《2024年Elastic全球威胁报告》

2024 目录 简介生成式AI威胁概述增强防御方恶意软件检测按操作系统分布恶意软件类别终端行为按操作系统分布按战术分布云安全按云服务提供商分布云安全态势基准测试威胁概况REF5961—BLOODALCHEMY，RUDEBIRD，EAGERBEE，DOWNTOWNREF8207—GHOSTPULSEREF4578—GHOSTENGINEREF7001—KANDYKORNREF6127—WARMCOOKIE对2023年预测的回应预测与建议结论03040405060607111112363747575861646669727579123456789 简介 有了最好的技术，最广泛的信息传播以及公众对威胁的最清晰认识，安全环境比以往任何时候都要好。然而，尽管如此，威胁生态系统几乎正以前所未有的势头蓬勃发展。 系使我们能够从他们的数据中发现以前未知的威胁，并以匿名方式与更广泛的安全行业分享这些发现。这种合作催生了数百项新的保护措施，免费向公众提供。我们在此向用户表示衷心的感谢—从这些共享数据中获得的经验将使我们整个安全社区受益匪浅。 事实上，威胁态势是动态的，反应式的—一种新技术赋予了一个以前未知的威胁团体以力量，供应商群起而上尝试缓解这种威胁，并在此过程中创造出新技术，双方的执行者都在寻求新技术或新工具，如此循环往复。在攻击方和防御方的共同努力下，这一格局每天都在发生变化。本报告是Elastic Security Labs在动态环境中作为一股向善的变革力量尽到自身责任的一种方式—通过分享我们所看到的，以及我们认为需要进一步展示的内容。 作为一个研究小组，我们促进Elastic技术的进展并获得其支持。在许多方面，我们也展示了Elastic Security解决方案能带来的成果。我们的用户提供的可见性和功能，也为这些洞察见解的获取提供了帮助，我们很高兴看到它们将为全面的威胁态势做出其他积极贡献。 我们编写《全球威胁报告》的初衷与过去几年一样：普及知识，支持透明原则并确定影响。我们正在利用Elastic强大的全球技术来提供独特的见解，为我们的Elastic安全解决方案的优先事项提供资讯，并为整个安全社区服务。 没有安全联合体，就不可能有这份报告—我们的观察结果基于我们的用户自愿共享的数十亿个安全事件，并通过开源进行了丰富，代表了几乎所有行业中数以万计的不同实体。我们与用户之间的宝贵合作关 生成式AI 生成式人工智能（生成式AI）的兴起激发出了强烈的兴奋情绪，人们希望这项技术不久将以这样或那样的方式触及生活的方方面面。这种兴奋也带来了可以理解的犹豫，同时人们希望了解这项新技术可能被滥用的方式。Elastic对生成式AI并不陌生。我们的许多同事都在为我们的产品构建令人难以置信的功能，而ElasticSecurity Labs和我们在信息安全领域的合作伙伴也投入了大量时间来了解这项技术和相关风险。 在更大的范围内，基于深度伪造的诈骗干扰了政治选举和一些勒索案件（例如ABC）。在未来几年中，使用生成式AI工具创建深度伪造—用于传播错误信息的关于某人的被操纵的视频或音频—将继续构成威胁。但是，值得注意的是，深度伪造在网络安全事件方面受到限制。 这 两 种 威 胁 都 将 继 续 加 速 ， 这 再 次 证 明 了 培 训用 户 识 别A I创 造 物 的 重 要 性 。 全 组 织 范 围 的 网络 安 全 培 训 计 划 对 于 阻 止 常 规 的 网 络 钓 鱼 企 图至 关 重 要 ， 因 此 ，C I S O和 其 他 安 全 领 导 者 也必 须 在 他 们 的 计 划 中 实 施 以A I为 重 点 的 培 训 。 威胁概述 恶意软件开发 增强型网络钓鱼和社会工程 有研究强调了AI如何被用来创建适应性更强的恶意软件，但这种技术尚未得到广泛应用。AI驱动的恶意软件的全面可用性仍然是一个令人担忧的问题，随着模型和服务越来越容易获得，这一问题将继续发展。