2025年全球威胁态势研究报告
AI智能总结
目录有关本报告的任何问题,请联系:pr@fortinet.com 结论:助力 CISO克敌制胜之道6.攻击者现状分析5.云端战场:网络安全新态势应对指南4.超越初始访问:漏洞利用后、横向移动和 C23. 从暴露到初始访问和漏洞利用:攻击者从何处登堂入室2.暗网揭秘:攻击者入侵 前准备1.前期侦查数量激增:自动化扫描呈白热化引言:攻击方优势加速扩大 更高和更有效的攻击活动。正如之前预测,网络犯罪即服务(CaaS)团伙正大肆利用这些新型工具提升专专业化水平,投入更多精力专注攻击链特定环节。•网络犯罪即服务(CaaS)模式正规模化助推初始访问攻击:凭据窃取和直接入侵企业等地下黑色经济活动呈爆发式增长。FortiGuardLabs(Fortinet 全球威胁情报研究与响应实验室)观察到,待售窃取凭据数量激增 42%,而暴力访问 VPN、桌面远程协议(RDP)和管理面板的初始访问代理(IAB)活动显著增加。Redline和 Vidar 等信息窃取恶意软件的滥用,导致暗网论坛凭据日志泄露活动量暴增 500%。•攻击者形态碎片化,功能统一化:13 个勒索软件团伙初次涌入勒索软件即服务(RaaS)市场,表明攻击者形态呈现碎片化趋势。然而,排名前四的团伙依然占据攻击观测总量的 37%,凸显了强大的集中影响力。与此同时,黑客活动分子始终青睐勒索软件攻击战术,政治性黑客的首要目标仍是制造业、政府机构、教育和科技等关键领域。即时通讯软件(Telegram)仍是攻击者共享漏洞利用与基础设施的核心协调枢纽,为原本分散的威胁组织提供了统一操作平台。 当前,防御方面临的挑战显而易见:攻击方优势正加速扩大。从攻击前侦测到入侵后的持久化驻留,攻击者正以空前未有的速度、精准度和影响发起攻击。种种迹象表明,组织亟需从传统被动防御模式转变为以威胁暴露管理为支撑、以威胁情报为主导的主动防御模式。关键发现•漏洞侦查空前激增:为加速挖掘并利用新发现漏洞,网络犯罪分子正大肆在全球范围内部署自动化漏洞扫描工具。2024 年,全球网络空间主动扫描量达历史峰值,同比激增 16.7%。FortiGuardLabs(Fortinet 全球威胁情报研究与响应实验室)每月监测到数十亿次侦查扫描活动,相当于每秒 36,000 次扫描,表明攻击者日益关注暴露面测绘服务,如 SIP(会话初始协议)、RDP(远程桌面协议)以及 Modbus TCP等 OT/IoT协议。与此同时,SIPVicious 等工具和商业扫描工具日益被攻击者武器化,以精准识别防御方尚未实施补丁修复的软目标,这些迹象表明攻击者战术已出现明显“左移”。•AI技术深度赋能网络犯罪供应链:威胁行为者大肆利用 AI 技术实施网络钓鱼、敲诈勒索、冒充和规避战术攻击。FraudGPT、Blackmail-erV3和 ElevenLabs 等恶意工具,均可自动生成恶意软件、深度伪造视频、网络钓鱼网站和合成语音,进一步催生更可扩展、可信度 攻击方优势加速 扩大《2025 年全球威胁态势研究报告》全面揭示,当前网络攻击的规模和复杂程度均急剧升级。数据显示,攻击者已实现自动化漏洞侦察,漏洞披露与漏洞利用间隔显著缩短,并借助网络犯罪产业化不断扩大攻击规模,攻击速度日益加快。FortiGuardLabs 观察到,在所有攻击阶段中,威胁行为者正加速利用自动化、商品化工具以及AI 技术,系统性瓦解防御方传统优势。 FortiCNAPP 遥测数据显示,云入侵数量稳步上升,涉及身份滥用、不安全的 API 和权限提升。攻击者常在多阶段攻击中叠加使用此类媒介,同时利用自动化技术和合法服务执行隐蔽操作,实现持久化访问。前期侦查仍是最流行的云攻击战术,例如 API 探测、权限枚举和已暴露资产扫描。在已观测到的安全事件中,70% 的入侵均涉及攻击者在陌生地理位置登录,突显了身份识别和访问控制机制在云防御环节的关键作用。