2023年上半年网络安全观察报告

2023上半年网络安全观察报告 摘要 Ahstract77 全间致最要，我压地引发广泛关注1我压己经生起法致什。改、区、欧行非紫效据接口利用是数据9原同，历，年持续双测到多 >2023年上半年0day漏润利用数量明显擎升，网络安全形势日益严峻。0day漏洞利用平均发现天数已经缩短为2014年的四分之一，oday漏洞利用平均发现天数整体呈现下降趋势。 新坛属内客：而：人政据泄露的风险。 漏润危害程度超向高危化，未修补的漏洞依然是黑客利用的最主要攻击载体。国家级漏洞库披露渴河中高危和超危漏润占比超过50%，根据已知被利用漏洞（KEV）目录收录标准及近10年已知被渴洞利用情况分析总结，95%以上被利用渴河是2023年以前漏洞， 一APT组织在钓鱼攻击的社工上题发精细，所制作的诱越发具有述感性。在2023年上半年的政击活动中，APT组织的钓鱼诱饵制作采取了更加定向的社会工程学分析，并与窃取的真实文件相结合，制作出难以辨别真伪的钓鱼邮件信息。 A本地提取漏润是2023上半年实际网络攻击中最常利用的温润类型。2023年上半年0day漏洞利用Top10，微软的6个漏涉及多个产品，几乎都是本地提权漏润，从引发威胁的角度看，2023年上半年由漏润引发的主要威胁有未授权的信息泄露和管理员访问权限获取。 益供应链攻击将可能成为APT组织获取初始权限的淤行方式。今年上半年的3CX双重供应链攻击事件影响力尤为实出，双重供应链攻击将其传描范图广的特性再次放大，将持续吸引更多组织利用该攻击手法。 一2023年上半年恶意软件攻击次数去年同期相比每月均有小幅度上涨，其类型分布变化不大，其中受影响较大行业为医疗、科研教育和政府等，受影响地区主要是广东省、浙江省和上海市。 益BYOVD技术正广泛应用于各大APT攻击活动中。BYOVD技术从量初被顶尖APT组织所使用，发展到如今被越案越广泛的利用在APT攻击当中，未来这项技术的使用频率可能会进一步增加，且更加自动化。 >攻击者使用ChatGPT生成恶意代码，由于技术门槛阵低，使得网络攻击变得更快更容易。地下黑客论坛上已发现了1500多条关于如何使用ChatGPT进行恶意软件开发的资料，攻击者使用ChatGPT等生成式Al，使网络钓鱼邮件攻击增长135% 益全球Web3行业虚拟资产总市值在今年有所下牌，但整体资产数量正不断扩大，今年上学年所发生的Web3安全享件和去年同期扣比数量有所下降。 ^我国国产化软件安全问题日益凸显，使勒索病毒传播加剧。2023年5月，Tellyouthepass利用用友NC调洞和亿赛通漏进行大规模攻击，国产化安全问题日益凸显，加剧勒索病毒传插，严重威胁用户数据安全与财产安全。 ◆DeFi（分布式金融》项目依旧是Web3额域中被攻击弧次最高、损失金额最多的类型。以太坊是所有Web3链平台中损失金额最多的，约占2023年上半年75.6%的损失金额来自，为3.56亿美元， >人工智能技术带来的数据安全风险问题成为全球关注新热点。以ChatGPT为代表的人工智能技术在2023年爆火，人工智能进行交互的过程中数感数据和隐私内容传输所带来的数据安全风险也成为了新技术场景下需要重点关注和治理的问题。 能同利用是b收口最损失最多的市手，年一车重大智能合约发件次，损（1所损台的 CONTENTS目录 数据安全态势全 →改据安全治理抽况353535 安全漏洞态势 → 敬据交品监控况36 ·安全漏洞治理现状02国外安全漏润治理现状02我国安全漏润治理现状02 3637上要数运泄品能业大石37 ·安全漏洞态势EO 漏润公开披露情况EO漏润利用情况to ·亚回重点数据池至事件分析86 45亿个人地址泄露事件8E接口监用导致政务敏感数据泄露事件8E多个黑客论坛泄露我国政提合集事件6E重点数运泄露事件分析小结40 ·关键漏洞分析80 Windows08WebLogic12Chrome15F5 BIG-IP17 ●数据池黑客论坛情况41 ·安全漏洞态势小结19 黑客论坛发展态势41流行黑客论坛41新增果客论坛42 ·恶意软件态势21恶意软件攻击总体情况21恶意软件类型分布21恶意软件攻击行业分布22恶意软件攻击地区分布23活跃恶意软件家族情况23 ●勒索团伙数据池露情况43 勒索团伙教数据泄露教量档势43多重勃索款件团伙活跃排行44新活跃多重勒索团伙44 挖矿病毒家族24勒索病毒家族26僵户网络家族28远控木马家族30 APT攻击态势组 ·APT攻击活动态4747474951 ·恶意款件攻击动态32 攻击者利用ChatGPT技术进行攻击32攻击者利用弱口令爆破和开源工具进行挖矿32攻击者利用国产化系统漏河进行勒索攻击 软件供应链攻击获取APT攻击初始权限52开源组件二次开发以降低APT攻击成本54BYOVD淄用过时驱动以对抗杀软54 ●典型APT攻击事件55 某高校高新行业实验室被高精准社工鱼叉攻击55蔓灵花利用开源远控组件攻击某政府机关单位55UNC4736组织利用双重供应链攻击3CX公司56美国情报机构针对iOS设备的移动端APT活动56 ·APT攻击态势小结 ·Web3安全态势情况6SWeb3安全事件总体态势6SWeb3安全事件损失情况60Web3安全事件趋势63 安全氵 ·Web3合约安全情况64 Web3安全攻击手段总览64Web3合约安全风险分析65Web3合约安全风险的应对策路68Web3典型合约安全事件剖析69 →安全谢河治里心 ·Web3安全产业发展情况72 国家政策对Web3安全产业的支持72标准组织对Web3安全产业的引领73资本市场对Web3安全产业的推动74企业应用在Web3安全产业的探素74 ●Web3安全态势小结76 安全漏洞态势 安全漏洞治理现状 漏洞公开披露情况 国国外安全漏洞治理现状 ■近十年总体情况年11安全库）3三1，近10年漏河收录 （一）美国相关政策提升漏润共享能力，强化国家级网络安全漏河综合治理能力。众观美国网络安全战略，“协调"和“共享”一直是美国网络安全战略的主旋律，2021年5月拜登政府签署《改善国家网络安全的行政命令》，明确提出消除政府和私营部门之间威勘信息共享的障碍，CISA将统筹漏河治理作为重要任务，通过协同漏河披露（CVD）渴洞披露策略（VDP）、相关约束性操作指令（BOD）等措施加强了联邦政府和私营部门的协调和合作，实现了对关键基础设施漏洞威助的及时发现和消控，加强漏润管控统筹协调，提升漏洞资源共享共治水平，强化美国国家级网络安全调河综合治理能力。 况图11：-出.净司录数逐年长.起整1些.比峰值为2022年（占1！，原年.1会长 （二）CISA新战略计划指出国家努力的重点是确定关键基础设施的胎弱性，昌在降低关键信息基础设施风险并增强防御国家级威胁的能力。2022年9月，CISA发布“2023-2025年战略计划"，本计划是CISA自2018年成立以来第一个全面的战略计划。计刘指出国家努力的重点是确定哪些系统和资产对国家真正至关重要，发现关键信息基碍设施的胞弱性，并采取行动管理来降低其风险。计划的首要目标就是建立国家级防御网络攻击并从中恢复的能力，CISA作为美国的网络防御机构，将与全球建立全面战略伙伴关系，共建国家级威胁防御能力。 (三）美国加强已知漏润的修复，降低已知被利用遍润的重大风险。2021年11月，CISA顽布《约束性操作指令(BOD)22-01，降低已知利用漏的重大风险》，要求所有联邦民事行政部门(FCEB)机构都必须在规定的时间内修复已知被利用漏洞（KEV）目录中的漏洞，CISA强烈建议所有利益相关者将已知被利用漏洞（KEV）目录的漏洞纳入其漏洞管理计划的一部分，通过优先修复目录中列出的漏洞来增强其安全性和恢复能力。 我国安全漏洞治理现状 （一）我国漏洞相关政策的相继出台主要目的是维护国家网络安全，保障网络产品和重要网络系统的安全稳定运行。