【导读】过去一年多,各种 APT 攻击事件、勒索挖矿事件,数据泄露事件,漏洞攻击事件仍然不绝于耳。从 ATT&CK 模型框架的兴起到实战化攻防环境的建立,从反序列化漏洞的攻防博弈到 VPN 漏洞的异军突起,从不断“APT”化发展的勒索攻击到广撒网的挖矿活动,从不断受地缘政治影响的APT攻击到新冠疫情引发的花式攻击,从 MaaS 模式的逐渐成熟到恶意软件家族间“合作”案例的逐渐增多……层出不穷的网络安全事件时刻提醒着我们越来越严峻的网络安全态势,同时引发网络安全从业者的一次次思考。
过去十年来,攻击者的技战术思路以及网络安全攻防体系也在发生着深刻的变化。网络攻击正变得更加隐蔽,有针对性、有组织性和逐利性,网络安全产品使用者更加关注产品和服务的有效性,网络安全厂商面临的问题更加具有挑战性。
对此,启明星辰集团发布《2019~2020网络安全态势观察报告》,以观察者的视角尝试剖析2019年全年至2020年上半年网络安全形势及其变化,希望以此为各行业以及相关企事业单位提供网络安全战略和决策的参考。
安全态势报告主要提出以下观点
1、网络攻防框架“ATT&CK”不断升温,“实战化攻防”持续影响网络安全行业。
过去一年多,网络攻防框架 ATT&CK 在网络安全行业广受欢迎。越来越多的网络安全企业开始从不同维度引入 ATT&CK 框架。无论是安全研究还是产品结合方面都找到了一些结合点,但在产品落地方面,ATT&CK 还有一段路要走。一方面是由于 ATT&CK 在落地产品层面上还存在一些成熟度的问题。另一方面,ATT&CK 是完全基于攻击者视角而设计的,有些技术更多的是描述攻击过程中的一种技术或思路,在产品中可能很难抽丝剥茧看到其本质。但我们坚信,在未来检测技术不断提升的大背景下,ATT&CK 一定能成为安全产品实现攻击链还原的利器。
基于对过去一年多各类攻击事件的汇总,我们总结出2019年~2020年上半年 ATT&CK 常用攻击技术,如下表:
2、反序列化漏洞成 Web 攻击首要威胁,VPN 等网关型漏洞成新攻击入口。
2019 年全年,启明星辰收录的安全漏洞总数共计 15046 个,其中超危漏洞和高危漏洞分别同比增长 67% 和 49%。虽然 2019 年新增漏洞数目较之前有进一步上涨,但实际在野利用漏洞中的一半以上仍然是 2018 年以及之前的老漏洞。
有两个特点特别值得留意:一是反序列化漏洞逐渐成为 Web 漏洞的主要威胁。过去一年多,反序列化漏洞造成的危害非常之大且范围很广,主要影响集中在 Weblogic、Websphere 中间件及 Fastjson、Apache Shiro、Apache Dubbo 等第三方应用中,而漏洞的修复方式多数为利用类的黑名单修补,可以预见未来各个应用反序列化漏洞的黑名单依旧会被反复绕过且成为攻击者实战中的利器。二是 VPN 等网关类漏洞的异军突起。2019 年到 2020 年上半年是VPN 漏洞曝光最多的时期,Pulse Secure、Palo Alto Networks、Fortinet、Cisco 和 Citrix 以及国内某知名品牌 VPN 产品都被曝出严重漏洞。加之新冠疫情在 2020 年上半年的蔓延,远程办公需求迅速增加,各种 VPN 使用量增加了三成左右,这都使得 VPN 漏洞得以快速被黑客关注并在实战中应用。
3、地下黑色产业链愈发成熟,恶意软件家族体系化“协同作战”。
恶意软件即服务(MaaS)模式下的地下黑色产业链愈发成熟,已经形成了从恶意代码编写、恶意代码免杀、恶意代码托管到恶意软件分发的完整体系。
在 MaaS 模式下,我们观察到不同黑产团伙利用相同的恶意软件进行了“各具特色”的攻击,同一款恶意软件在不同的攻击活动中也发挥了不同功能。
4、近年来罕有 Office 高危漏洞出现 ,冷门而有效的攻击方式更受关注。
自 2017 年大量 Office 0day 漏洞爆发以来,近两年没有出现新的如同公式编辑器漏洞一样使用简单且功能强大的攻击方式,恶意样本使用的攻击技术没有发生显著的变化。在攻防对抗的过程中,攻击者逐渐开始尝试使用不常见文件类型以及 Office 中一些被遗忘的冷门特性(如 Excel 4.0宏)作为攻击载体,以更低的成本复用原有的攻击代码来绕过检测。