与恶意软件的定期发展一样，安全团队也应随时了解最新的威胁和趋势。此外，维护一个强大的保护库并持续更新和调整规则也至关重要。 与许多人一样，我们预计生成式AI的首批威胁用例之一将是创建更复杂的网络钓鱼活动。突然之间，威胁参与者可以扩大难以与合法通信区分的个性化文档的创建规模。尽管这种技术仍有待完善，但相关方已经在研究这些事件的例子。 增强防御方 一些示例包括： •NIST AI风险管理框架：该框架由美国国家标准与技术研究院制定，重点关注AI的治理，风险映射，衡量和管理。 •FAIR-AIR：FAIR研究所的这一框架可帮助团队识别与AI相关的损失暴露程度，并做出基于风险的决策。•AI TRiSM：Gartner的框架确保可靠，安全和合规的AI实施，并强调整个生命周期的有效性。 与任何技术一样，生成式AI也可能被滥用；但这并不影响它在防御方手中是无比强大的工具的事实。 增强的网络安全工具 专为防御方构建生成式AI功能的许多令人兴奋的前景之一是高级威胁检测的想法，尤其是一种自动合成警报并将其提炼为最高优先级攻击的方法。将重复性的人工分流任务自动化，可以让从业人员摆脱单调乏味的工作，将精力集中在战略举措上。我们很高兴Elastic在我们的安全解决方案中内置了这一功能，它可以帮助防御方在日常工作中使用Attack Discovery。 Elastic Security Labs很乐于关注这一新兴技术，并将继续报道其发展情况。关于生成式AI应用（特别是大语言模型）面临的威胁和保护措施的更深入探讨，请参阅我们的LLM安全评估。 自动安全测试是防御团队的另一个令人兴奋的用途，近年来，自动安全测试的应用越来越广泛。这并没有完全取代传统的测试方法—我们预计也不会如此—但它们在更有效地识别漏洞方面已变得非常有价值，并应继续改进。 更进一步，生成式AI为信息安全团队提供了增强的网络安全培训，模拟变得更加真实。尽管这具有很大的潜力，但它仍处于初期阶段，需要进行一些改进才能得到广泛采用。 治理和道德 生成式AI功能强大，随着时间的推移，它仍将是安全团队和从业者的重要工具。但是，强大的技术需要稳妥，合乎道德的使用方式。值得庆幸的是，世界各地的组织和政府在竞相制定安全准则和负责任的框架。 恶意软件检测 Elastic Security提供了检测所有主流桌面操作系统（OS）上恶意软件和缓解其威胁的机制。出于这些目的，恶意软件是指任何为促进攻击者行动，破坏合法活动或以其他方式对计算机或网络造成损害而开发的软件。在本节中，读者可以找到有关恶意软件按操作系统，类别和家族分布的详细信息，以及勒索软件观察情况的专门细分。 Elastic全球威胁报告此部分展示的材料包括在Elastic过去一年遥测数据中观察到的最重要的威胁能力和现象。Elastic用户自愿与我们分享这些警报和其他数据，为Elastic Security Labs提供了发现，减少和化解威胁的强大工具。此等遥测数据包括来自Elastic Security，Elastic Agent以及各种第三方检测的数据。 今年，Elastic Security Labs审查了Elastic Security的恶意软件和内存威胁防护警报。为了提高我们对恶意软件观察的准确性，本小节仅包含已命名恶意软件家族的YARA签名事件。 YARA签名是Elastic Security的一个强大组件，能够利用可执行文件中的字符串或字节序列来降低恶意软件的威胁。这些签名适用于文件系统和内存驻留软件，可通过Elastic的保护工件资源库向公众提供，这是我们对自由和开放原则的持续承诺的一部分。 按操作系统分布 Windows66.12% macOS Windows YARA事件在各操作系统中的分布情况表明，各种威胁的普遍程度存在一定差异。在所有检测到的案例中，Windows主机占大多数，达到66.12%。