防护软件,并更倾向以低廉的价格而非更有效的能力去选择产品。同时,由于主机侧工作更复杂、细腻,牵扯与信息化和使用部门的关系更多,导致防御者不愿意在主机侧投入主要的安全成本和管理资源,这些都会导致最后一道安全防线越来越难以抵抗定向攻击。
5.2024年威胁的展望
• RaaS+定向攻击会更加致命且高发。RaaS模式不仅仅是提供技术基础设施,而是结合宣传炒作、曝光窃取数据、拍卖窃取数据、将受害人举报到监管机构等方式对受害人实施压力,并制造新闻热点,提升品牌效应,从而以滚雪球方式让勒索组织形成臭名昭著的品牌效应。定向勒索模式针对高价值目标,RaaS的附属成员通过各种方式,包括购买0Day漏洞、研发高级恶意代码、收买企业内鬼和情报等手段提高突防能力,提升勒索载荷落地成功率。这种定向+RaaS的“组合拳”模式,形成“定向勒索+窃密+曝光+售卖”链条作业,胁迫受害者支付赎金从而实现获利。
• 警惕毁瘫痪基础设施的攻击伪装成勒索攻击。勒索攻击成功的直接后果是单位系统和业务的瘫痪和中断,这和信息战手段的致瘫达成了完全一致的效果。因此将毁瘫系统的攻击活动伪装成勒索攻击必然会是不断出现的事件。这种攻击方式在历史上已经被证明,目前可证实的最早出现的此类事件是2017年乌克兰遭遇的NotPetya攻击,当时攻击者将乌克兰系统数据加密瘫痪,并且弹出伪装成勒索软件Petya的攻击信息,而实际上其加密是不可恢复的。RaaS设施的出现,大大降低了毁瘫攻击的成本,形成了非常高效的数据损毁与破坏的“战斗部”,因此不管是这种代表极端势力的非国家行为体,包括一些国家地区行为体,都有可能借助RaaS设施展开攻击,这种攻击活动会加剧社会混乱,同时也会容易导致防御方误判相关攻击的性质。
• 攻击者普遍采用反测绘技术规避探测。当前APT攻击活动跟踪的一个比较重要的情报来源是网络空间测绘,该技术手段可以迅速发现攻击者已经启用或正在搭建准备启用的C2服务器,然而随着对抗的升级和攻击者规避检测的追求,未来攻击者可能将采用多种伪造或拦截等技术手段规避测绘扫描,这可能将会大大降低APT情报获取的数量。
• 生成式人工智能技术推动鱼叉式钓鱼攻击效率。目前大型语言模型(LLM)的人工智能技术在网络犯罪领域存在较大的滥用空间,如通过学习目标相关的信息资料生成逼真的鱼叉式钓鱼诱骗信件、诱饵文件内容、钓鱼网站页面等,以及辅助自定义恶意功能的多语言编码和免杀测试,挖掘利用软件漏洞,模拟身份与目标开展语音文字等社工交互,都将大大提高攻击者的攻击运营效率。
• 挖矿木马影响继续下降。近些年我国对非法挖矿活动的打击已经取得了显著成效,挖矿木马事件有所下降,但挖矿活动依旧存在,挖矿木马数量没有减少。新部署的存在弱口令和漏洞的设备依然为挖矿木马提供生存空间。
• 黑产团伙将会尝试更多途径传播远控木马。当前黑产团伙正通过招募招收大量“代理人”的方式,帮助他们通过即时通讯软件、搜索引擎恶意推广、钓鱼邮件等多种途径传播恶意程序,并且在控制受害者设备后利用社交软件等方式进一步扩大感染范围。在高额利益的驱使下,未来黑产团伙可能将不断尝试新的途径传播远控木马。
• 大规模数据泄露事件形成常态,全球网民经被黑产全员画像。虽然2023年存在许多历史泄漏数据拼凑出售的虚假信息,但2024年真实的数据泄露事件仍会频繁发生。数据泄露事件原因多样,除了勒索攻击事件、弱口令和高危漏洞入侵可以窃取数据外,还可能通过内部人员、第三方供应商人员窃密,使得安全治理任重道远。
6.防御和治理思考
6.1 深入关注攻击活动的运营方式和社会规律有助于重新理解防御
