不断变化的状态：趋势科技 2020 年度网络安全报告

恒定的通量状态趋势科技 2020 年度网络安全报告 趋势科技法律免责声明此处提供的信息仅用于一般信息和教育目的。它无意也不应被解释为构成法律建议。此处包含的信息可能不适用于所有人情况，可能无法反映最新情况。此处包含的任何内容均不得依赖或采取行动在没有获得法律建议的情况下，基于所呈现的特定事实和情况，本文中的任何内容均不应作其他解释。趋势科技保留随时修改本文档内容的权利，恕不另行通知。将任何材料翻译成其他语言只是为了方便。不保证也不暗示翻译的准确性。如果出现与翻译准确性有关的任何问题，请参阅文档的原始语言官方版本。任何翻译中产生的差异或差异不具有约束力，对于合规或执行目的没有法律效力。尽管趋势科技采取了合理的努力来包括准确和最新的信息，趋势科技对其准确性、时效性或完整性不做任何形式的保证或陈述。您同意访问、使用和依赖本文档及其内容的风险由您自行承担。趋势科技不提供任何形式的明示或暗示保证。趋势科技或参与创建、制作或交付本文档的任何一方均不对任何后果、损失或损害负责，包括直接、间接的、特殊的、后果性的、商业利润的损失，或因访问、使用或无法使用，或与使用本文档有关，或内容中的任何错误或遗漏而引起的任何特殊损害。使用此信息即表示接受在“原样”条件下使用。由...出版趋势科技研究经 Shutterstock.com 许可使用的库存图片内容4有针对性的攻击专注于关键行业和利润丰厚的受害者15Covid-19 和远程工作导致网络安全发生重大变化23组织在云、物联网和移动环境中面临威胁32更多的危险漏洞威胁着组织35现代威胁需要综合防御策略和多层安全技术37威胁形势回顾 如果说 2020 年是与众不同的一年，那就是低估了全年发生的事件的影响。对于许多组织来说，维持全年的远程工作设置被证明是具有挑战性的，不仅从技术角度来看，而且从人类角度来看也是如此。他们必须应对的重大安全问题和威胁只会加剧这一挑战。有针对性的勒索软件在 2020 年仍然是一个主要问题。诸如 Ryuk 等较老的勒索软件系列继续对组织进行攻击，而 Egregor 和 DoppelPaymer 等较新的勒索软件则在短时间内进行了极具破坏性的操作。这些攻击通常针对处于抗击 Covid-19 大流行最前沿的关键行业，例如医疗保健、政府和制造业。尽管威胁行为者团体使用越来越复杂的活动，但由于其简单性和有效性，网络钓鱼仍然是一种广泛使用的策略。然而，社会工程技术几乎没有保持静止，并且在过去一年中看到了持续的（即使很小）的演变。有一种趋势是使用供应链攻击作为网络犯罪分子，旨在通过间接损害其供应商和其他合作伙伴来规避目标的安全性。对 SolarWinds Orion 软件的攻击表明，威胁行为者如何通过发现和利用供应链中的薄弱环节来渗透甚至是最严格的安全措施。云和物联网 (IoT) 对许多企业的持续运营至关重要。但它们的使用也使组织——尤其是那些没有时间准备的组织——面临与这些技术相关的风险。云设置错误配置和凭证管理薄弱等反复出现的问题导致了安全事件，通常涉及由恶意行为者部署的加密货币矿工，以利用受影响系统中的安全漏洞。人们一直误认为地下网络犯罪是一个无法无天的地方，几乎没有任何规则。然而，仔细检查发现一个蓬勃发展的市场，其中包括大量被盗数据在内的产品和服务已经并且继续被出售，使恶意行为者可以轻松访问他们原本难以获得的工具和信息。在本综述中，我们回顾了前所未有的重大变化和动荡的一年，以研究影响网络安全格局的最重要的故事、问题和趋势。通过这份年度网络安全报告，我们希望为用户和组织提供宝贵的见解，让他们了解如何在不断变化的威胁环境中保护自己。 4 |不断变化的状态：趋势科技 2 0 2 0 年度网络安全报告有针对性的攻击专注于关键行业和利润丰厚的受害者勒索软件运营商保持对突出目标的关注现代勒索软件攻击通常显示出与过去更投机取巧的勒索软件攻击不同的特征1。