资源描述
1 /20202021网络安全态势观察报告/ 关于作者 金睛研究中心 金睛研究中心是启明星辰集团专业从事威胁分析和为检测产品赋能的团队。团队秉承着 “引领产品、服务产品”的核心理念,长期以来在Web安全研究、僵木蠕研究、高级威胁研 究、二进制漏洞研究、IoT威胁研究等多个领域深耕,并将研究成果源源不断赋能到入侵检 测、Web防护、沙箱检测、流量分析、欺骗防御等产品。同时对相关产品产生的安全告警日 志、样本数据进行深入挖掘和分析,并向用户提供专业的分析报告、提出专业的安全建议, 为用户决策提供帮助。 VenusEye威胁情报中心 VenusEye威胁情报中心由启明星辰集团倾力打造,以“数据驱动运营,情报赋能安全”为 理念,综合运用沙箱集群、同源分析、知识图谱、人工智能等先进技术,聚焦高价值情报的 生产和应用,赋能安全产品和运营服务。可以提供多种与网络安全威胁情报相关的数据、产 品和服务,包括但不限于威胁情报站点查询、SaaS服务、威胁情报库、私有威胁情报中心 等。可以协同赋能监测探针类、威胁感知类、分析溯源类、安全运营类等多种威胁情报应用 场景,快速研判入侵行为,提升威胁检测、防护、应急响应能力。 云众可信 云众可信()成立于2017年,是启明星辰集团旗下品牌,深耕 网络安全攻防领域,以“做网络空间安全守护者”为使命,秉承“专业、创新、极致、担当”理 念,为客户提供专业可信的网络安全攻防产品、服务及解决方案,致力于成为客户最信赖的 网络安全合作伙伴,为客户安全保驾护航。云众可信核心产品包括:网络空间靶场、红蓝网 络攻防演练平台、应急演练平台、安全众测平台。安全服务涵盖:攻防演练、安全众测、渗 透测试、代码审计、应急响应、安全评估、安全培训、定制服务等。目前,云众可信已成功 为来自政府、互联网、金融、电力、能源、运营商、大型企事业单位等行业客户提供安全支 撑,助力客户安全、高效、合规的开展业务。 核心技术研究院 启明星辰核心技术研究院是启明星辰集团的网络安全前沿技术研究部门,成立于2011 年。与启明星辰博士后工作站紧密结合,由博士及硕士研究人员组成的团队近年来致力于大 2 /20202021网络安全态势观察报告/ 数据安全分析、机器学习/深度学习在网络安全中的应用、人工智能安全、区块链安全、隐 私保护计算等多项网络安全前沿技术领域的研究工作,为启明星辰的技术创新提供重要支 持。 漏洞扫描产品中心 启明星辰漏洞扫描产品中心于2000年开始研发天镜脆弱性扫描与管理系统,是从事漏 洞评估与管理产品的专业化团队,团队坚持自主创新,不断突破脆弱性评估相关核心技术, 在工控漏洞评估、漏洞智能管理、产品国产化等多方面持续领先。 研发了具有自主知识产权的漏洞评估与管理产品系列产品,包括天镜系统漏洞评估工具、 天镜Web应用检测系统、天镜无线安全评估工具、天镜工控漏洞评估工具、天镜国产化漏 洞评估工具、天镜工控等保检查工具箱、天镜等保检查工具箱、天镜网络安全应急处置工具 箱、天镜漏洞管理平台、天镜网站安全监测平台产品等。 根据权威调研机构赛迪顾问(CCID)数据显示“天镜脆弱性扫描与管理系统”在漏洞评估 与管理市场连续多年排名第一,树立了启明星辰漏洞评估与管理产品的领导者地位和市场品 牌。 应急响应中心 启明星辰集团应急响应中心(VSRC)是启明星辰集团开展重要网络安全事件发现、通 告和应急处置工作的安全协调中心。致力于为国家主管部门和企业级用户提供统一化资源协 调、体系化应急响应、行业化情报服务和规范化安全通告,以共同维护国家公共互联网安全, 保障关键信息基础设施安全运行。 知行安全研究中心 知行安全研究中心是启明星辰集团旗下北京网御星云信息技术有限公司所属的专业安 全研究中心,研究方向是聚焦数字化场景中的安全需求,通过在安全实践中进行探索、归纳、 总结和凝练,形成相关安全研究成果。曾结合云上贵州数字要素市场安全实践,在数博会推 出省域数据要素市场自治与可信流通安全防护体系建设白皮书、结合医疗领域安全实践, 在CHIMA大会推出中国医院网络安全发展研究报告等重磅报告。 3 /20202021网络安全态势观察报告/ 概述 网络安全法制化建设稳步推进,数据安全逐渐成为焦点 习近平总书记指出:“安全是发展的前提,发展是安全的保障”。这表明在塑造数字化发 展这个新“动力系统”的同时,也要注重实现网络和数据安全的“制动系统”。唯有如此,才能 形成健康、良性、高质量的数字化发展新格局。 