2022年度安全事件观察报告:攻击手段不断升级,对防守方提出更高要求

阅读量155096

发布时间 : 2023-02-07 12:30:57

 

近日,绿盟科技发布《2022年度安全事件观察报告》(以下简称《报告》)。本篇为《报告》解读系列的第二篇。通过本篇文章,我们可以发现2022年各类网络攻击虽然热度不同,但是在攻击手段上都有不同程度的改变或提高。攻击者对于0day、供应链漏洞的利用逐渐得心应手;病毒样本迭代更新迅速,漏洞整合趋于全面,这都无疑增加了防守的难度。但是随着攻防演练的日常化,防守方的经验也在不断累积,攻防体系进一步完善。

 

攻防体系进一步完善,演练对抗常态化推进

2022年,新增攻防演练事件202件,占全年事件的36%,连续3年占比持续攀升。从近三年发展趋势来看,各类小型攻防演练逐渐增多,各演练单位在日常应急中的经验积累在大型攻防演练中发挥的作用越来越明显。随着攻防演练的不断发展,攻防两支队伍的手段日新月异、层出不穷。对于攻击队,0day储备则愈来愈充足,单个漏洞的影响范围也更广,团队之间协同作战水平再度提高,攻击方式也不再局限于普通的漏洞以及钓鱼攻击,0Day漏洞结合社工入侵成为攻击队常用的攻击手段。

防守态势也不遑多让,整合威胁情报、风险排查、监测分析、应急响应,构建成一套完整的防守体系,做到对入侵威胁的及时响应,实现跨人员、跨设备的协同防护与多点处置,在攻防演练中成效十分明显。

 

日常钓鱼防范意识还需要加强

2022年,钓鱼事件数量仍然居高不下,占全年事件的24%,和2021年基本持平,其中,发生在攻防演练期间的钓鱼事件占到多半。但是由于攻防演练时期的特殊性,员工对钓鱼邮件的警惕度格外提高,演练期间的钓鱼攻击成功率仅14.7%。相比较而言,由于非攻防演练期间受害者防范意识相对较低,导致这些钓鱼依旧有较高的成功率,发生在非演练期间的钓鱼攻击事件成功率则高达39.2%。严重的事件甚至给其中一部分受害者造成了经济损失。因此,在攻防演练期间的钓鱼防范意识依旧需要日常期间进行维持。

钓鱼手法上看,2021年以短信形式进行钓鱼诈骗的行为在全国范围密集出现,之后随着国家对此类诈骗行为持续开展严厉的打击,并通过各种宣传手段提高国民防诈骗意识后,在2022年此类诈骗事件逐渐销声匿迹,诈骗团伙继而将目光转向了邮件钓鱼。2022年,绿盟科技CERT监测并处理过多起仿冒银行相关业务的邮件钓鱼事件。

在这类事件中,攻击者通过假冒国家机构群发类似于补贴申请主题的邮件,声称根据相关政策收件人满足补贴申领条件,诱骗受害者按照邮件步骤进行操作。与传统电信诈骗将钓鱼链接通过短信发送的方式不同,这类钓鱼链接以二维码图片的形式添加到邮件附件中,以绕过邮件网关对于外部链接的检测,并通过邮件内容诱导受害者扫码访问虚假的手机银行系统。一旦受害者在钓鱼页面输入了有效银行账户、手机号、支付密码和短信验证码等信息,攻击者便可以迅速进行转账,盗取受害者银行账号中的资金。

此外Emotet作为流行的木马病毒在2021年12月后又开始活跃起来。Emotet实现了Outlook、ThunderBird等邮件客户端的信息窃取。一旦受害主机执行了恶意的Emotet病毒程序,攻击方就会获取受害主机的通讯录,并继续通过邮件下发Emotet病毒;当下一个受害者再运行,病毒就会继续通过钓鱼邮件向外传播。这种连锁反应使得Emotet能够像蠕虫一样传播。此外,某知名沙箱平台的Emotet样本上传次数远高于其他病毒,由此可见其传播速度和规模。

借助Office文档漏洞CVE-2021-40444的钓鱼手段在2022年延续,原因是2022年又出现相似的漏洞,该漏洞存在于Windows支持诊断工具(MSDT)中,CVE编号为CVE-2022-30190。它和CVE-2021-40444有相似的触发方式,只要打开带有漏洞利用载荷的RTF/DOC文档即可执行任意代码,并且也可以通过预览窗格也可以进行漏洞利用,具有较强的隐蔽性。

 

勒索产业热度持续上升

从勒索软件传播方式的变化趋势来看,漏洞在勒索传播中的利用变得更为普遍,特别是对于使用自动化方式进行攻击的勒索家族。此外弱口令的利用依然热度不减,仍出现在通过远程访问凭证入侵和对数据库的勒索攻击事件中。而恶意软件捆绑主要被用于初始入侵或对单一主机的自动攻击。

勒索软件传播方式变化趋势

随着勒索产业成熟度的提升,2022 年度勒索攻击技战术数据表现出勒索攻击趋于隐蔽与复杂化。

持久化战术的使用比例大幅增加,部分勒索攻击团伙在受害者内部网络中长时间潜伏,这也可能是勒索软件即服务(RaaS)背后的流程交错和时间线延迟导致的。横向移动的技战术仍维持着较高占比,攻击团伙仍倾向于获得更多资产和数据的访问权限以增加受害者交付赎金的概率。凭证访问战术有所下降,但只说明在事件中能被取证所发现使用凭证访问作为初始入侵方式的次数减少,并不代表凭证访问战术的真实使用表现。根据勒索相关情报,勒索攻击团伙相比起使用某种初始入侵方式自行获取入口,更多地会在暗网等交易市场进行相关访问凭证的购买。这也导致了在勒索事件应急处置中,还原攻击链以及寻找0号病人变得更加困难。

另外勒索策略上,攻击者在综合规避安全软件检查和降低勒索中被发现的概率等因素后,转向了窃取高价值数据的策略,同时为了提升勒索效率,也有更多勒索运营商考虑实施比数据加密更轻量级和更省时的数据销毁技术,或间断性加密技术。其中间断性加密技术已经成为勒索软件领域的一个新趋势,勒索软件运营商可以利用该技术来躲避终端检测,同时可以更快地加密受害者的文件。

本文由绿盟科技原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/286049

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
绿盟科技
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66