最近的勒索软件运营商没有使用“霰弹枪”方法，而是更有条理，通常针对关键行业组织的高价值资产。他们的攻击还展示了一系列技术，例如利用未修补的漏洞、滥用弱远程桌面协议 (RDP) 安全性以及使用其他恶意软件系列作为例程的一部分。此外，虽然过去的组织只需要担心他们的数据被加密，但勒索软件运营商已经采取了更进一步的措施，威胁要阻止组织访问他们的数据，同时还增加了泄露被盗数据的可能性——通常是通过泄露站点——如果受害者未能满足他们的要求。 2由于目标的重要性，赎金需求在过去几年呈指数级增长。根据保险公司 Coalition 的数据，仅从 2019 年到 2020 年第一季度，从保单持有人那里被勒索的金额就翻了一番。 3在勒索软件演变的最前沿是熟悉的名称，例如 Ryuk 和 Sodinokibi，它们在很大程度上定义了现代勒索软件领域的勒索软件系列中很突出。 2020 年还出现了相对较新的勒索软件，例如 Egregor 和 DoppelPaymer，这两者都已经取得了成功，尤其是在下半年。 5 |不断变化的状态：趋势科技 2 0 2 0 年度网络安全报告WCry洛基赛伯琉克蟹蟹索迪诺基比孤岛危机密码墙埃格雷戈DoppelPaymer0 250K图 1. 尽管是相对较新的勒索软件系列，Egregor 和 DoppelPaymer 均排在前 10 名：2020 年检测到的勒索软件系列最多的 10 个来源：趋势科技™ Smart Protection Network™ 基础架构尽管 2020 年经历了几个月的平静，但 Ryuk 继续困扰着重要行业的组织。在今年 2 月袭击美国政府承包商 Electronic Warfare Associates (EWA) 4 之后，Ryuk 从 5 月到 9 月一直保持相对低调，然后在今年结束时针对医疗保健行业的组织发起了一系列高调的运动— 甚至促使美国网络安全和基础设施局 (CISA) 就其活动提出咨询意见。 5传统上，众所周知，Ryuk 采用了大量的交付方法，其中最常见的可能是使用其他恶意软件，例如 Emotet 和 Trickbot。还观察到使用某些本身不一定是恶意的但已知被用于恶意目的的工具。其中包括渗透软件 Cobalt Strike6 和 Metasploit，7 以及利用后框架 PowerShell Empire。8 如果在初始阶段检测到，其中许多实际上可以作为即将发生的勒索软件攻击的早期预警信号。2020 年底，Ryuk 在其武器库中添加了另一种武器：一种名为 BazarLoader（或 BazarBackdoor）的新投放程序，这是一种加载程序木马，通过包含附件或恶意网站链接的网络钓鱼电子邮件分发。9 虽然 BazarLoader 本身并不是特别值得注意，运营商不断为 Ryuk 添加功能意味着脆弱的行业应该在未来几个月甚至几年内特别警惕勒索软件。220,16615,8165,4483,3762,3262,2751,7441,019827526 6 |不断变化的状态：趋势科技 2 0 2 0 年度网络安全报告2,5000一月二月三月年利率可能君七月八月九月华侨城十一月十二月图 2. 2020 年 10 月 Ryuk 检测量激增：2019 年和 2020 年 Ryuk 检测量比较来源：趋势科技云智能防护网络基础架构除了 Ryuk 之外，2020 年还出现了一些新的家族。在今年的批次中，更值得注意的勒索软件家族包括 Nefilim 和 ColdLock，这两个家族都在我们的 2020 年年中网络安全报告中进行了讨论。 109 月，Egregor 首次露面，最终在 12 月引发了对主要零售商的一系列高调攻击。11 由于某些共同特征，Egregor 被认为是 Sekhmet 勒索软件的可能衍生产品，12 Egregor 被提及为替代选择对于现已退休的 Maze 勒索软件的先前附属机构。