根据《网络安全法》关于漏河管理有关要求，工业和信息化部、国家互联网信息办公室、公安部联合制定《网络产品安全漏洞管理规定》，主要目的是维护国家网络安全，保护网络产品和重要网络系统的安全稳定运行，规范漏洞发现、报告、修补和发布等行为，明确网络产品提供者、网络运营者、以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务；鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作。 ■混洞危吉等圾布情况，家，，2023年上半年，超意 ：15.2%，高猫5.7，高起起-.5，高，极易被病毒、水马、 （二）我国持续推进《网络产品安全漏洞管理规定》落实工作，从政策宣贯、机制完善、平台建设多方面抓好落实。一是加强了政策宣贯，做好对相关企业机构的政策咨询和工作指导，引导渴洞收集平台依法依规开展渴洞收集和发布。二是完善了相关工作机制，建立健全漏润评估、发布、通报等重要环节的工作机制，明确了漏洞收集平台备案方式和报送内容。三是加强了工业和信息化部网络安全威胁和漏洞信息共享平台建设，做好与其他漏洞平台、漏洞库的信息共享，提升平台技术支撑能力。 （三）我国国产化安全建设持续加码，相关政策法规的出台推动了国产漏润管理工作制度化、规范化、法治化。随着我国国产化建设持续加码，国产化安全问题也随之全方位凸显。我国相继出台《网络安全法》、《网络产品漏洞管理规定》等法律法规，以及正在编写的相关国产化漏洞国家标准，持续推动国产化漏洞管理工作的制度化、规范化、法治化，进一步提高相关主体漏洞的管理水平，为国家的数字化建设筑牢安全基底 漏洞引发威胁情况 2023年1月-6月，根据国家信息安全漏洞共享平台（CNVD）统计数据显示，上半年漏洞引发威胁情况如图1-3所示，由漏润引发的最主要威助是未授权信息泄露，未授权信息泄露可能会导致个人隐私受到侵犯，造成财务损失，破坏商业信誉，基至可能导致法律诉讼。未授权信息泄需还有可能是黑客攻击的前置条件，秘钥、token等敏感信息泄露可以被恶意攻击者进一步利用，访问受保护的资源或执行未经授权的操作。 其次，漏润引发的威助是管理员访问权限获取，获取了管理员权限就拥有了完全控制权，攻击者可以访问系统中的敏愿数据，更改系统设置，控制整个系统，以及进行其他恶意活动 黑客攻击手段通常可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行，并不盗窃系统资料；破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。从漏河引发威胁的角度来看，我国上半年网络攻击趋向于破坏性攻击，这种攻击可能会导致系统崩溃、数据丢失、服务中断等严重后果，对受害者造成极大的损失。 ■被利用漏洞主要厂商及产品情湿川K！环计分，利川司与」可K情况如图1-5所示」c94 ：ob个），汁据，各厂商已知被！、』惟算，预计下半年 漏洞利用情况 ■近十年总体情况 已知被利用渴河（KEV）目录是为了美国国家安全和网络防御者的利益而创建，自创建以来持续更新，是已知被利用漏润的权威来源。该目录当前维护了近1000个已知被利用漏润。已知被利用漏河(KEV）目录收录的三个标准是：漏洞已分配CVE编号、有可靠证据表明该渴河在真实攻击中已被积极利用、漏河已有明确的补救措施。 未修补的漏洞依然是黑客利用的最主要攻击载体。针对已知被利用漏润（KEV）进行分析，近10年真实漏洞利用数量总体呈现上升趋势，2021年漏洞利用数量达到峰值179个，对比去年数据，2023上半年新添加漏润利用情况如图1-4黄色图例所示，今年添加客个年份需润数量总体案看相差不大，排除2023年数据，添加年份为2022年的润数量最多从统计图来看，不仅近两年漏润被添加到该目录，甚至十年前的漏洞今年仍有被添加，侧面反应出未及时进行补丁安装导致恶意攻击者利用漏洞入侵系统情况广泛存在。 图1-6为已知被利用漏润产品分布情况，Windows操作系统是受影响最严重的产品，占比10.5%，Windows