2023APT趋势洞察报告.pdf
《2023APT趋势洞察报告.pdf》由会员分享,可在线阅读,更多相关《2023APT趋势洞察报告.pdf(79页珍藏版)》请在咨信网上搜索。
1、2023APT趋势洞察报告2023 APT TRENDS INSIGHT REPORTS千里目-深瞻情报实验室目录前言主要观点摘要漏洞利用视角0day漏洞利用趋势已披露的各APT组织0day漏洞利用情况攻击技巧视角BYOVD等驱动滥用的相关攻击技巧高隐藏型内核态Rootkit白宿主进程恶意代码执行供应链投毒攻击AI引入的增强网络攻击攻击事件视角:无孔不入的APT高校科研行业定向钓鱼“卷王”银狐日新月异的攻击手法瞄准高性能集群进行的定向计算资源窃取供应链投毒事件频发,沦为“肉鸡”防不胜防边界设备成为攻击者青睐的攻击入口隐蔽的移动设备攻击战线0102020304060910131618192021
2、2830313536地缘视角下的全球APT组织南亚东亚欧洲中东北美未知APT防御视角:如何构建可靠的防御体系APT防御体系框架人员安全意识培训资产管理和保护网域管理与安全设施部署建立研发供应链安全机制建立安全运营中心,完善取证和响应机制附1:深信服智安全风险监测平台APT组织画像平台附2:深信服千里目安全技术中心深瞻情报实验室38394650545660626366676869717375前言2023 年,深信服千里目安全技术中心深瞻情报实验室(以下简称“深瞻情报实验室”)对全球范围内的多个 APT 组织和网络犯罪团伙进行了长期跟踪和分析。从中,我们见证了 APT 组织攻击手段的持续迭代升级、
3、攻击图景的不断扩张以及组织结构的不断分化重组。当前,APT 已是网络空间中社会影响最广、防御难度最高的斗争形态,其危害性不容忽视。政治和经济形势的变化正在推动 APT 威胁快速演变。与此同时,网络黑产犯罪团伙大行其道,高级技术层出不穷,与 APT 的技术界限逐渐模糊。据监测,已经发生多起针对大型计算资源的定向挖矿以及目标明确的定向勒索,攻击者使用的手法和技巧与一些常规 APT 组织几乎无异。然而,企业或组织的安全建设往往难以应对这种高水平的网络攻击威胁。高级的网络攻击不再遥不可及,经济、科技、民生发展行业建立起有效的 APT 防御体系迫在眉睫。在 APT 组织利用 0day 漏洞方面,我们监测
4、到的 0day 漏洞数量达到了历史最高,其中移动端漏洞比例大幅增加,但 PC 端漏洞比重仍然位居第一,随着移动互联网已经渗透到人们生活、工作的各个领域,攻击者的目光也开始转向移动互联网,个人也将更直接地面向复杂危险的网络恶意活动。APT 组织和网络犯罪团伙对社区前沿攻击技术的变化十分敏感,擅长在短时间内将最新技术或工具应用在攻击行动上。近年来,DLL 劫持、高隐藏 Rootkit、BYOVD 等攻击技术在实战中越来越常见。与此同时,针对安全防护软件的绕过或致盲也大幅增加,安全产品的自身防护和有效性也面临前所未有的挑战。回顾 2023 年披露的 APT 事件,国家背景的窃密攻击和渗透仍然在 AP
5、T 事件中占据最大比重。以经济为目的的定向勒索也开始涉及新的行业和地区。与此同时,一些以大型计算资源为攻击目的的攻击者也非常活跃,通过滥用计算资源从中牟取暴利。一些网络犯罪团伙也将网络攻击和诈骗结合,通过高欺骗性的手法造成大量受害者中招和传播,高级的网络攻击逐渐和个人息息相关。基于 2023 年跟踪的 APT 组织动向以及事件响应溯源,深瞻情报实验室将从漏洞利用视角、攻击技巧视角、攻击事件视角、全球 APT 组织视角以及 APT 攻击防御视角五个视角详细阐述本年度 APT趋势洞察。本报告除明确注明来源以外,数据均来自深信服千里目安全技术中心深瞻情报实验室,目的仅为帮助客户及时了解中国或其他地区
6、 APT 威胁的最新动态和发展,仅供参考。本报告中所含内容乃一般性信息,不应被视为任何意义上的决策意见或依据,任何深信服科技股份有限公司的关联机构、附属机构(统称为“深信服股份”)并不因此构成提供任何专业建议或服务。012023APT趋势洞察报告主要观点摘要APT 组织攻击手段的正持续迭代升级、攻击图景不断扩张、组织结构不断分化重组;网络黑产犯罪团伙大行其道,高级技术层出不穷,与 APT 的技术界限逐渐模糊;APT 组织利用 0day 漏洞数量达到了历史最高,其中移动端漏洞激增;APT 组织和网络犯罪团伙对社区前沿攻击技术的变化十分敏感,擅长在短时间内将最新技术或工具应用在攻击行动上;国家背景