研究网络攻击活动不能脱离地缘政治安全要素,不能脱离经济社会土壤,要深入关注各种攻击活动的动机和运行方式。以勒索攻击为例,从犯罪获利的角度来看,获得了高额的勒索赎金对应着犯罪团伙能承担更高的犯罪成本,包括购买0-Day漏洞、研发高级恶意代码、收买企业内鬼和情报等。从另一个角度来看,攻击者制造了“如果不缴纳赎金,受害人将承受远比赎金更高的综合损失”的困境。
网络安全对抗与防护已经是一种经济运行机制的对决。从防御侧来看,从预算投入方面,我们通常将网络安全在信息化的占比作为一个衡量标准,这使网络安全长期处在从属、配套和被压制状态。网络安全风险后果是否才应该是安全投入的第一衡量标准,也需要我们来思考。
这从对立面让我们思考网络安全投入与对标究竟应该以什么为衡量标准?我们认为从规划预算角度,网络安全必须是一套有独立评价参照系的独立预算口径,而不是简单设定为信息化的组成部分。网络安全投入合理的衡量标准是其运行资产价值和出现安全事件的风险损失,而并非信息化投入。通过在信息化中有限占比的方式来规划网络安全投入的传统思路已经成为安全能力建设的障碍。其逻辑错误在于错误定义了网络安全的保障对象——因为网络安全能力保障的并不是IT固定资产投入价值,而是业务和数据资产价值。对于高度依赖于信息系统运行的关基设施和政企机构,网络安全保障的是机构的全量价值,对应机构是一个企业,该价值就是企业的业务价值和营收价值,基于这个价值来判断网络安全投入的合理性,才是真正目标化的衡量标准,而不是仅与信息化投入关联所构建的成本化衡量标准。对于中央管理企业和关键基础设施部门,则还需要进一步评价对应的安全风险从企业自身风险连锁扩大到国家安全、社会治理安全和相关公民个人风险的情况。透过LockBit赎金规则,我们看到需要警惕的是:网络攻击者比网络防御者,先行一步认识到了这一规律。
6.2 正确的认知威胁是有效改善防御能力的基础
当前,针对关键信息基础设施和重要网络信息系统的网空威胁攻击活动,已经不再是一般性的技术事件和技术风险,而是带有复杂的国际安全形势和地缘安全竞合背景、具有情报作业或者网络战性质的行为活动。我们需要穿透“网站篡改”、“数据泄露”、“勒索瘫痪”、“钓鱼邮件”等攻击手法和现象,基于科学方法和工程的方式来认知威胁,才能更好地支撑威胁分析工作,并进一步推动防护能力的改善。传统的防护手段仅是建立起网络防御体系的基本工作,对于防范一般性的网络攻击是有效的,但对于防护超高能力网空威胁行为体则是完全不足的。关键信息基础设施防御体系建设必须对标能够防御高能力对手攻击,建立“体系化的防御”才能应对“体系化的攻击”,才能经受得住攻击者和窥视者的“多重检验”。
另外,对勒索攻击的防范,往往还停留在原有的勒索软件的阶段,还有许多人没有意识到勒索攻击已经是由持续定向入侵、窃取数据、加密数据瘫痪系统、勒索金钱、挖掘数据关联价值二次利用、贩卖数据、向监管机构举报、公开窃取数据所构成的一条价值侵害链,而且已经形成了一个规模极为庞大的犯罪产业。在这样的背景下,遭遇勒索攻击的风险已经不是简单的以数据损失和业务暂停为后果的形态,而是要付出失窃的所有数据均会被贩卖、公开等一系列的连锁风险。
从定向勒索攻击的作业方式来看,其在加密毁瘫行为触发前,是类似APT攻击的高度定制化的作业过程。攻击者或者是专业的攻击作业团队,有坚定的攻击意志、较高的攻击能力、充分的可利用漏洞资源,能掌握大量可利用的脆弱性情报和攻击入口资源,有的可能直接就是内部的攻击者。这也是依托RaaS的定向勒索攻击行动,面对有较强IT运营能力和防护投入的大型机构时仍能屡屡得手的原因。
同时,复杂系统的可靠性保障本身不能依赖于每个节点都不出问题,相对于现代信息系统的规模,特别是面对高级威胁行为体的作业能力,单点失效是必然发生的。需要以体系化防御对决体系化的进攻是一个最基本的认识,防御无银弹。无论在勒索防护中扮演最后一道防线的主机系统防护,还是作为最后应对手段的备份恢复,都是防御体系中的单点环节,都在应对高水平定向攻击中担负着在本身能力范围内检测阻断攻击、降低攻击成功率、提高攻击成本、降低风险损失的局部作用,都无法以单点来对抗体系性的攻击。
