2023年度安全事件观察报告
AI智能总结
关于绿盟科技 绿盟科技集团股份有限公司(以下简称绿盟科技),成立于 2000年 4 月,总部位于北京。公司于 2014 年 1 月 29 日在深圳证券交易所创业板上市,证券代码:300369。绿盟科技在国内设有 50 余个分支机构,为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户,提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处,深入开展全球业务,打造全球网络安全行业的中国品牌。 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。 01 2023 年网络安全形势分析 9 02 2023年安全事件数据观察5 2.1金融行业与运营商成为重点攻击目标62.2挖矿事件趋势持续放缓,勒索事件占比最高72.3社工钓鱼和漏洞攻击为边界突破主要手段8 03 网络安全趋势与典型事件分析11 3.1安全意识成演练对抗永恒主题,权限维持另辟蹊径123.2Java 应用与 ESXi 成为勒索攻击热点163.3恶意软件技巧升级,社工钓鱼仍需防范193.4AI 风潮下的网络安全风险与机遇273.5汽车电动化、网联化、智能化带来更多网络安全风险313.6K8S 逐渐成为主流,云安全意识需要提升383.7地区冲突引发网络战,攻击手段简单粗暴43 04 CONTENTS安全漏洞变化趋势454.1安全漏洞趋势分析464.2重点漏洞盘点49 05 数据安全风险上升,监管面临新要求535.1企业和医疗领域成攻击焦点545.2API 和文件传输应用漏洞成数据泄漏的主要威胁565.3数据安全管理法规趋于健全56 06 典型安全事件汇总586.1挖矿蠕虫案例596.2钓鱼邮件案例636.3勒索攻击案例67 07 安全建议 74 08附录一 .GBT20986-2007 信息安全事件分类分级指南77 09 附录二 .绿盟科技事件分类方法79 CONTENTS 5 2023 年度安全事件观察报告 2023 年网络安全形势分析 2023年安全事件数据整体呈现出平稳趋势,没有出现明显的波动。绿盟科技2023年接收安全事件376起,比去年减少33.2%,第一季度事件总量100起,比去年有所增长;从第二季度起,每季度的事件量均低于去年同期。在2023年8月事件量达到本年度峰值,事件量为135起,较去年同期增长34.8%,较7月份增加了85.2%。 绿盟科技在《GBT20986-2007信息安全事件分类分级指南》指导下,制定了信息安全事件分类方法。对处理的安全事件按照国标和绿盟安全事件分类标准分别进行统计,事件分布如图1.2、图1.3。 本年度事件按照细分子类型排序,TOP5分别为钓鱼攻击事件、木马程序漏洞攻击、勒索软件和虚拟挖矿。 绿盟科技CERT团队2023年处理的应急响应事件遍布全国,覆盖了全国32个省级行政区,其中发生在北京,上海,四川的事件最多。 2023 年度安全事件观察报告 【适用性】 此报告适用于政府、运营商、金融、能源、交通、教育医疗、企业等行业客户。 【局限性】 此报告基于绿盟科技应急响应服务数据,具有一定局限性。 【特别声明】 本次报告中涉及的所有数据,均来源于绿盟科技自有产品和合作伙伴产品,所有数据在进行分析前都已经过脱敏处理,不会在中间环节出现泄露,且任何与客户有关的具体信息,也均不会出现在报告中。 2023年安全事件数据观察 2.1金融行业与运营商成为重点攻击目标 根据最近两年行业事件数据统计分析,可以看到金融、企业、运营商一直都为黑客攻击的重点目标。但与2022年相比,2023年企业应急事件数量降低了近50%,而金融行业与运营商成为了首要攻击目标。这一定程度上反映了目前企业客户防御能力与安全意识的提升,和攻击者目标的转变。