2023上半年全球威胁态势研究报告

全球威胁态势研究报告FortiGuard Labs 半年度报告 目录 335689111214摘要2023年上半年全球威胁态势概览近五年威胁态势发展趋势回顾红区解读从漏洞利用预测到威胁爆发全球 ATT&CK 热图源自终端遥测的技术洞察保护您的企业免受不断演进的威胁攻击未来展望 摘要 随着整体威胁态势和组织的攻击面在不断变化，不法分子快速设计和调整攻击技术的能力也在不断提升，并伺机利用不稳定的网络环境，持续对各行各业及不同地理位置的不同规模企业构成重大威胁。 重新审视 2023 年上半年威胁活动趋势时，我们不难发现，网络犯罪组织和攻击组织纷纷掀起新技术武装潮流。值得关注的是，其中一些参与者的运作方式与传统企业运营模式非常相似，具有明确的岗位职责、可交付成果和业务目标。凭借以往漏洞利用手段或竞争性集团支持，此类组织架构能够进一步试验和整合颠覆性新技术，如利用新一轮的 Generative AI（生成式人工智能）技术，令攻击技术更为复杂，更难以察觉。 恶意行为者的攻击技术复杂性显著提升，攻击频次和复杂程度均有所升级，这一趋势在网络安全领域尤为明显。显著特点是，针对各行各业的高针对性攻击数量均有所增加，如复杂的勒索软件攻击、大量敏感数据泄露及 MITRE ATT&CK 战术的显著转变，这些均与 Fortinet全球人工智能（AI）增强检测技术所监测到的内容一致。 2023年上半年全球威胁态势概览 APT组织 基于Fortinet检测技术发现，2023 年上半年，所有已知 MITRE ATT&CK 技术中，三分之二（67%）处于活跃状态。 据观察，2023 年上半年出现以下攻击趋势：高级持续性威胁（APT）组织频繁发起攻击活动、勒索软件攻击频次及复杂性均有所升级、僵尸网络活动数量增加、攻击者使用的 MITRE ATT&CK技术快速转变等等。 然而，尽管威胁态势不断变化，但不意味着防御者只能坐以待毙。在本报告中，我们对漏洞进行了深入剖析，并基于漏洞严重程度提出了补丁修复优先级建议。此外，我们发现许多威胁活动采用的攻击战术和技术似曾相识，这一观察为实施针对性策略以有效防范不良行为者创造了先机。最后，我们还为您介绍了充分利用威胁情报等其他当前可采取的诸多可行举措，全方位保护您的组织。 2023 年上半年所有归类的APT 组织中三分之一处于活跃状态 接下来，我们将重点介绍当前攻击趋势背后的威胁参与者。MITRE 追踪了 138 个网络威胁组织，并将其攻击战术和技术纳入 ATT&CK 框架。1监控这些APT组织的整体活动趋势是绘制和分析当前威胁态势的关键举措。2023 年 1 月至 6 月，我们观察到其中 41 个团体（30%）处于活跃状态。根据恶意软件遗传代码分析，Turla、StrongPity、Winnti、OceanLotus和WildNeutron等组织是目前最活跃的黑客团体。 Turla可能是目前现有黑客团体中技能最娴熟的威胁组织之一。近二十年来，Turla曾以多种别名（Snake、Venomous Bear、或BlurPython等）展开活动，并与超45起备受瞩目的攻击活动有关，给全球各地的政府机构、媒体、能源部门组织和大使馆造成不同程度的负面影响。多年来，即便受到严密监控和高度重视，Turla成员仍能成功躲避防御技术并成功入侵组织网络，当前局部地区冲突态势升级，该组织的活跃度出现上升趋势。 然而，令人感到些许宽慰的是：过去半年间，APT组织的攻击活动仅对小部分组织造成负面影响。这表明至少目前APT活动仍具有高针对性，不会采取撒网式攻击，浪费网络武器。 勒索软件攻势不减 勒索软件已盘踞网络长达数十年之久。但近年来，我们观察到，威胁行为者日渐采用更复杂、更具针对性的攻击战术和技术渗透网络。这一趋势的发展很大程度上归功于勒索软件即服务（RaaS）模式的大肆兴起。2随着勒索软件活动的日益猖獗，全球商业领导者对于此类威胁的关注度日渐提高。