5、地缘政治因素导致 APT 攻击愈演愈烈,APT 攻击武器泄露导致网络军火民用化。
在处理不可调和的地缘政治矛盾时,APT 攻击是当前除了军事打击之外最为隐蔽和有效的攻击方式。越来越多的政府开始组建国家级APT攻击组织,只要存在政治目的和经济利益,APT 攻击就不会停止。过去一年多,南美地区,中东地区,东北亚地区等均发生了不少与地缘政治冲突相关的 APT 攻击。以下是 2019 年“地缘政治”因素引发的 APT 攻击事件汇总:
此外,APT 攻击武器使用的泛化趋势明显。过去一年多,发生了多起中东地区 APT 组织工具和代码泄露事件,这也进一步催生了 APT 攻击武器的使用泛化、网络军火的民用化。
6、勒索攻击越来越趋于“APT”化,逐渐瞄准大型且有实力的价值型目标。
过去一年多,勒索攻击已由 2014 年开始的广泛无目的的传播阶段以及 2017 年 WannaCry 开启的大规模自动化传播阶段逐步进化到以人为核心的“APT化”攻击阶段。
勒索攻击瞄准的目标也不再限于中小企业,而是更有实力支付赎金的大型企业目标。甚至即使未得到赎金,攻击者也会尝试通过泄露受害者的机密文件进行二次敲诈。
同时,RaaS 模式下的勒索软件也开始广泛和僵尸网络以及 APT 攻击结合。Emotet、TrickBot、Dridex 纷纷成为勒索软件的传播前站,TA505、FIN6 等组织利用勒索软件攻击了多个重要目标。
我们预计,未来勒索攻击会进一步往“专,精”方向发展。“专”是指大规模勒索攻击可能很难再现或是昙花一现,攻击者会更多从攻击成本和回报率的角度考虑攻击目标的选择;“精”是指攻击者在选中攻击目标后可能会定制特种勒索软件来提高攻击成功率。
7、网络攻防安全演习和靶场建设如火如荼,人才培养和攻防环境建设备受重视。
网络空间安全的本质是对抗。随着网络攻击者的技术实力不断提高,网络攻击面不断扩大,爆发出来的攻击事件也在不断增加,用户不断涌现出对网络攻防对抗的建设需求。常见解决方案是加强人才培养力度,完善攻防支撑基础条件建设,举办红蓝双方攻防安全演习和建设具备行业特色的网络安全靶场。
过去一年多,政企客户更加注重网络攻防靶场建设,借此提升从业人员的网络安全知识和技术能力,实现网络空间对抗能力的跃升。
8、IoT 僵尸网络持续泛滥,我国是 IoT 僵尸网络最大受害国。
2019 年是物联网概念提出的第二十个年头,物联网已深入影响到农业,医疗行业,工业等各行各业。而伴随着物联网的迅猛发展,其安全问题也日益受到关注。大量暴露在互联网上的摄像头,路由器设备成为黑客垂涎的养马场。
据 VenusEye 威胁情报中心数据,过去一年多,在各类受僵尸网络控制的 IoT 设备中,我国仍然数量最多,并且较第二名拉开了显著差距。
我国境内 IoT 僵尸主机分布最多的五个地区分别为河南、山东,辽宁,江苏和浙江。
9、“新冠病毒疫情”成最热门话题,黑客发动全方位攻击。
2020 年年初爆发的“新冠病毒疫情”已经蔓延到全世界几乎每一个角落,严重影响全球经济社会发展。一些黑客趁此机会利用热点信息发起攻击,疫情的不确定性和人们的恐惧性心理给攻击者创造了千载难逢的好机会。
过去几个月,我们观察到多种利用新冠疫情开展的网络攻击活动。白象、海莲花、蔓灵花、TA505、Lazarus 等活跃的 APT 组织以“冠状病毒预防”、“疫情情况上报”等为诱饵发起钓鱼攻击。
各种网络黑产团伙也蠢蠢欲动,通过“改造”已有木马进行攻击活动。
10、攻防本质是人与人之间的对抗,网络安全逐渐回归以人为中心的本源。
2020年 RSA 会议的主题是“Human Element”。、网络安全的核心回归到以人为中心的本源,而不再是片面强调“新奇酷炫”的技术或产品。可以从以下三个角度理解这个问题:
(1)攻防本质是人与人之间的对抗。