行业事件数统计 对2023年行业安全事件分布进行统计,发现网络钓鱼攻击仍为针对金融行业和运营商的主要攻击手段。由于金融和运营商行业安全体系建设较为健全,安全设备与安全产品较为丰富,而通过依赖社会工程学的网络钓鱼攻击进行边界突破,往往可以取得事半功倍的效果。 从事件类型分布图可以看出,木马程序占据了第二高的比例,这符合使用网络钓鱼进行木马投递的攻击特征。攻击者往往利用钓鱼邮件等社工手段,诱使受害者点击恶意链接或下载附件,从而投递木马程序。 2.2挖矿事件趋势持续放缓,勒索事件占比最高 近年来随着终端及流量层安全防护产品能力的提升,挖矿程序越来越难以长期驻留,致使攻击者难以长期的获取有效收益。通过对挖矿事件的统计发现,近两年挖矿事件出现持续减少趋势,从2023年第一季度开始,挖矿事件数量已降至个位数。2022-2023年度挖矿事件数量统计 对于攻击者而言,勒索攻击对比挖矿则具有以下特点: ●收益更加直接,索要赎金获取的短期收益要远远大于挖矿攻击。 ●勒索病毒大部分不会产生网络流量,可有效躲避流量设备检测。 ●攻击门槛更低,攻击者可使用现成的勒索工具包,也可直接购买勒索软件服务。 2023年有害程序事件中,勒索软件相关事件占比达到43%,为有害程序事件占比最高的类型,其次为木马程序和虚拟挖矿事件。有害程序事件类型占比 2023年勒索攻击事件中勒索病毒家族TOP 5分别为:Phobos、Lockbit、BeiJingCrypt、Mallox及TellYouThePass。 根据数据统计,目前90%以上的勒索软件均是Windows平台,但近年来勒索攻击目标正逐渐瞄向攻击价值更高的ESXi等Linux平台。为了实现攻击收益最大化,文件加密与数据泄露的双重勒索模式,已成为勒索攻击的主流手段,同时,我们在多个攻击案例中还发现,部分勒索家族甚至开始通过媒体舆论及监管单位向受害企业施加压力,以迫使他们缴纳赎金。 2.3社工钓鱼和漏洞攻击为边界突破主要手段 无论在真实安全事件还是攻防演练中,社工钓鱼一直都是网络边界突破的主力手。通过2023年的事件数据分析发现,在前三季度钓鱼事件数一直高于漏洞事件数,但在第三季度漏洞事件数实现了反超。 通过对漏洞类型占比进行分析,发现攻击者大部分使用的都是Web漏洞,其中占比最高的4种漏洞类型分别为文件上传,命令执行,SQL注入和反序列化。漏洞类型占比图 通过对漏洞利用相关事件进行统计分析发现,有近三分之一的漏洞攻击事件均与OA系统漏洞有关,OA作为企业通常部署于互联网边界的核心业务系统,一直是攻击者的重点关注对象。 网络安全趋势与典型事件分析 3.1安全意识成演练对抗永恒主题,权限维持另辟蹊径 2023年攻防演练期间,绿盟科技CERT共处置安全事件129起,由于参演单位的安全防护能力和人员安全意识的不断提升,安全事件数较往年有所下降。从事件类型分布来看,钓鱼攻击仍是演练期间最主要的攻击手段,漏洞攻击相关事件中,0day及1day漏洞所占比例持续增长,且针对性更强。此外首次参演的车联网、工业互联网等新兴行业,由于基础安全建设能力相对薄弱,成为了演练期间的重点攻击目标。演练期间事件类型分布 3.1.1传统钓鱼攻击比例下降,漏洞攻击事件稳步增长 钓鱼攻击往往是参演单位最为关注的攻击手段,部分参演单位会通过定期培训来提升员工安全意识。此外,安全厂商近年来加强了邮件网关的研发投入,在产品防护规则和整体防护效果方面均有了明显提升,部分网关产品甚至还推出了演练专项的防护规则,导致传统类型的钓鱼事件呈现逐年下降趋势。 对于攻击者而言,由于邮件钓鱼收效逐年减弱,进而选择了更为隐蔽的钓鱼手段,包括微信等社交软件钓鱼、招聘类软件钓鱼、内网通信软件钓鱼、内网邮箱钓鱼等,在躲避相关防护设备的同时,还结合挖掘的办公软件相关漏洞,利用信任关系,对内部人员进行精确钓鱼、二次或多次钓鱼。 