据Fortinet 近期一项调查显示，78% 的受访企业领导声称已做好应对此类攻击的准备，但不幸的是，仍有半数受访企业遭受勒索软件攻击。3 勒索软件攻击的迅猛势头未出现放缓迹象。相比 2023 年初，勒索软件攻击事件数量超 13 倍，在所有恶意软件总体检测中遥遥领先。然而，我们观察到受影响组织数量仍处于较低点。五年前，近四分之一（22%）受访企业在其网络上检测到勒索软件活动。而2023 年上半年，这一比例已降至13%。然而令人担忧的是，当前攻击活动显著减少并不意味着勒索软件活动正逐渐消退。相反，这可能是勒索软件攻击更为集中的信号。因为勒索软件团伙正试图采用适用性更强、更复杂的Playbook发起更具针对性的攻击，以助推其商业运营模式的进一步发展。 下图为 2023 年上半年通过遥测观察到的当前最流行的恶意软件家族信息，有助于了解加密矿工、信息窃取者（infostealers）、勒索软件和远程访问木马（RAT）四大类关键家族成员。 雨刷攻击态势放缓 上图未列出的一类勒索软件为Wiper（雨刷）恶意软件。4雨刷之所以得名，是因为其破坏性攻击技术可从受感染系统中“擦除”数据。我们观察到，2022 年初，雨刷使用量的激增主要与局部冲突有关。5虽然这一增长趋势在今年下半年将持续存在，但2023 年上半年的增长趋势有所放缓。 我们同样观察到，网络犯罪分子使用此类恶意软件针对特定行业组织发起攻击，如技术、制造、电信、医疗保健业及政府机构。 近五年威胁态势发展趋势回顾 作为安全从业者，谈及网络安全，我们中的许多人通常谈虎色变，倾向于预先假设负面结果。 但这种假设是事实还是虚言？有时回首审视长期发展趋势至关重要，我们将因此获取观察当前威胁态势的有利视角。接下来，让我们共同回顾一下漏洞利用、恶意软件和僵尸网络的近五年发展趋势。 漏洞利用变体数量呈上升趋势 过去五年间，特定漏洞检测数量增加了 68%。这一数据表明，相比以往，目前我们已有更多有效方法成功检测恶意攻击活动。此外，还表明攻击者数量正成倍增加，并采用多样化战术发起漏洞利用活动。但与此同时，我们观察到针对每个组织的漏洞利用尝试攻击下降75%，严重漏洞利用率下降 10%。 漏洞利用尝试攻击数量的下降令威胁态势看似好转，但这一数据从另一方面表明，攻击者正伺机发动更具针对性的攻击行为。网络武器若频繁使用，其杀伤力势必减退，因为组织机构的检测能力将日渐增强，届时有效载荷将失去用武之地。 有组织的网络犯罪驱动的恶意软件活动持续增加 过去五年间，恶意软件家族和变体呈爆发式增长，增速分别高达 135% 和 175%。更值得关注的是，成功渗透至少 1/10 全球组织的恶意软件家族数量（关键流行阈值）翻倍。毫无疑问，这一结果源于网络犯罪的日益猖獗以及目前活跃团体攻击范围的持续扩大。 随着这些对手的攻击手段变得越来越具有针对性、精确性和破坏性，意味着威胁态势逐渐升级，与犯罪分子的对抗将长期持续。借助近几年新兴技术和重大技术的进步，敌人规模迅速发展壮大，其攻击技术变得更强、更狡诈且更具隐蔽性。 僵尸网络攻击更具持久化 多数现代恶意软件家族均已创建针对命令和控制（C2）通信的僵尸网络。随着恶意软件家族和变体的激增，僵尸网络活动也随之更为频繁。如今，组织中的僵尸网络攻击更加活跃（+27%），僵尸网络感染率更高（+126%）。 僵尸网络攻击趋势持续上升，其真正的幕后推手离不开“活跃天数”的显著增加，即首次检测到僵尸网络活动到最后一个传感器“成功捕获”之间的时间。该指标衡量的是在前次入侵尝试失败后改变攻击路线前检测并拦截僵尸网络通信的平均天数。在某种意义上，通过该指标可得出成功检测此类活动的传感器所需的“成功检测和消除”威胁的平均时间。过去半年间，平均而言，检测天数为183天（我们测量的最后一天），而威胁入侵天数为83天，几乎占检测周期的一半。相比2018年初，这一测量数据增加了1000多倍。充分表明，过去五年中僵尸网络攻击变得更具持久化。