行动呼吁:防御“ 左移”,快速行动, 减少暴露威胁形势扭转在即:在自动化、前期侦查和可扩展操作方面,攻击者不惜投入大量资金,其研发的攻击 Playbook 凸显速度、隐蔽性和可扩展性优势。但目前,多数组织仍依赖静态被动防御机制以及滞后补丁周期的传统安全模型。为有效应对当前攻击,防御者亟需从传统被动威胁检测模式转向主动持续威胁暴露管理(CTEM)模式。这种积极主动的防御方法强调:•持续监控攻击面•实战攻防演练•优先修复高风险漏洞•自动化威胁检测和防御响应当前安全态势已发生根本性转变。想要始终领先于攻击者,需在对方行动前即精准预判并有效拦截,这意味着传统安全解决方案已难以满足防御者当下需求。 •漏洞利用数量持续飙升,增速不减:2024 年新披露漏洞利用平均时间相对稳定,与 2023 年观察到的 5.4 天平均值相近,但漏洞利用尝试规模呈激增趋势。2024 年,FortiGuardLabs(Fortinet 全球威胁情报研究与响应实验室)监测到超 970 亿次漏洞利用尝试,表明攻击自动化程度持续提升且跨行业攻击目标持续扩大。攻击者优先瞄准已暴露的物联网设备、路由器、防火墙和监控摄像头,并常用于发起僵尸网络命令和控制(C2)、横向渗透攻击或构建持久化访问通道。Ivanti 产品中发现的远程命令注入漏洞CVE-2024-21887,经披露后仅 6 天即遭恶意利用,充分暴露攻击者仍在伺机而动,时刻紧抓一切攻击机会。•后渗透战术隐蔽性日益提升:2023 年至 2024年,CVE 数量显著增长,增速达 39%,但在已观测威胁总量中,零日攻击仍占比较小。离地攻击(Living-off-the-land)战术成为网络犯罪分子的惯用手段,并基于受信任工具和协议隐蔽地进行权限提升。FortiGuard Labs(Fortinet 全球威胁情报研究与响应实验室)已成功识别多种高级入侵后行为,包括基于DCSync 和 DCShadow 等域渗透技术的 Active Directory(活动目录)操纵、基于 RDP(远程桌面协议)的横向移动以及基于 DNS 和 SSL 加密的网络命令和控制(C2)。•云攻击战术和技术不断演进,配置错误攻击依然盛行:云环境仍是攻击者的首要攻击目标,通常利用存储桶公开访问、身份权限过度分配及服务配置错误等长期存在的漏洞实施入侵。 1.前期侦查数量激增:自动化扫描呈白热化2024 年,全球网络空间主动扫描量达历史峰值,同比激增 16.7%,揭露了攻击者针对已暴露数字基础设施的大规模、高精度情报搜集趋势。FortiGate 下一代防火墙(NGFW)中的入侵防御系统(IPS)引擎检测到,攻击者利用高级供给链“左移”战术在发起针对性攻击前,提前绘制攻击面,导致所有地区的此类扫描数量激增。 •Nmap(Network Mapper):扫描量占比不足1%,但仍是识别开放端口和易受攻击服务的关键工具。Nmap 是一款用于网络探索和安全审计的开源工具,最初设计用于快速扫描大型网络。•Nessus 和 OpenVAS:这两款扫描工具占比较小,但仍被攻击者广泛用于挖掘企业系统中的安全漏洞。 该团伙还利用制造商设置的默认密码,通过物联网设备,如 VoIP 电话、打印机和视频解码器,获取对受害者网络的初始访问权限。•Modbus TCP 协议漏洞:Modbus TCP 扫描事件约占检测扫描总量的 1.6%,表明组织应加强对工业基础设施和 SCADA 系统的关注。美国能源部(DOE)、网络安全和基础设施安全局(CISA)、国家安全局(N SA)和联邦调查局(F BI)联合发布一份网络安全咨询(CSA),明确警示防御者,某些高级持续性威胁(APT)行为者已能够获得多个工业控制系统(ICS)/监控和数据采集(SCADA)设备的完全系统访问权限。网络犯罪分子惯用哪些扫描工具查找系统漏洞?威胁行为者正利用各种精心设计的恶意工具,自动开展攻击面测绘,以优化漏洞利用活动。这些工具包括:•SIPVicious:SIPVicious 扫描事件占检测扫描总量的 50%。