网络安全法的正式施行,标志着我国网络安全纳入法制化轨道。等级保护2.0相关标准 的正式实施,构成了国家网络安全保障的基本制度、基本策略和基本方法。2021年7月, 国家互联网信息办公室发布网络安全审查办法(修订草案征求意见稿),从关键信息基础 设施到供应链安全等多角度维护国家安全。同月,工业和信息化部、国家互联网信息办公室、 公安部联合印发了网络产品安全漏洞管理规定,自2021年9月1日起施行。该规定的 施行将推动网络产品安全漏洞管理工作的制度化、规范化、法治化,引导建设规范有序、充 满活力的漏洞收集和发布渠道,防范网络安全重大风险,保障国家网络安全。特别值得一提 的是2021年9月1日即将施行的中华人民共和国数据安全法,它的颁布和实施为规范 数据处理活动、保障数据安全、促进数据开发利用提供了法律依据。同时标志着数据安全正 逐渐成为焦点,并已经成为国家战略层面的重要考量。经过近几年的发展,针对数据安全的 各项保障工作逐渐取得成效。 一是数据流通交易安全体系不断完善。当前数据已经上升为新的生产要素,各地纷纷加 速培育数据要素市场,着力推进数据流通交易建设,深入数据要素市场的场景化安全需求。 发布省域数据要素市场自治与可信流通安全防护体系建设白皮书,就是对新型数据流通 交易安全的有益探索。 二是数字内容隐私保护细化完善。2020年通过的中华人民共和国民法典,首次规定 了隐私权和个人信息保护原则等,为该领域的未来立法奠定基础。2021年审议的中华人 民共和国个人信息保护法(草案二次审议稿),体现了个人信息保护立法工作的逐步细化。 三是数据安全技术逐步创新演进。当前利用数据安全治理、隐私计算、区块链、数据令 牌化、数字水印、同态加密等技术,解决数据确权、数据交易、数据可用不可见、数据追踪 等问题。采用“零信任”安全理念和架构,以身份为中心,精细化授权,全面审计,保障用户 安全、可信地访问业务系统。 我们相信,随着相关法律法规的不断落地以及相关技术的不断成熟,我国网络安全治理 能力和数据安全保障水平将会不断迈上新的台阶。 威胁框架进入“攻防兼备”新阶段,并逐渐成为网络安全行 业的风向标 过去一年多,以ATT&CK为代表的威胁框架热度不减,并逐渐进入“攻防兼备”的新阶段。 4 /20202021网络安全态势观察报告/ 2020年1月7日,MITRE发布ATT&CK For ICS知识库。ATT&CK For ICS首次成功描绘 了针对工控系统的攻击所涉及的技术,为关键信息基础设施和其他使用工业控制系统的组织 评估网络风险提供了重要参考。 2020年10月,MITRE发布ATT&CK v8版本,将PRE-ATT&CK替代为新的侦察和资源 开发两个战术,较上一版本更加完整地描绘了攻击者针对传统IT系统的攻击过程。 2021年4月,MITRE发布ATT&CK v9版本,新增了ATT&CK for Containers,首次描绘 出针对Kubernetes和Docker的攻击技术。 随着近几年的发展,以红方视角为主的威胁框架逐渐完善,但网络安全防护领域的知识 库始终缺失。2014年NIST发布的网络安全框架CSF提供了用于管理网络安全风险的通用 语言和系统方法,但其更像一个面向合规的方法论,缺乏真正可落地实践的基础。 在此背景下,2020年8月,MITRE发布了用于主动防御的实战型指导框架:MITRE Shield。 该框架是基于对真实攻防对抗环境所涉及的主动防御战术、技术提炼而成的知识库,包括了 引导、收集、控制、检测、破坏、促进、合法化、测试8大战术和33种技术。Shield提供 了针对ATT&CK攻击技术对应防御技术的映射,防御者可以利用ATT&CK威胁框架分析攻 击者的技战术,同时利用Shield知识库部署网络防御设施。MITRE Shield知识库虽然较CSF 网络安全框架显得更“接地气”,但其每个具体防御技术仍然不够具体细化,缺乏可落地性。 2021年6月,NSA协助MITRE发布了D3FEND框架,D3FEND作为ATT&CK的重要补 充提供了对抗常见攻击技术的方法模型,并将每一项防御技术与ATT&CK模型中的攻击技 术相对应。与MITRE Shield不同的是,D3FEND以数字工件本体作为概念化与实例化关系的 基础,建立攻击技术和防御技术之间的关联。以DNS网络流量数字工件为例,其关联的防 御技术(左侧)与关联的攻击技术(右侧)如下: 图 1 D3Fend框架DNS网络流量数字工件 5 /20202021网络安全态势观察报告/ 防御者可以通过数字工件的关联找到与之对应的攻击技术和防御技术。