纳入“僵尸网络武器带”的漏洞和漏洞利用的可用性总体增加，这一现状令人担忧，因其能够快速适应并增加自动破坏和控制的设备范围。 红区解读 在《2022 年下半年全球威胁态势研究报告》中，我们引入了“红区”概念，以便更深入地探究威胁参与者利用特定漏洞的可能性（或不可能性）6。 虽然终端上常见漏洞和披露（CVE）与攻击者目标 CVE 之间的关系受到部分因素影响，如组织之间的漏洞管理实践或对手工具的开发，但这也能为我们提供极具参考价值的快照，使我们快速了解攻击面状态，安全管理者可使用此类快照快速确定修复工作优先级。 2022 年下半年，进入红区的CVE徘徊在 9% 左右，即意味着我们观察到的 16,500 多个 CVE 中，约有 1,500 个处于受攻击状态。但在2023 年上半年，遭受攻击的 CVE 比例降至 8.3%。值得注意的是，攻击中出现的CVE数量大致相同，而在终端上观察到的CVE数量却在增长。虽然这并不一定表明组织在对抗新漏洞方面取得了新进展，但至少表明遭受攻击的漏洞占比似乎略低于以往。 我们还发现，处于受攻击状态的漏洞比例可能因平台而异，如下图所示，最高可达 11%。另一个值得关注的是，不同平台之间终端上观察到的所有CVE比例存在差异，如下图黄色方块所示。以Microsoft和Adobe为例，我们观察到半数以上的相关CVE漏洞，而苹果平台为12%，Linux为20%。值得注意的是，我们对所有平台均进行了图表标准化处理。例如，Adobe 图表中的一个正方形代表与Linux不同漏洞的绝对数量。 显而易见，组织在漏洞发布后仍努力快速进行漏洞修复，但网络犯罪分子同样试图加紧发起漏洞利用攻击。因此，在确定漏洞修复优先级时，制定更为合理的决策至关重要。确定优先级时应考虑每个平台的差异，然而在预测哪些开放漏洞可能在不久的将来成为攻击者的目标时，这种考量所提供的参考价值极为有限。 幸运的是，防御者已拥有更强大的工具，即漏洞利用预测评分系统（EPSS），下一节将为您详细介绍。7 从漏洞利用预测到威胁爆发 漏洞利用预测评分系统由 FIRST.org 的一个特殊兴趣小组领导。作为该小组的成员公司，自小组创建以来，Fortinet 始终是支持 EPSS 漏洞利用活动数据的核心贡献者。漏洞利用预测评分系统主要利用海量数据源预测和评估漏洞被在野外利用的可能性。 漏洞管理团队可使用 EPSS 帮助安全团队确定修复工作优先级。但EPSS同样支持威胁情报工作，以跟踪漏洞从最初披露到在野漏洞爆发的进展情况。这也是我们在本报告中重点探究的用例。如果将 EPSS 数据合并至您的威胁情报流程，则能够有效地将其用作威胁爆发预警系统。 我们来剖析一个真实案例。5 月 31 日，Progress Software的软件公司向客户发出告警，称旗下MOVEit Transfer Web 应用程序中发现一个未知的SQL注入(SQLi)漏洞，未经身份验证的攻击者可肆意篡改或删除所用数据库引擎中的元素。8网络安全社区很快意识到该漏洞可能造成严重影响，FortiGuard Labs 发布了威胁信号以引起用户关注并发布 IPS 签名，全方位监控漏洞利用活动。9 CVE被公开披露后，EPSS预测未来30天内该漏洞被利用的可能性非常高。预测预警如下： 仅在该漏洞首次披露5日后，Fortinet传感器便追踪到攻击者在 6 月 5 日试图针对MOVEit发起漏洞利用，Fortinet在同一天发布了威胁签名。在该案例中，EPSS评分为Fortinet分析师的预期分析提供了独立验证，并帮助我们在这一新兴威胁快速演进期间始终料敌于先。 MOVEit 案例令我们开始深究一系列关键问题。漏洞从初始披露到被在野利用通常需多长时间？EPSS 评分较高的 CVE 是否比评分较低的 CVE 更快被利用？若如此，我们是否可以采用 EPSS 预测任何给定漏洞的平均利用时间？ 让我们看看是否可以回答上述问题。为此，我们分析了近六年的历史数据