SIPVicious 套件是一组专为审计基于 SIP 协议的 VoIP 系统而设计的恶意工具集。恶意行为者已采用此套件成功利用安全性薄弱的 SIP 服务器。该恶意套件包含 5 款工具:swamp、svwar、svcrack、report 和crash。•Qualys:该扫描事件约占检测扫描总量的2.5%,主要群体包括合法安全团队以及寻找关键基础设施漏洞的攻击者。 这种前所未有的自动扫描量表明,大规模侦察活动显著增加。此类扫描活动主动寻找易发现漏洞,并探测关键基础设施,以挖掘可以被轻松利用的资产。当前,随着攻击武器化阶段的迅速缩短,威胁行为者可以近乎实时地掌控许多目标的攻击面。一旦漏洞可被利用,攻击者便迅速发动攻击,快速渗透至未及时应用补丁修复的组织。数百万次主动扫描:威胁行为者意欲何全球每小时扫描尝试检测量达数百万次,深刻揭示了网络犯罪分子在发动攻击前,不间断测绘已暴露系统。攻击行为趋势分析 每月扫描量累计高达数十亿,印证了前期侦察自动化活动的庞大规模。为有效保护组织,防御者需主动深入了解攻击者的搜索目标,及其如何将扫描活动转化为现实世界的威胁和风险。攻击者以电信业、工业、OT/ICS 和金融服务业等关键领域广泛使用的协议为攻击目标,并常常依赖以下协议漏洞:•SIP (VoIP)协议漏洞:SIP 扫描事件占检测扫描总量的 49% 以上。SIP 漏洞广泛存在于电信业,此类漏洞可能引发交互攻击和呼叫欺诈。例如,黑客组织 APT28使用合法凭据非法获取初始访问权限,随后进行权限提升和持久化驻留,进而窃取敏感数据。 暗网已从网络犯罪分子的避难所演变为网络攻击的供应链。FortiGuardLabs(Fortinet全球威胁情报研究与响应实验室)团队成功发现一个迅速扩张的地下生态系统,其中被盗凭据、企业访问权限、漏洞利用和 AI 驱动工具被大肆购买、出售和开发,为恶意活动的持续攀升提供了不竭动力。这意味着,攻击者如今可以肆意使用现成资源,不再仅仅依靠技术技能,网络犯罪准入门槛大大降低,对技术水平较低的攻击者而言尤为有利。因此,我们可以预见,针对性攻击的数量、速度和复杂性都将持续攀升。企业非法渗透业务失窃凭据并非唯一待售的有价值商品。2024 年,暗网初始访问代理(IAB)活动急剧增加。非法出售受害者基础设施直接访问权限服务的盛行,令攻击者无需开展漏洞搜索和利用活动,即可远程渗透至受害者网络。除了个人访问凭据外,初始访问代理(IAB)服务可提供的抢手资产及占比如下:•企业 VPN 凭据(20%)•RDP 访问权限(19%)•管理面板控制权(13%)•Web Shell(网页后门,占比 12%Sandocan(26%)、F13(16%)和JefryG(12%)等初始访问代理(IAB)组织首当其冲,持续为当前及有野心的网络犯罪分子提供预先入侵企业内部网络的访问权限。失窃凭据沦为新的入侵通行证 失窃凭据交易是暗网最活跃的市场之一。2024年,从以往泄露事件中窃取的用户名、密码和电子邮件地址的“组合列表”信息泄露泛滥,网络犯罪分子在地下论坛共享的泄露记录已逾 1000亿条,同比激增 42%。超 50% 的暗网帖子涉及已泄露数据库,一旦这些数据库落入网络犯罪分子之手,便能轻易发起自动化撞库攻击,从而非法获取受害者系统的访问权限。暗网上,一些知名团伙不仅非法出售泄露信息数据,还对这些资源进行了简化处理。借助这些有利资源,任意技能水平的威胁行为者,都能轻松实施攻击,持续降低了网络犯罪门槛,导致账户劫持、金融欺诈和企业间谍等犯罪活动猛增。当前暗网市场中,最活跃的网络犯罪组织包括:•BestCombo(20%):该组织是一家大规模出售被盗凭据的供应商,将新泄露数据打包成庞大的即用型清单进行出售。•BloddyMery(12%):该组织因擅长汇总泄露数据并提升其可售性而闻名,他们能够使被盗凭据更具转售价值,从而增强针对性攻击的效果和成功率。•ValidMail(12%):该组织专门从事凭据验证服务,仅向买家出售有效的登录