D3FEND相比 MITRE Shield具备更强的落地性,作为“甲方”的网络安全需求方可以借助D3FEND,更有针 对性地结合自身网络环境面临的威胁设计、部署整个网络防御系统;而作为“乙方”的网络安 全厂商在进行ATT&CK能力覆盖时也可以“按图索骥”直接找到对应的防御技术。 以ATT&CK为代表的攻击框架和以Shield、D3FEND为代表的防御框架的出现,为网络 安全行业作出了重大贡献。未来,以它们为代表的攻防框架将逐渐成为网络安全行业的风向 标。 基于对过去一年多各类攻击事件的汇总,我们总结出2020年2021年上半年ATT&CK 常用攻击技术,如下表: 攻击阶段 常用技术 侦察 主动扫描 资源开发 获取能力(代码签名证书) 初始访问 利用面向公众的应用程序、有效账户、供应链攻击、外部 远程服务 执行 命令和脚本解释器、计划任务、系统服务、用户执行 持久化 创建或修改系统进程、计划任务、外部远程服务、账户操 作、有效账户、创建账户、引导或登录自动启动执行、事 件触发执行、劫持执行流程、BITS 权限提升 创建或修改系统进程、计划任务,进程注入、有效账户、 访问令牌操作、引导或登录自动启动执行、事件触发执行、 劫持执行流程、滥用权限控制机制、域策略修改 防御规避 签名二进制代理执行、进程注入、混淆的文件或信息、伪 装、删除主机上的指标,颠覆信任控制、修改注册表、虚 拟化/沙盒逃逸、削弱防御、有效账户、访问令牌操作、间 接命令执行、劫持执行流、执行护栏、绕过权限控制机制、 BITS、域策略修改、利用漏洞绕过安全防护功能、受信任 的开发程序代理执行 凭证访问 操作系统凭证转储、爆破、输入捕捉、来自密码存储的凭 据、强制认证、窃取或伪造 Kerberos票据、双因素身份 认证拦截、窃取Web会话cookie、不安全的凭证 发现 系统信息发现、文件和目录发现、遍历注册表、系统网络 配置发现、虚拟化/沙盒逃逸、进程发现、软件发现、网络 连接发现、账号发现、用户发现、系统服务发现 横向移动 远程服务、远程服务会话劫持、替代认证、内部鱼叉式网 络钓鱼 收集 归档收集的数据、输入捕捉,来自信息库的数据、剪贴板、 邮件收集、屏幕捕捉,音频捕捉、数据暂存 6 /20202021网络安全态势观察报告/ 命令与控制 入口工具传输、加密通道、非应用层协议、应用层协议、 代理、数据混淆、非标准端口、Web服务 泄露 通过Web服务泄露、通过C2通道泄露 影响 服务停止、数据加密 表 1 2020年2021年上半年ATT&CK常用攻击技术 在接下来的部分章节(APT组织态势、勒索攻击态势)中,我们也会总结过去一年多相 关事件的ATT&CK常用技术。 网络犯罪产业链逐渐成型,地下黑产技术“深度融合” 随着RaaS(勒索软件即服务)、MaaS(恶意软件即服务)等模式的发展,网络犯罪产业 链逐渐成型。网络犯罪过程中的任何环节都能找到相应的服务,网络犯罪团伙俨然已经成为 一个协作有序、相互匿名的项目团队。在日益成熟的网络犯罪产业链下,地下黑产技术“深 度融合”。 以RaaS模式为例,各成员通过暗网相互提供服务,管理者作为“项目经理”统筹资源的 调配,赚得的勒索金额会根据不同工种的工作量给予一定的利润分成。勒索团伙通常包含资 源服务团队,技术服务团队和业务服务团队。 图 2 网络犯罪产业链 7 /20202021网络安全态势观察报告/ 资源服务团队主要提供犯罪团伙所需的工具、初始访问权限、服务器资源等。“管理者” 通过招募僵尸网络所有者,已拥有一定权限的黑客获得大量的肉鸡资源,并从中寻找最有价 值的目标;勒索软件本体也可以找到合适的开发团队来构建,开发团队可以选择长期支持或 一次性出售源代码;此外,勒索软件一般还需要进行免杀处理,这其中最有效的方式就是购 买经过免杀处理的加载器。此外,托管服务器、洗钱账户、渗透工具、受害者的链路信息也 都是需要准备的资源。 当拿到所需的资源后,便可以通过犯罪团伙本身或其雇佣的攻击团队展开攻击活动。通 常他们会使用钓鱼邮件等方式进行勒索软件的分发。由于多重勒索模式的流行,攻击者除了 将勒索软件下发之外,还会在勒索之前使用后渗透工具如Cobalt Strike窃取受害者的机密文 件,或使用DDoS方式攻击受害者的网站。 业务服务团队在勒索团伙中也是不可或缺的一环。