13 Egregor 的一个有趣特征是，它通常作为有效负载与远程访问木马 (RAT) Qakbot 一起分发，这表明背后的恶意行为者之间存在合作关系Egregor 和 Qakbot 或 Egregor 是来自 Qakbot 背后的参与者的新负载。14Egregor 的运营商实施了与其他现代勒索软件家族的运营商相同的双重勒索技术，攻击者通过威胁通过泄漏站点发布被盗信息来迫使受害者支付赎金。面对双重困境——公开曝光和数据丢失——受害者将被迫屈服于攻击者的要求。2,23320192020552531447157506919235122215222293603231123814833119281146241 62 7 |不断变化的状态：趋势科技 2 0 2 0 年度网络安全报告•可能通过恶意垃圾邮件到达•下载 Dridex表情符号•下载工具/勒索软件•为传入连接打开受影响的系统德里德克斯•进行横向运动•禁用防病毒软件•使用正确的参数执行 DoppelPaymerPowerShell Empire/Cobalt Strike/Mimikatz/PSExec•执行加密•通过更改密码将用户锁定在系统之外•使用 Process Hacker 终止服务和进程DoppelPaymer 未知组件执行一个批处理文件论据。批处理文件下载并执行 Egregor 二进制文件。Egregor 使用特定参数执行以正确运行和加密文件。勒索软件有效载荷已部署。图 3. Egregor 勒索软件的攻击链另一个在 2020 年掀起波澜的著名勒索软件是 DoppelPaymer。 15 尽管不是一个新的勒索软件系列——它自 2019 年以来一直很活跃——但 DoppelPaymer 在 2020 年底的活动激增，以至于美国联邦调查局 (FBI) 被迫发布一个咨询警告组织关于它的攻击。 16DoppelPaymer 被认为基于 BitPaymer，这是一个针对医疗组织的较老的勒索软件系列，17 因为它们在代码、赎金票据和支付门户方面具有相似之处。 DoppelPaymer 采用高级技术，例如需要正确的命令行参数才能运行（可能实施以避免检测和分析）。它还使用各种工具，例如 Process Hacker，它会终止服务和进程，以防止在加密例程期间访问违规。 18与其他有针对性的勒索软件案例一样，DoppelPaymer 的主要目标是医疗保健、紧急服务和教育等关键行业的组织。图 4. DoppelPaymer 勒索软件的感染例程正如我们从这些活动和其他活动中观察到的那样，勒索软件运营商加大了对政府和医疗保健等关键行业的攻击力度，这可能是因为它们在应对 Covid-19 大流行中的重要性。制造业也成为勒索软件运营商的主要目标。 19 对制造设施的勒索软件攻击可能对受害组织造成严重后果，例如业务和供应链运营中断、产品工程和设计延迟，甚至数据盗窃.银行业是另一个经常成为攻击目标的行业，大概是因为该领域所涉公司的规模和财富。 8 |不断变化的状态：趋势科技 2 0 2 0 年度网络安全报告政府银行业制造业医疗保健金融教育技术食品与饮品油和气保险0 35K图 5. 政府、银行、制造业和医疗保健是受勒索软件攻击最严重的行业：2020 年勒索软件攻击目标最多的 10 个行业来源：趋势科技云智能防护网络基础架构勒索软件运营商也一直在将其目标范围扩展到其他操作系统。例如，尽管 RansomExx 没有出现在 2020 年检测到的 10 个最多的勒索软件系列的列表中，但它仍然以有一个用于攻击 Linux 服务器的变体而引人注目。根据我们的分析，RansomExx 的主要目标是一般的 VMware 环境，即用于存储 VMware 文件的机器。 20活动针对特定使用复杂工具和技术的人口统计除了有针对性的勒索软件攻击之外，我们还观察到了来自资深威胁参与者和新组织的一系列活动。其中许多活动展示了复杂的结构和流程，这表明尽管这些活动似乎相当新，但其背后的人却并非如此。 10 月，我们发表了一篇关于我们称为 Earth Kitsune 的活动的研究论文，该活动涉及威胁