从攻的角度看,越来越多的攻击都加入了“人”这个关键因素。如今越来越多的攻击向着“APT”化发展,攻击者利用社会工程学手段提前对攻击目标进行“踩点”,继而有针对性地制定攻击策略,按照目标特点制作并投递攻击载荷,攻击过程中根据目标环境一步一步进行横向移动,最终到达核心主机资产并达成目标。“以人为核心”的攻击路径往往较其他攻击周期更长,短则几天,多则几个月甚至几年。
从防的角度看,人始终是网络安全防护体系中的薄弱点。以鱼叉式网络攻击为例,虽然这种攻击方式很古老且屡见不鲜,但却能一再取得较好的攻击效果,这都是由于人在其中起到的作用导致,攻击者正是利用了人性的特点才能屡屡得手。
(2)人是网络安全产品的使用者,人机结合是当前解决产品有效性问题的关键。
与一般的互联网应用服务相比,网络安全产品的专业性更强。要想真正使用好网络安全产品绝不是一纸说明书就能搞定的,一个攻击报警代表什么含义,是真实失陷还是虚晃一枪抑或是攻击前奏,都需要经验丰富的人员使用不同的安全产品相互印证,同时结合溯源取证技术综合判断才能得出答案。
(3)在网络安全实践中,人的知识与经验非常宝贵。
网络安全的本质是攻防对抗,是人与人之间的智力对抗。在实践中所积累总结的知识与经验是非常宝贵的,不是某个网络安全防护产品或技术所能取代的。人工智能技术与网络安全产品的结合虽然在提高自动化程度、提升检测能力等方面展现出一定的优势。但是在安全事件分析的全面性与深度上仍然有很大不足,主要作为安全分析人员的辅助,提供一些分析的切入点与线索。
报告最后提到
2010 年的“震网”攻击事件为我们揭开了 APT 攻击的面纱;2013 年的“棱镜门”事件让我们看到了庞大黑客团体背后的国家级力量;2014 年数字货币的快速兴起和勒索攻击的泛滥给黑客敛财提供了新的匿名方式;2015 年发生的供应链攻击事件让我们看到了身边防不胜防的危险;2016 年 Mirai 源代码的公布开启了 IoT 设备的噩梦;2017 年的“永恒之蓝”事件让我们深刻领悟到了网络核武器的威力,随后 WannaCry、NotPetya 勒索软件与网络武器的结合再一次重现了类似十多年前冲击波、震荡波、熊猫烧香的网络暴力,几乎同年开始兴起的挖矿攻击成为继勒索之后黑客又一“闷声发大财”的渠道;2018 年件件触目惊心的数据泄露事件为数据安全敲响了警钟,同年曝光的 Spectre 和 Meltdown CPU 芯片漏洞直接动摇了互联网基础设施的根基;2019 年实战化攻防时代开始,地下黑色产业链愈加成熟,勒索攻击进入“APT”时代,IoT 僵尸网络泛滥……
在前所未有的挑战和机遇面前,启明星辰愿与业界同仁共同努力,推动网络安全产业发展,加强网络安全自主核心技术能力建设,为提升我国网络安全保障能力不断贡献力量,为网络安全的下一个黄金十年继续奋斗。
上一个十年,地下黑色产业链逐步形成,网络军火扩散,高级持续性攻击泛滥,攻击者的技战术体系正在发生明显的变化。同时我们也看到,网络安全在这十年间上升到了前所未有的战略高度。
当前,我们正面临着来自网络空间各种前所未有的挑战,我国是遭受网络攻击最严重的国家之一,我们和先进发达国家的网络安全技术水平差距仍然较大,大量的核心技术仍然受制于人,网络安全相关法律的落地和执行还需要进一步强化……
虽是挑战但同时也是机遇,网络安全如今已上升为国家战略,网络安全产业已成为网络强国安全领域建设的重要基础。《网络安全法》的实施将进一步推动我国网络安全政企市场容量和规模的进一步扩大。新冠疫情危机催生出的数字经济、“新基建”会给网络安全带来不小的发展机遇……
在前所未有的挑战和机遇面前,启明星辰愿与业界同仁共同努力,推动网络安全产业发展,加强网络安全自主核心技术能力建设,为提升我国网络安全保障能力不断贡献力量,为网络安全的下一个黄金十年继续奋斗。
戳链或【点击阅读原文】查看完整报告:
https://www.venustech.com.cn/uploads/2020/08/170947121504.pdf
推荐阅读
什么?一个核同时执行两个线程?
征战云时代,为什么安全是关键命题?
25 张图读懂「文件系统」
数据平台、大数据平台、数据中台……傻傻分不清?这次终于有人讲明白了!
Java 二十五载,正在 Kotlin 化!
维度爆炸?Python实现数据压缩如此简单