在该团队中会有外包的分析团队,他 们会专门针对受害者的企业信息和窃取的机密文件来分析受害者能够接受的最高赎金,还有 专业的谈判团队对受害者进行施压。 上述资源服务团队、技术服务团队、业务服务团队几乎所有的成员都会在暗网上进行公 开招聘。 图 3 勒索攻击者在暗网进行技术人员公开招募 在日渐成熟的网络犯罪产业链下,各类僵尸网络、勒索软件、加载器、商业木马“深度 融合”,许多网络犯罪分子在产业链内发展关系,从而获得使团队运作或利润最大化的必要 技术。以下是过去一年多我们观察到的不同攻击活动中常见的恶意软件投递关系图: 8 /20202021网络安全态势观察报告/ 图 4 常见恶意软件投递关系图 在这些攻击组合中,最为常见的主要有以下几种: BuerRyuk EmotetTrickbotRyuk TrickbotConti IcedIDEgregor IcedIDRevil ZloaderEgregor ZloaderRyuk ZloaderDarkside BazarLoaderRyuk BazarLoaderConti 勒索攻击已成为全球公敌,“多重勒索”、“APT化”成为勒 索攻击标配 过去一年多,平均每11秒就有一家企业成为勒索病毒攻击的目标,勒索攻击或在2020 年造成高达数千亿美元的损失。据不完全统计,2020年全球勒索攻击次数较2019年同比增 长了150%以上,每次勒索的平均赎金达到了31万美元;2021年“勒索攻击产业”年收入将达 到数千亿美元。勒索软件的威胁堪比“911”事件后全球恐怖主义所面临的挑战,并逐渐成为 全球公敌。 9 /20202021网络安全态势观察报告/ 在“RaaS(勒索软件即服务)”、“APT化”攻击模式以及“Big Game Hunting(大型狩猎游 戏)”盛行的大背景下,勒索攻击的参与者越来越多,勒索攻击的事后追查越来越困难,勒 索入侵的过程越来越复杂,勒索攻击的目标越来越有针对性。勒索组织管理者通过招募相关 领域的“人才”组成松散的“团队”。“团队”构建完毕后,通过价值目标选择、攻击方案选择等完 成前期准备,再通过弱口令爆破、僵尸网络、鱼叉攻击、水坑攻击、供应链攻击或者0day/Nday 漏洞等方式进入受害者的网络环境,进而通过凭证窃取、权限提升、横向移动等找到受害者 的重要资产,将数据打包后上传到攻击者的服务器,最后投放勒索软件进行精准勒索。一般 一次完整的勒索攻击会持续数周甚至数月时间,攻击者在受害者网络中长期潜伏,甚至会在 攻击过程中随时根据受害者的网络防护情况调整自己的策略,所做的一切都只为寻找最有价 值的数据并在最后一刻“一招毙命”。同时,勒索攻击者已经普遍不满足于依靠单一勒索方式 达到目的,而是采取泄露攻击目标重要数据,对攻击目标发动DDoS攻击甚至威胁与受害企 业相关的客户等“多重勒索”方式达成最终的目的。 此外,以往勒索攻击主要针对传统IT系统,近年来随着云计算、物联网、移动互联网 等技术的快速发展,勒索已经逐渐瞄准云上资源、IoT设备、工控系统以及移动终端设备, 这类本来自身安全性就较薄弱的系统在面对勒索攻击时更加不堪一击,轻则造成企业生产停 滞,重则危害社会乃至国家安全。 未来,除了针对价值目标的“APT化”勒索攻击外,类似DarkSide组织以摧毁重要基础设 施为目的的高级勒索攻击将会屡见不鲜,勒索攻击将成为危害网络安全的首要威胁。 供应链攻击成为黑客攻击重要突破口,其影响已经上升到 国家层面 作为最隐蔽和有效的攻击方式之一,供应链攻击在过去一年多受到攻击者的青睐。 根据ATT&CK框架对供应链攻击的分类,供应链攻击一般分为软件供应链攻击、硬件供 应链攻击和软件开发工具或依赖库供应链攻击三种形式: 软件供应链攻击案例最为广泛,主要是通过在软件开发阶段修改源代码,分发阶段替换 为恶意软件等方式进行攻击。2020年底,网络安全管理软件供应商SolarWinds遭遇国家级 APT团伙供应链攻击,就是典型的软件供应链攻击,本次攻击导致包括美国关键基础设施、 军队、政府在内的18000多家客户全部受到影响。无独有偶,2021年年中,Revil黑客组织 通过Kaseya旗下产品KASEYA VSA的漏洞发起供应链攻击,多达200余家客户受到影响。 硬件供应链攻击是通过替换、植入、修改等方式在硬件产品送达消费者之前的整个环节 中进行攻击。相较于软件供应链攻击,硬件供应链攻击更加难以发现,攻击成本也相对更高。 2015年披露的方程式组织武器库中就包含数十种常见品牌的硬盘固件重编程的恶意模块。 