我们必须严肃的指出:将定向勒索攻击简单的等同于早期非定向扩散或广泛投放的勒索软件的威胁,将对抗勒索攻击简单看成是加密毁瘫vs.备份恢复的单点对抗,是极为落后、片面的安全认知。如果没有一套完整的防护体系和运营机制,而是认为依靠数据备份恢复来应对勒索攻击。就如同只出场一名守门员,来对抗对方一支球队。
6.3 客观的敌情想定是做好网络安全防御工作的前提
近年来,我国网络安全整体防护水平有了长足进步,但面对高等级网空威胁行为体的有效布防能力依然严重不足,其中原因之一,就是在于对超高能力威胁行为体的能力体系、作业意图、装备与支撑体系认知不足,分析推演不够系统深入。对攻击行为施加于关联场景以及潜在风险后果等重要因素,缺少极限推演。进而导致建设方向偏差、建设思路滞后。
网络安全防护工作,不是一厢情愿的自我臆想与闭门规划实施,而是必须正视威胁、直面对手,将对手和威胁的要素叠加在防御体系上的系统而严谨的工作,是一场关乎国家前途命运和人民福祉的伟大斗争。要充分认识到网络安全所面临敌情的高度严峻性,要立足于大国博弈与地缘安全斗争的大背景,深入贯彻总体国家安全观。把敌情想定构建作为网络安全规划的重要步骤,把“敌已在内”作为基础的想定,针对性地分析对抗场景与条件因素,综合研判目标价值、威胁行为体行动与后果之间的相互作用关系,深入洞悉对手意图目的,真正以高能力网空威胁行为体的组织建制、支撑体系、攻击装备、作业手段、作业体系与行动特点为客观依据,叠加到具体的防御场景上推演分析,完善对网络安全防御工作的规律认知,形成以有效防护为导向的能力建设与实战检验标准。要始终坚持客观敌情想定是网络安全工作的前提,不怯于认知敌情工作的长期性、持续性与艰巨复杂性,不被网空敌情的低可见性所迷惑,不被陈旧的认知与错误的观念所误导,坚持战略上藐视对手,战术上重视对手,将网络安全防御工作建立在正确的敌情想定基础之上,真正打造动态综合有效的网络安全防御能力。
从定向勒索攻击造成后果损失来看,我们必须改变对安全风险与价值的认知范式。由于定向勒索攻击已经形成了窃取数据、瘫痪系统和业务、贩卖数据和曝光数据的组合作业。其最大风险不只是系统和业务瘫痪无法恢复,而是同时面临被攻击企业的用户信息、关键数据、文档、资料、代码等核心资产被倒卖,被公开的风险,从而带来更大的连锁反应。从国内外安全领域长期以来的现实情况来看,很多政企机构改善自身安全的动力,并不来自于提升防护水平的能动性,很多企事业单位认为最可能发生的安全风险,不是遭遇攻击,而是因达不到合规标准,会遭到处罚。因此,安全防护领域构成了一套“投入-合规-免责”的低限建设运行逻辑。而定向勒索攻击所带来的后果,让IT决策者必须判断极限风险,并通过极限风险损失来判断网络安全的工作价值,如何避免业务长时间中断、数据彻底无法恢复、被窃取的数据资产被竞争对手购买,或因曝光严重贬值等极限情况,都是IT决策者和每一个机构必须应对的风险。
针对此类定向攻击的防护必然不是以单点进行突围,必须从整体防护上出发,坚持关口前移,向前部署,构成纵深,闭环运营。最终通过防护体系以达成感知、干扰、阻断和呈现定向攻击方杀伤链的实战运行效果。
通过以定向勒索攻击为代表的案例,可以看到除了合规要求和既有存量之外,分析网络安全投入的关联要素还需要考虑:业务和数据资产的全局价值;攻击可能造成的最大风险损失;遭遇攻击者的可能性以及攻击者能力所能承担的攻击成本,以上因素是安全投入合理性的有效衡量标准。单纯依靠政企机构本身,往往只能知己、不能知敌人,难以完成高质量的评估,因此需要公共产品进行赋能。