鉴于Windows在企业环境中的广泛使用，以及它在历史上和当代对恶意软件所使用的各种技术的易感性，这种情况并不完全出乎意料。虽然说任何一种操作系统“最有可能”受到感染都是有误导性的，但自带脆弱驱动程序（BYOVD）等技术代表了威胁参与者为实现其目标而经常瞄准的架构条件。 在Elastic自其接收遥测数据的终端中，macOS主机所占比例最小。有鉴于此，macOS也是恶意软件观察结果最少的系统，仅占1.68%。Elastic Security Labs并未得出macOS更安全，在企业中存在更少或更不可能成为攻击目标的结论。实际上，我们今年早些时候围绕盗版macOS应用程序进行的研究发现，有几种直接感染这些系统的方法被广泛使用。 恶意软件类别 Linux Linux主机仍占感染的很大一部分，达32.20%。这可能表明，由于Linux系统在服务器环境和关键基础设施中的普遍存在，攻击者正越来越多地将Linux系统作为目标。Linux容器通常只存在几分钟或几小时，而不是几周或几个月，它们可能包含未修补的漏洞，甚至新生威胁也可以利用这些漏洞。 恶意软件子分类必然是主观的，从每个供应商或报告实体的角度来定义。这里介绍的类别与YARA签名集合相一致，下文将详细解释。 读者应该注意到，去年我们报告了92%的恶意软件感染发生在Linux终端上，部分原因是纳入了弱归因事件。这种转变的部分原因是我们的团队对处理Elastic遥测数据的方式进行了调整，从而更准确地反映常见终端恶意软件的观察结果，以及所描述的更广泛的恶意软件类别。 木马占所有观察到的恶意软件类型的82.03%，这一比例归因于伪装成合法软件的有用性。特洛伊木马一旦被执行，通常会部署额外的恶意有效负载，如信息窃取程序，从而有效地充当各类恶意软件的传输机制。 后门占观察到的恶意软件的1.01%，并且对许多读者来说都很熟悉，通常像特洛伊木马一样用来提供入侵机制。可能并非所有读者都知道，远程监控和管理（RMM）软件（不到1%的一半）是许多骗子的首选工具，他们利用紧迫感和其他社交工程方法说服用户自我感染。 恶意软件家族 去年，我们报告称，木马占我们所见的所有恶意软件类型的61%左右。21%的增长归因于少量但分布广泛的被植入木马的应用程序。虽然许多选择共享数据的组织都采用了应用程序级控制，但很少有组织采用阻止或允许列表的方式来限制未知软件的执行。 通过研究YARA签名匹配的分布情况，我们可以发现少数恶意软件家族经常出现：Cobalt Strike、Metasploit、Sliver、DONUTLOADER和Meterpreter约占去年所有恶意软件的三分之二。从恶意软件的类别分布来看（图2），木马化软件与这些恶意软件家族之间存在明显的重叠。 “常规”类别的感染占8.03%，代表了不符合特定恶意软件分类但仍构成重大风险的所识别的广泛威胁。例如，常规恶意软件可能是由新加入生态系统的有野心的恶意软件开发者开发的。 我们以这种方式呈现信息（不包括勒索软件家族），因为这些信息最常见于入侵的后期阶段，即环境中已经存在许多这些流行的恶意软件家族之后。企业需要在入侵生命周期的各个阶段优先处理恶意软件，以降低不良后果的风险。 我 们 观 察 到 今 年 所 识 别 挖 矿 软 件 的 显 著 变 化 ， 从21.80%下降到4.39%。加密币挖矿软件利用资源可扩展性来计算加密货币，并在财务推动的场景中发挥着越来越大的作用；像2024年5月发现的GHOSTENGINE这样的家族包含一个可以在入侵期间安装的加密币挖矿应用程序。有关GHOSTENGINE的更多信息，请参阅本报告的威胁概况部分。 观察到的基于YARA的勒索软件占检测总数的2.10%，进一步证明了勒索软件仍然是一个严重威胁，主要原因是勒索，盗窃和名誉损失所造成的影响。YARA可作为勒索软件和其他保护措施的补充，其传播间隔较短，是快速应对新兴威胁的理想选择。 进攻性安全工具（