通过篡改软件开发工具以及使用广泛的开源项目是供应链攻击的第三种方式,也被称为 “下一代供应链攻击”。Sonatype发布的2020年软件供应链状况报告中指出,过去12个 月共发生了929次针对开源软件的供应链攻击。相比之下,过去五年的总和才仅有200余 起。2021年年初,一名白帽黑客通过向PyPI、npm以及RubyGems的开源仓库上传恶意软 10 /20202021网络安全态势观察报告/ 件成功入侵了包括Microsoft、Apple、PayPal、Shopify、Netflix、Yelp、Tesla和Uber等35 家重要公司的内部系统,并因此获得了超过130,000美元的漏洞赏金奖励。我们应该庆幸这 仅仅是一次渗透测试,如果是一次真实的攻击甚至幕后黑手是国家级APT组织,那后果可 想而知。 供应链攻击具有极端隐蔽、检测困难、攻击面广泛、攻击成本低回报高等特点。我们预 计,未来供应链攻击事件会逐渐增长甚至暴发,国家级背景的攻击组织主导的供应链攻击事 件将会屡见不鲜。由于我国大部分信息化系统的软硬件核心技术对欧美的依赖程度仍比较 高,因此供应链安全将是我们未来面临的重要挑战。 就地取材,LOLBins、攻击性安全工具滥用成趋势 对于攻击者来说,利用各种现成的工具来实现其最终目的无疑是最佳选择。一是,利用 现成的工具可以更大地降低成本,攻击者只需要付出一定的学习成本便可轻松达到目的;二 是,有些工具并非是真正的恶意软件,安全软件一般不会检测或者会被管理者当作白名单, 大大提高了这类工具在使用过程中的“免杀”能力。三是,使用现成工具往往会更进一步隐藏 攻击者的真实身份,使得基于工具进行攻击者身份鉴别的手段失效。 在“Living off the land”热度不减的同时,攻击性安全工具(Offensive Security Tools,简 称OST)越来越受到攻击者的关注。“Living off the land”通常指攻击者使用目标主机上已安 装的工具或功能进行攻击的方式,被利用的工具通常叫做“LOLBin”。在真实攻击中,LOLBin 一般以操作系统自带的具有一定功能(如网络访问,命令执行等)的系统文件为主。虽然 “Living off the land”可以最大限度地避免攻击被发现的可能,但仅利用系统提供的有限功能 “拼凑”出整个攻击过程并非易事,攻击性安全工具便进入了攻击者的视野。攻击性安全工具 是指在不利用软件自身缺陷或漏洞的情况下,以合法身份实施入侵或规避安全防御机制的软 件代码库。攻击性安全工具一般由信息安全专业人士开发,目的是促进网络安全相关技术的 发展。通俗地讲,攻击性安全工具就是开源代码共享网站可以下载到的渗透工具或者较为知 名的商业渗透攻击套件的集合。 下面我们结合ATT&CK网络威胁框架,总结近年来在各个攻击阶段较为常用的LOLBins 以及攻击性安全工具: 攻击阶段 LOLBins 攻击性安全工具 侦察 Ping.exe、net.exe、 nslookup PortScanner 初始访问 RDP远程桌面 NLBrute、Hydra 执行 Powershell.exe 、 Atbroker.exe、Bash.exe、 Bitsadmin.exe 、 cmd.exe、cscript.exe、 explorer.exe 、 11 /20202021网络安全态势观察报告/ Gpscript.exe、hh.exe、 Ie4uinit.exe、ieexec.exe、 mmc.exe、Msbuild.exe、 Msdt.exe、mshta.exe、 msiexec.exe 、 rasautou.exe 、 chtasks.exe 、 scriptrunner.exe 、 ttdinject.exe、vbc.exe、 verclsid.exe、wab.exe、 wmic.exe、wuauclt.exe、 appvlp.exe、cdb.exe、 csi.exe 持久化 cmdkey.exe 、 Netsh.exe、pnputil.exe、 At.exe、sc.exe、reg.exe Koadic 权限提升 Cobalt Strike、Koadic 防御规避 Atbroker.exe 、 cmstp.exe、control.exe、 csc.exe、esentutl.exe、 eventvwr.exe 、 Forfiles.exe、ieexec.exe、 