6.4 高质量的技术分析是重要的战略支撑能力
深入系统的威胁分析能力,一直是国内网络安全业界的一个能力长板。在长期的威胁分析斗争过程中(包括上世纪80年代后期的病毒样本分析、本世纪初开始的重大蠕虫事件分析和2010年前后系列APT事件分析),中国网络安全业界输出了大量高质量的分析成果,推动了技术创新、产品开发和持续运营,也有效支撑了相关公共安全领域决策,积累了一大批具有较高分析水平的工程师队伍;从产业层面来看,能进行有效威胁分析的安全企业越来越多。
但需要关注的是:1、在过去几年,高质量的分析成果有减少的趋势。在分析工作中,相对急功近利地追逐先发漏洞、热点事件,但不愿意长时间、大成本投入地持续跟踪深度威胁的情况比较普遍;2、规模型网络安全企业也将分析能力的保持和提升视为一种高昂的企业人力成本,而不愿意进行分析团队的扩建和体系性完善;3、在用户单位和管理部门中,也有一部分人存在着“分析报告就是企业软广”的偏颇认识,而忽视了这种分析工作对于准确判定威胁、溯源威胁行为体、研判防御的重点方向等方面具有极为重要的作用。
需要警惕的是,这些负反馈的作用下,分析能力作为我国产业长板能力会持续退化。
6.5 重新构建主机系统安全层面防御基石
主机系统是业务和资产数据价值的承载者,也是攻击者攻击的最终目标。主机端防护能力的历史颇为悠久,从上世纪80年代中后期就已经开始普及终端杀毒软件,但今天我们在实际的分析、取证、复盘中,发现主机端安全反而成为了其中最薄弱的环节之一。在资产价值向云中主机(工作负载)不断迁移、泛在介入的背景下,防火墙等传统安全环节的价值被急剧弱化,加密流量的广泛使用进一步削弱了流量侧安全能力的可见性,这些因素都迫使安全的支撑基石必须重新回到主机系统侧,确保安全边界构建在每一台主机系统之上,并再将这些细粒度安全边界组织成为防御体系。
在主机的安全防御体系中,将主机环境塑造、恶意代码查杀、主动监测、介质管控、主机防火墙等大量的安全功能进行积木化的整合,实现按需弹性部署,从而在面对钓鱼投放、漏洞突防、恶意介质插入等攻击方式时,能够在主机侧形成包括主机边界防护、对象检测、行为管控、敏感数据保护的微观防御纵深,切实构建主机系统安全层面防御基石。
6.6 以执行体治理为核心抓手持续闭环运营
网空对抗的主要范式,在过去和未来非常长的一个阶段,都是运行对抗。运行是数据基于执行入口向指令转化的过程,运行的依赖条件是防御的关键机会。同时我们必须看到,信息系统以计算能力承载执行体运行,完成其功能和任务的基本模式不会改变;信息系统依赖数据输入输出的运行方式不会改变;威胁行为体持续编写生产恶意执行体的客观事实不会改变。执行体既是网空对抗中的攻击目标,也是“武器化”攻击装备,同时也是防御机制的承载者。所有具备可执行能力、有机会转化为指令的对象,都可归入执行体范畴,从系统IO层面,执行体是最小可治理单元。
绝大部分攻击战术动作依赖执行体完成,攻击者持续侵入可信链,盗用证书加白、供应链污染等攻击手法愈发常见。大量的混合执行体攻击打破了传统的“威胁检测+可信签名”的防御检测范式。攻击者更注重利用系统环境中已经存在的可利用执行对象(如系统shell),并将大量开源和商用正常工具作为实现攻击的路径和工具。这些开源和商用软件在政企机构中有着广泛应用,有的软件本身就带有合法甚至知名机构赋予的信誉,这就使我们面向执行体对象的识别颗粒度要至少到达每一个活跃和新增对象,最小化地缩窄执行入口,最大化地管控系统。这些工作既需要强大的共性能力赋能,也需要每一个关键基础设施和重要信息系统去建立自己的执行体治理基线和闭环运营机制。当然,这些工作离不开能支撑执行体治理的、有效的主机安全防护软件。