7、的窃密攻击和渗透仍然在 APT 事件中占据最大比重,但以经济为目的的定向勒索也开始涉及新的行业和地区。012023 年,深瞻情报实验室监测到的在野 0day 漏洞数量数达到 2015 年以来最高值,达 53 个。这些漏洞对各种组件和系统产生普遍影响,特别是浏览器 0day 漏洞攻击成为 APT 攻击常见入口,且受到“三角行动”的影响,移动设备漏洞呈激增趋势。02BYOVD、Rootkit、DLL 劫持等攻击技术被攻击者大肆改造滥用,网络犯罪团伙也在新攻击技术上展现出敏锐嗅觉,快速迭代其武器库,供应链投毒和 AI 引入的增强网络攻击给安全防护带来前所未有的挑战。03无孔不入的 APT 组织对国内
8、多个行业发起定向攻击,手段包括鱼叉式钓鱼、供应链投毒、安全设备定向绕过等等,多起攻击事件被深瞻情报实验室监测溯源到。04根据对攻击技巧及 APT 组织的长期跟踪分析,深瞻情报实验室针对 APT 防御体系框架、人员安全意识培训、资产管理、安全设施管理等安全建设提出针对性建议和策略。022023APT趋势洞察报告漏洞利用视角032023APT趋势洞察报告2023 年我们监测到多个 APT 组织利用多个平台以及应用的 0day 漏洞开展攻击。2023 年,深瞻情报实验室监测到的在野0day 漏洞数量达到了 53 个,创下自 2015 年以来的最高纪录。从整体趋势来看,这些 0day 漏洞对各种组件和
9、系统的影响日益普遍,0day 攻击对网络空间的威胁程度也在逐年上升。0day漏洞利用趋势01020304050602015292623132126392253201620172018单位:个20192015-2023 年在野 0day 漏洞攻击监测数量2020202120222023数量042023APT趋势洞察报告Apple21(11.23%)其中 2023 年监测到的 0day 漏洞涉及浏览器漏洞、Win/Linux/iOS 等操作系统漏洞、网络设备漏洞、应用程序漏洞等多种类型。我们通过对 2015 年以来的在野 0day 攻击漏洞所属平台进行定量分析,可以看出 PC 端操作系统和浏览器
10、0day 漏洞攻击数量较多,占据主要部分。其中浏览器 0day 漏洞(配合 PC 端操作系统本地提权)是 APT 攻击的常见入口。从攻击难度和攻击效益来看,浏览器 0day 漏洞攻击实施复杂度低、攻击效率高,攻击者只需要诱导用户访问一个 URL 即可获取受害者主机权限,这仍然是众多黑客或 APT 组织追逐的理想攻击方式。与此同时。23 年移动端和 PC 端漏洞数量激增,这主要来自于Apple 2023 年爆出的大量同时影响 iOS、MacOS 和 iPadOS 多种平台的危险漏洞。(“三角行动”带来了多个 0-click 苹果移动设备漏洞异军突起,使移动设备漏洞成为攻击中最突出的问题。)与以往
11、不同的是,2023 年微软和谷歌操作系统漏洞以及浏览器漏洞所占比例不再最大。单位:个2015-2023 年各平台在野 0day 攻击数量1522 年合计23 年新增其他96(51.34%)Linux3(1.61%)Cisco7(3.74%)Microsoft27(14.44%)Samsung8(4.28%)Google7(3.74%)VMware2(1.07%)Adobe6(3.21%)Apache5(2.67%)Oracle5(2.67%)MicrosoftAppleSamsungGoogleVMwareAdobeApacheCiscoOracleLinux其他2023 年已知在野被利用漏洞
12、涉及厂商010203040506070移动端PC 端Web 端浏览器客户端12256031707012227052023APT趋势洞察报告“三角行动”是一项专门针对苹果 iPhone 设备的间谍软件活动,利用了四个 0day 漏洞。这些漏洞被联合使用形成一个零点击漏洞利用链,使攻击者能够在零点击的情况下远程提升特权并执行代码。构成这个高度复杂漏洞链的四个漏洞适用于 iOS 16.2 以下的所有 iOS 版本:攻击始于向目标发送的恶意 iMessage 附件,整个攻击链是零点击的,这意味着它不需要用户互动,也不会留下明显的痕迹或迹象。卡巴斯基在其内部网络中发现了这次攻击,而俄罗斯情报部门(FSB
13、)随即指责苹果向美国国家安全局提供了用于攻击俄罗斯政府和大使馆人员的后门。已披露的各APT组织0day漏洞利用情况方程式组织(EQUATION GROUP)使用复杂0day漏洞攻击链攻击Apple设备CVE-2023-41990:涉及 ADJUST TrueType 字体指令的漏洞,允许通过恶意 iMessage 附件执行远程代码。CVE-2023-32434:涉及 XNU 内存映射系统调用的整数溢出问题,使攻击者能够对设备的物理内存进行广泛的读/写访问。CVE-2023-32435:涉及 Safari 漏洞,用于执行 shellcode,作为多阶段攻击的一部分。CVE-2023-38606:
14、涉及使用硬件 MMIO 寄存器绕过页面保护层(PPL)的漏洞,以覆盖基于硬件的安全保护。Attack chainAttackersiMessageaccountPDF fileTrueTypefont exploitCVE-2023-41990ROP/JOPNSExpressionbplistNSExpressionsKernel exploit(JavaScript)DollarVMPAC bypassCVE-2023-32434CVE-2023-38606SafariImagent(cleaner)ValidatorSafariexploitCVE-2023-32435Kernel exp
15、loit(Binary)CVE-2023-32434CVE-2023-38606ValidatorMalware062023APT趋势洞察报告2023年初,乌克兰网络安全研究人员发现,APT 28利用一个Microsoft Outlook的0day漏洞(现被称为CVE-2023-23397),这个漏洞无需用户交互即可被攻击者利用,远程执行恶意代码。据观测该组织在过去的 20 个月里一直在使用CVE-2023-23397,针对至少 30 个组织进行攻击,这些组织分布在 14 个可能对俄罗斯政府及其军方具有战略情报价值的国家。在此期间,APT 28 进行了至少两次使用此漏洞的攻击活动,第一次发生在
16、 2022 年 3 月至 12 月之间,第二次发生在 2023年 3 月。在 2023 年 9 月至 10 月之间,Unit 42 的研究人员发现了第三次最近活跃的攻击活动,APT 28 在这次活动中同样利用了这个漏洞,目标至少包括了七个国家的九个组织。在这三次活动中共有 14 个被攻击的国家,除了乌克兰、约旦和阿拉伯联合酋长国的几个机构外,其余所有受影响的组织都属于北约成员国。这些组织的关键词如下:攻击者在发送的邮件中附加特殊的 MAPI 属性,将触发 Outlook 邮件服务器解析带有以上属性的邮件时,向攻击邮件中设置的由攻击者控制的服务器 UNC 路径发起基于 SMB 的 NTLM 认证
17、请求,从而导致 NTLM 凭证泄露。该漏洞共享托管在攻击者控制的服务器上,无论收件人是否看到该消息,该漏洞都会被利用。攻击者远程发送由.msg(Outlook 中提醒的消息格式)表示的恶意日历邀请,以使用“PidLidReminderFileParameter”触发易受攻击的 API 端点 PlayReminderSound。当受害者连接到攻击者的 SMB 服务器时,与远程服务器的连接会自动发送用户的 NTLM 协商消息,攻击者可以使用该消息对支持 NTLM 身份验证的其他系统进行身份验证,从而绕过安全防护。APT 28(亦称 FANCY BEAR),被西方网络安全情报社区认为和俄罗斯军方存在
18、联系。APT 28使用Outlook 0day漏洞攻击至少30个组织能源生产和分配管道运营物资、人员和空运国防部外交部内政部经济部ATTACKERTARGETOutlook.MSG fileSends calendar itemto email recipientAttacker utilizes an extendedMessage Application Programlnterface(MAPl)property totransmit a message to the targetCalendar item(.msg file)goes to mail serverCustomer ac
19、cessesthe.MSG in the formof a reminder ofcalendar inviteTarget A/B initiates connectionfor NTLM Auth(SMB)WebDAV HTTP communication/resposnses from the attackerAttacker target share(SMB)Outlook email server(Target A)Outlook email client(Target B)Attacker WebDAV server(HTTP)NTLM Authentication(SMB)Web