Jsc.exe 、 MpCmdRun.exe 、 odbcconf.exe 、 pcalua.exe 、 pcwrun.exe、net.exe、 Presentationhost.exe、 Regasm.exe 、 regedit.exe、regini.exe、 regsvcs.exe 、 regsvr32.exe、sc.exe、 wsreset.exe、taskkill.exe UACME 、 Process-Hollowing 、 SimplePELoade 、 ImprovedReflectiveDLLInjection、Process Hacker、PCHunter、GMER、software uninstallers、Revo Uninstaller、Defender Control 凭证窃取 diskshadow.exe 、 pktmon.exe 、 tttracer.exe 、 adplus.exe、comsvcs.dll Mimikatz、LaZagne、NetPass、Cobalt Strike、NLBrute、Hydra、Rubeus、Invoke- Kerberoast、Metasploit、PowerShell Empire、ProcDump、Cobalt Strike、 KeeThief、impacket 发现 nltest.exe、whoami.exe、BloodHound、AdFind、CrackMapExec、 12 /20202021网络安全态势观察报告/ net.exe、mmc.exe ADRecon、Advanced Port Scanner、 SharpHound、kerbrute 横向移动 AppInstaller.exe 、 CertReq.exe 、 certutil.exe、diantz.exe、 Expand.exe 、 extra32.exe、ftp.exe、 print.exe、xwizard.exe Cobalt Strike、Invoke-TheHash、PsExec、 Invoke-DACheck、Netscan、PowerSploit、 Pyxie、 Invoke-SMBExec、Empire 收集 findstr.exe、psr.exe WinRar、7z、SharpHound 命令与控制 bitsadmin.exe Cobalt Strike、Empire、QuasarRAT、 PoshC2、Covenant 、PowerShell Empire、Koadic 泄露 MegaSync、MEGA、DropMeFiles、 WinSCP、Rclone、Koadic 表 2 各个攻击阶段常用的LOLBins以及攻击性安全工具 新挖矿木马如雨后春笋般涌现,容器成为挖矿攻击重要目 标 与普遍“APT”化的勒索攻击不同,为了获得更多的计算资源,挖矿攻击仍然以不断扩大 感染面为主要目标。 过去一年多,随着以比特币为代表的数字加密货币的暴涨,挖矿木马也随之更加活跃。 甚至一些知名APT组织也加入挖矿阵营。在这一年里,老的挖矿木马持续活跃,如永恒之 蓝下载器木马以及H2Miner挖矿家族都在不断扩充漏洞攻击武器库;新的挖矿木马层出不 穷,如PGMiner、KingMiner等新挖矿木马。 除了使用弱口令爆破、常见的漏洞利用外,挖矿攻击逐渐瞄准容器等云上资源。Docker 容器作为一种有效的软件应用程序打包方式,在过去几年越来越受欢迎,Docker 容器在各 个公有云大量部署运行。这些容器由于天生具有计算资源丰富、难以监控等原因成为黑客垂 涎的目标。一方面,黑客通过在Docker Hub发布带有挖矿木马的恶意镜像进行攻击;另一 方面,黑客通过Docker的未授权访问漏洞或使用者在认证上的不安全设置入侵Docker容 器并进行感染。 Web攻击工具逐渐自动化、加密化,办公系统、安全设备 漏洞威胁愈发严重 近年来,Web攻击工具呈现逐渐自动化、加密化的趋势。以冰蝎、哥斯拉为代表的新型 Webshell 管理工具正逐渐往流量加密的趋势发展。传统的以特征串匹配为基础的流量检测 13 /20202021网络安全态势观察报告/ 手段已逐渐失效,以流量行为特征、机器学习、威胁狩猎为基础的检测方式正逐渐走上舞台。 以Goby、Xray为代表的漏扫工具方兴未艾,它们普遍都集成了各类系统及应用的漏洞EXP, 并且支持自定义EXP,通过丰富漏洞EXP资源库方便使用者快速获取权限。