以执行体对象为核心抓手开展防御治理工作,对网络安全基本能力具有重要价值意义。在识别环节,可以掌握执行体的行为与业务之间的支撑关系,理解执行体及其所需权限,掌握执行体具备的能力及其与脆弱性、暴露面的对应关系;在塑造环节,可以管控执行体开放服务及存在执行更新能力的通道;在防护环节,可以识别执行体的资源访问、连接、创建、写入、执行的客体,判断其行为目的,对违规行为进行拒止;在检测环节,可以基于执行体分布和行为监测,筛选出值得关注的、未知的执行体;在响应环节,可以基于执行体的潜在和激活能力、创建信道等手段,支撑追溯攻击来源等。
执行体治理是网络安全运营者通过识别和管控执行体保障网络安全的持续过程。持续过程不仅要完成检测、防御、清除恶意执行体和控制非恶意执行体网络访问等基础防护,更要建立识别、塑造、检测、防御和响应的流程闭环。在流程运行闭环的基础上,全面掌握执行体的静态分布情况与业务应用的执行体构成,建立信誉清单,同时能够识别执行体的执行动作并依据基线进行控制。在基线建立之后,识别全部执行体,全面掌握执行体和执行体的行为与业务之间的支撑关系,建立信誉指标、行为指标、业务影响指标等量化指标,以指标为指引针对不同场景建立配套的管控规则库、基线库和模型库,并持续运营实现能力与时俱进、效能不断提升。从而保持防御主动,构建防御能力对攻击者的不确定和不可预测性,提升攻击绕过难度,束控攻击活动,降低失陷风险。
6.7 坚持构建动态、综合的防御体系而不是始终摇摆
不断出现的各类重大安全威胁事件,容易产生类似最应重点防范勒索攻击还是APT攻击一类的疑惑。从水平上看,少数勒索攻击的前导攻击部分的水平,已经接近高级网空威胁行为体的APT攻击水准,而且勒索攻击将比APT攻击带来更直接和快速的经济损失与显性的机构信誉影响。定向勒索攻击确实是APT能力+勒索行为的结合体。但从另一角度看,由于勒索攻击组织必然要在一个相对短周期获益,其并无APT攻击者那样必须突破中心目标的关键意志力,其在长期潜伏、持久化和隐蔽作业方面,不会表现出APT攻击者的战略耐心。所以对每一个政企机构来说,其资产人员暴露面,一方面必然同时面对者多种攻击组织,但其可能遭遇的最高烈度或水平的攻击的判断,需要基于将其综合业务资产价值放到复杂的社会安全和地缘安全的背景下进行想定判断。
但必须指出的是,对大量机构来说,目前存在的并非在防御重点是APT攻击还是勒索攻击的选择问题,而是尚未完成防御基本面建设的问题。针对各种复杂的组合攻击,都需要防御层次的展开,都不存在“一招鲜,吃遍天”,所有资源、人力、策略投入的弹性调整,其前提都是已经完成了防御基础能力建设的基本动作,基本形成了动态综合、有效闭环的防御体系。这才能做到针对威胁变化实施针对性布防。可以说防御体系如能有效防御APT攻击,那么也能有效防御定向勒索攻击。
面对威胁挑战。战术上的高度重视和战略上坚定信心都是重要的。我们要坚信虽然定向勒索攻击防范难度很大,但依然有系统化的方法的和落地抓手。针对体系性的攻击,必须坚持关口前移,向前部署,构成纵深,闭环运营。提升攻击者火力侦察和进展到外围地带的发现能力,降低攻击方进入到核心地带的可能性。提升网络和资产可管理性是工作的基础:主动塑造和加固安全环境、强化暴露面和可攻击面的约束和管理、强化对供应链上游入口的管控、启动全面的日志审计分析和监测运行。构建从拓扑到系统侧的防御纵深,针对攻击者探测、投放、漏洞利用、代码运行、持久化、横向移动等行为展开层层设防,特别要建设好主机系统侧防护,将其作为最后一道防线和防御基石,构建围绕执行体识别管控的细粒度治理能力。最终通过基于防御体系实现感知、干扰、阻断定向攻击杀伤链的实战运行效果。