20、DAV Communication(HTTP)132a2b4072023APT趋势洞察报告userid:520426,docid:164596,date:2024-06-11,乌克兰国家安全与国防委员会(NDSC)报告称,APT 29(亦称 COZY BEA)在 11 月发现的攻击活动中一直在利用 WinRAR 中的 0day 漏洞 CVE-2023-38831。据监测,这个 APT 组织使用了特制的 ZIP 存档,该存档在后台运行脚本以显示 PDF 诱饵,同时下载 PowerShell 代码以获取并执行有效负载。该组织针对多个欧洲国家,包括阿塞拜疆、希腊、罗马尼亚和意大利。攻击者使用了一份诱
21、饵文件(名为“DIPLOMATIC-CAR-FOR-SALE-BMW.pdf”),其中包含了可供出售给外交实体的宝马汽车的图像。这份武器化文档嵌入了利用 WinRAR 漏洞的恶意内容。此漏洞产生的根本原因在于对 ZIP 压缩文档的错误处理。在用户打开无害文件的过程中,系统会无意中处理具有匹配名称的文件夹中隐藏的恶意内容,从而能够执行任意代码。值得注意的是,攻击者引入了一种新技术,该技术允许与恶意服务器进行通信,使用 Ngrok 免费静态域来访问托管在 Ngrok 实例上的服务器。APT 29 在本次攻击中采用宝马汽车待售的诱惑主题,这种策略在过去就已经出现过。然而,CVE-2023-38831
22、 WinRAR 漏洞的部署是一种新颖的方法,揭示了它们对不断变化的威胁形势的适应性。APT 29利用0day漏洞和诱饵文件发起攻击082023APT趋势洞察报告攻击技巧视角092023APT趋势洞察报告发展历程BYOVD,全称为 Bring your own vulnerable driver,指的是攻击者向目标环境植入一个带有漏洞的合法驱动程序,通过漏洞利用获取内核权限以杀死/致盲终端安全软件等。一旦终端安全防护被攻破,入侵者将能够自由地开展恶意行动。最初,这项技术主要由顶级 APT 组织如 Turla 和方程式使用,随着攻击成本的降低,其它攻击组织也开始采用这项技术。在过去的一年,BYOV
23、D 威胁事件频繁发生。根据对本年度的 BYOVD 场景的追踪,我们可以明显地观测到该场景已经从APT/勒索组织逐渐下沉,被黑灰产技术所采用。这一转变也验证了深瞻情报实验室针对该场景的预设。BYOVD等驱动滥用的相关攻击技巧BYOVD 威胁事件(2023)UNC2970BYOVD 攻击组件:ene.sysSCATTERED SPIDERBYOVD 攻击组件:iqvw64.sysAgonizing SerpensLockbitBYOVD 攻击组件:procexp.sysBlackCatBYOVD 攻击组件:zam64.sysCubaBYOVD 攻击组件:aswarpot.sysAPT勒索VulnD
24、river 公开库建立BYOVD 开源演示项目增多BYOVD 工具公开/私密售卖其他银狐BYOVD 攻击组件:mhyport2.sys黑灰产BYOVD 攻击组件:gmer64.sys102023APT趋势洞察报告利用方式分析利用成本分析在 BYOVD 利用工具的选择上,攻击者可能会进行自主开发或合入开源项目,而部分自主开发的工具也是基于开源项目的改进,如在 23 年上半年的攻击活动中 APT 组织 UNC2970 和勒索组织 Lockbit 分别使用了自己的 BYOVD 利用工具LIGHTSHOW 和 AuKill,其中 AuKill 与开源 BYOVD 利用项目 Backstab 存在相似性
25、,下图展示了 Backstab 与 AuKill 的一些相似函数。LOLDrivers 项目记录在案的,可供攻击者滥用的合法驱动程序数量约 700+,而除此之外,还存在着一些未被记录的或仅被攻击者所掌握的可用于攻击活动的合法驱动程序,这意味着攻击者拥有一个充足的库来发起 BYOVD 攻击。另一方面,LockBit 在 2022 年 11 月的勒索攻击中直接合入了 Backstab 开源工具,同样被勒索组织合入的 BYOVD 利用工具还有 SpyBoy Terminator,该工具于 5 月下旬在网上公开售卖,后先后被勒索和 APT 组织投入真实攻击活动。112023APT趋势洞察报告此外,在
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2023 APT 趋势 洞察 报告
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【宇***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【宇***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。