再配合各脚本、 工具间实现高效联动,提升了漏洞的探测能力与利用效率。这些漏扫工具功能越来越强大, 使用越来越方便,即使是入门级的新手也能依靠这些工具自动化完成大部分渗透工作。 此外,仍有不少0day漏洞被曝光,这其中大部分都是办公系统及安全设备本身的漏洞。 这类漏洞具有覆盖范围广、危害大,利用难度较低的特点。由于OA系统通常位于DMZ区 或内网,安全设备通常位于内网,加之国内部分企业网络环境相对复杂,访问控制策略不规 范,时常会有内外网或DMZ区互通的现象出现。此时OA系统或办公设备的漏洞就会成为 攻击者的绝佳入口,攻击者可利用OA系统挂马或当作跳板直达核心办公网,甚至利用安全 设备漏洞直接关闭告警信息让攻击者畅通无阻。 IoT僵尸网络变得更加隐蔽,NAS设备成为IoT攻击新宠 传统的IoT僵尸网络由连接到命令与控制(C&C)服务器的众多受感染设备(Bot)组 成,犯罪分子使用C&C服务器控制着整个僵尸网络。这意味着只要关闭C&C服务器,就会 使僵尸网络无法工作。但是过去一年多,我们发现越来越多的僵尸网络引入了P2P和Tor网 络技术,这使得僵尸网络变得越来越隐蔽,更加难以关闭。老牌僵尸网络Mirai、Gafgyt等 都已引入TOR技术,Wifatch、HideN Seek、Hajime、Mozi、HEH等也都纷纷引入了P2P技 术。 由于IoT类设备一般无重要数据存储,所以勒索软件一直以PC、服务器等IT类资产为 目标。近年来随着NAS设备的普及,勒索软件已开始瞄准IoT设备进行攻击。2020年下半 年到2021年上半年,我们分别观察到eCh0raix、Qlocker、AgeLocker、Muhstik等勒索家族 专门利用QNAP NAS设备漏洞进行传播,2021年6月出现的Ruyk家族新变种也开始针对 NAS设备进行攻击。我们预计,未来会有更多的勒索软件以IoT设备为目标进行攻击。由于 附加在IoT设备上的安全能力普遍偏弱,其危害将会明显大于Windows/Linux系统下的勒索 攻击。 区块链技术的发展持续面临安全风险和挑战 2020年4月20日,国家发展改革委正式明确了“新基建”的范围,将区块链技术作为新 技术基础设施纳入“新基建”。区块链技术基于独特的链式结构、哈希值、时间戳和共识机制 等要素,保证了链上数据很难直接篡改和伪造数据,区块链技术成为了新基建中各类基础设 施建设的底层技术。 同时,区块链技术发展持续面临安全风险和挑战。区块链基础设施不仅面临着传统机制 安全风险,还面临区块链核心机制带来的新型安全风险。传统机制的安全风险包括节点设备 安全风险和传统网络安全风险。区块链核心机制安全风险包括数据存储安全风险、密码机制 安全风险、共识机制安全风险以及智能合约安全风险等。 14 /20202021网络安全态势观察报告/ 随着区块链技术的应用越来越广泛,区块链相关的安全问题也愈发增多。据国家区块链 漏洞库不完全统计显示,2020年度区块链领域发生的安全事件包括交易平台安全事件、DeFi 项目安全事件、钱包安全事件等共500多起。 交易所用于海量资产的管理存储及撮合交易,一直以来是黑客首当其冲的攻击目标: 2020年9月27日,新加坡加密货币交易所KuCoin披露了一次大规模黑客攻击。该公 司在网站上发布的一份声明证实,一名攻击者破坏了其系统,并清空了其热门钱包中的所有 资金,估计最低损失为1.5亿美元。 2020年2月5日,意大利交易所Altsbit被黑客攻击,损失了6.929个比特币、23个 ETH,以及其他数量的加密货币,随后交易所宣布于2020年5月8日关闭。 随着DeFi的快速发展与资金规模的急速扩大,DeFi安全事件也时有发生: 2020年2月15日,DeFi协议bZx遭受攻击,攻击者同时跨多个协议完成了一笔闪电 贷杠杆套利交易,导致价值35万美元的ETH被盗。 2020年2月18日,bZx再次发现使用闪电贷进行的可疑交易,攻击者获利2388个 ETH,约64.4万美金。 区块链钱包也是有利可图的目标。2020年2月12日,黑客利用IOTA官方钱包应用程 序的漏洞窃取用户资金,损失估计为8550000枚MIOTA(价值230万美金)。 高级隐蔽网络蓬勃发展,防溯源能力显著增强 网络攻防对抗一直处于激烈的拉锯战之中,例如网络追踪溯源技术和网络隐蔽防溯源技 术。