攻防演练期间,绿盟科技CERT共监测到有效漏洞182个,相较去年增长近20%,其中0day及1day漏洞占比达到24%,主要集中于办公软件及安全产品。办公软件漏洞主要为国产OA系统,以命令执行、文件上传、未授权访问等可获取权限或数据的高危漏洞为主,相较于往年频发的网络边界防护类安全设备漏洞,终端安全防护产品逐步成为漏洞挖掘的重点关注对象,包括端点检测与响应(EDR)产品、桌面管理类软件等,攻击者利用此类软件漏洞可进行本地权限提升、定向精准钓鱼或批量植入后门等。 3.1.2终端云安全产品遭滥用,权限维持手法升级 为了降低企业终端安全管理建设成本,部分安全厂商面向中小企业推出了SaaS架构的终端云安全产品,具备病毒防护、软件管理、补丁下发等终端管理常用功能,通过快速部署,可实现轻量化在线终端安全与运维管理。 此类产品大部分均集成了桌面控制、文件传输、命令执行等木马后门常用的远程控制功能,同时还具有命令行部署功能,可通过命令行参数进行静默安装,此外,由于是SaaS模式,部分安全厂商还对外提供了免费试用服务。 攻击者正是利用上述功能,首先注册为企业用户,申请试用并获取合法下载链接,然后通过钓鱼邮件、定向投递等方式,对目标参演单位主机进行远程控制,利用合法的安全软件作为掩护,逃过终端侧或流量层防护产品的检测。 3.2 Java应用与ESXi成为勒索攻击热点 从2021年到2023年,勒索攻击逐渐扎根成为网络犯罪的一大分支,产业活跃度逐年攀升。同时2023年的勒索行业可能受到全球经济形势变化的影响而活跃度再升。 3.2.1 Java应用成为国内勒索主要攻击面 2021年底Log4j漏洞出现公开POC时,TellYouThePass勒索家族即刻对其进行武器化,随后发起大规模攻击,攻击对象主要针对中国大陆。值得注意的是,TellYouThePass不作为RaaS(勒索软件即服务)运营,推测为固定攻击团伙。 根据绿盟科技CERT历史应急事件分析,2022年3~5月期间,TellYouThePass利用用友OA等国产应用软件集中发起勒索攻击。根据开源情报,2022年8~12月,该勒索家族持续利用国产应用软件进行勒索攻击,例如畅捷通、致远OA、用友财务软件等。 2023年1~4月,从某数据恢复厂商的案例推广文章得知,该勒索团伙仍在利用国产办公软件进行勒索攻击。 2023年5月开始,该勒索团伙再次发起大规模勒索攻击,绿盟科技CERT连续收到多个 客户遭到加密后缀为.locked1的勒索攻击事件,攻击者利用国产办公软件高风险Nday漏洞作为初始入侵手段进行批量攻击,上传并注入内存Webshell进行连接,同时下载勒索加密程序并在内存中执行。 通过威胁情报可发现相关攻击IP发起过多次国产办公软件与Java相关漏洞攻击。 3.2.2 ESXi进入更多勒索攻击团伙视线 随着VMware ESXi成为最流行的虚拟化平台之一,大量勒索团伙都开始发布针对ESXi平台的勒索加密程序,且各个勒索团伙使用的ESXi加密器往往还存在较高相似性。 一个明显趋势是,勒索团伙越来越多地使用Babuk源代码开发ESXi加密程序,自2022年下半年以来,基于Babuk开发加密器的勒索家族至少有10余个,包括Play、Mario、Conti、REvil、Cylance、Dataf Locker、Rorschach等。绿盟科技CERT也在2023年勒索攻击事件中,捕获到了多个基于Babuk的ESXi加密样本变种。 2023年2月,多个安全厂商就名为ESXiArgs的大规模勒索软件攻击发出预警,此次攻击针对存在历史漏洞CVE-2021-21974的ESXi,攻击者通过此漏洞可实现远程代码执行, 虽然VMware官方在两年前就发布了相关漏洞补丁,但勒索团伙仍在几天内就攻陷了数百台ESXi服务器。 另外,据绿盟科技CERT观察,Phobos勒索家族在早期的攻击事件通常不会涉及到大范