网络追踪溯源技术通过对蜜罐、蜜网等网络诱骗技术的研究,深入分析各类攻击行为特 征,深入了解网络攻击手段、攻击方法和攻击目标等,为攻击溯源和调查取证提供依据,实 现网络攻击行为的快速跟踪溯源、精确定位。网络隐蔽防溯源技术则针锋相对,利用多级跳 转、加密传输、反追踪、专线专用等技术手段,实现匿名安全的互联网接入。 1、隐蔽方式多元化发展,异构串联构建隐蔽网络 从隐蔽网络的实现方式上分,可以分为便携式4G匿名隐蔽网络、网络硬件节点隐蔽网 络和匿名专线隐蔽网络几种,这些网络可以异构串联整体使用,确保网络传输的安全可靠。 典型隐蔽网络应用组成图如下图所示: 图 5 典型隐蔽网络组成图 15 /20202021网络安全态势观察报告/ 便携式4G匿名隐蔽网络主要用于网络渗透测试人员使用手机、便携式电脑等上网浏览 信息、安全可靠下载数据和网络渗透工作,适用于咖啡店、机场、商场、野外等各种复杂隐 蔽接入区域;网络硬件节点隐蔽网络利用大量真实受控的硬件节点,构建自行组建的弹性可 扩展P2P等网络,同时支持完善的权限管控,精细化划分出不同用户组的资源操作权限;匿 名专线隐蔽网络借助国内外专线网络途径,构建高带宽高可用的专线传输环境,在敏感目标 端本地直接访问目标环境。 2、隐蔽网络管理控制和数据传输能力逐渐增强完善 隐蔽网络的管理控制负责整个隐蔽网络的资源管理工作,其中硬件节点的管理是最重要 的部分。节点类型不仅包括匿名VPS节点,还包括高性能服务器、网络设备、IoT设备等, 横跨多种网络平台架构(X86、X64、ARM、MIPS等)。组网方式采取自动化P2P网络组网, 链路智能切换,通过管理控制模块负责节点的注册、部署、销毁、网络状态评估以及升级、 密钥配置更新等工作。 通过创建多级跳转的加密隐蔽通信链路,对通信数据加密匿名传输,数据传输能力主要 体现在带宽和速率上。主要转发模式有全局转发和高性能转发等工作模式,全局转发模式下, 系统使用虚拟网络转发所有出口流量,高性能转发模式下,系统使用透明代理转发TCP和 UDP流量。通常来讲,有线接入的上下行带宽不低于5Mbps,通信链路时延低于1000ms, 无线接入可支持2.4GHz/5GHz两种频段。 “以攻促防、以矛强盾”,漏洞攻防研究日益受到重视 漏洞是网络安全最重要的命门,不法网络攻击者不断在硬件、软件、协议的具体实现或 系统安全策略上寻找存在的缺陷,从而能够在未授权的情况下访问或破坏系统。漏洞一旦被 利用后果不堪设想,它能直接突破未授权的系统,进而在系统中进行拓展和控守。因此,漏 洞研究与挖掘能力成为守护网络安全命门的关键武器。其发展趋势主要包括以下几个方面: 1、专业化定制化漏洞挖掘需求强烈 随着用户对采取高强度安全防护措施的目标网络侦察和了解的深入,网络攻防技术呈现 出细分化和专业化的趋势,面向用户需求的定制化漏洞挖掘项目也越来越多。大而全的漏洞 扫描设备被认为是安全防御和检测的基本形态,大多用来初步检测和发现安全漏洞,客观评 估网络风险等级,而针对性的定制化漏洞挖掘和网络漏洞突破解决方案更受用户欢迎。 2、自动化渗透测试平台更紧密结合实战型漏洞 自动化渗透测试是目前比较热门的网络攻防领域,主要是利用了众多的已公开或未公开 漏洞对目标资产和系统进行自动化检测,发现并利用这些弱点,从而降低人工检测强度,辅 助渗透测试人员后渗透。很多自动化渗透测试平台局限于通过技术手段提供覆盖子域名探 测、域名解析、端口、服务、Web页面路径等网络资产探测、突破和利用,离实战化还有一 定距离。而实战型漏洞拓展到网络渗透测试活动中遇到的各种安全防护系统、设备以及通信 链路,这些漏洞不仅仅局限于Web跨站、数据库撞库等常见授权渗透测试场景,因此,实 战型漏洞发现和自动化渗透测试平台是网络攻防对抗领域未来发展的重要方向。 3、政府、企业和院校加强漏洞挖掘人才培养 16 /20202021网络安全态势观察报告/ “网络空间的竞争,归根到底是人才的竞争”,如何培养高素质的网络安全队伍,引发网 络安全行业乃至国家的高度关注。近年来,政府、企业和院校加强漏洞挖掘人才培养力度, 以赛促学、以赛代练的漏洞挖掘大赛此起彼伏,例如“天府杯”、GeekPwn“极棒”、各种CTF、 “红帽杯”等等。从目前来看,国内的安全人才(尤其是漏洞挖掘人才)缺口高达百万,现有 高校一年能够输出的信息安全专业毕业生只有不到3万人,即便再加上社会培训机构培养 的人才,一年也超不过十万人,很难在短期内满足大量用户对安全人才的需求。虽然政府积 极推动网络安全教育和人才培养,高校设立安全一
展开阅读全文