2021年网络安全威胁的回顾与展望
时间 : 2022年01月28日 来源: 安天CERT
导语
2021年是“十四五”的开局之年,在年度国家网络安全宣传周期间举办的网络安全产业发展论坛上,安天提出网络安全领域在“十四五”期间面临着三个重大的历史任务:系统重塑网络安全空间国防和国家安全能力;全面提升关键信息基础设施安全防护水平,有效保障国民经济体系的数字化转型;充分满足公民个人信息和隐私的安全保障需求[1]。
新冠疫情仍在全球扩散蔓延,加速世界经济、政治、科技和治理格局的深刻调整和演化,在外部环境的不稳定性、不确定性不断凸显的时代背景下,科学制定方针政策,统筹发展,抓机遇迎挑战,就能转危为机,让内外部环境更好地服务于我国“十四五”规划,建设更高水平的平安中国。在网络空间安全领域各类风险具有极高的复杂性,为更好的适配系统重塑网络安全空间国防和国家安全能力的时代诉求,我们既要全面规划指引、提升企事业单位网络安全防护水平等长策,还要为应对“黑天鹅”、“灰犀牛”做好准备,对突发重大的地缘性安全事件、重大高烈度冲突事件做好应对准备等急策。安天制作了2021年全球APT攻击行动、组织归属地理位置分布(活跃)图,来揭示未知APT活动“阴谋”涌动和已知的APT组织“阳谋”尽显。
2021年9月1日起正式施行的《关键信息基础设施安全保护条例》,是网络安全需求侧改革的重要举措,使关键信息基础设施安全问题不再只是单纯的建设运营机构自身安全防护问题,其建构在关键信息基础设施安全与国家安全、社会安全、政企机构安全以及人的安全四个层面相关的维度上,形成了需求导向和指引。在过去一年安天围绕威胁检测和对抗的能力建设上做了大量的工作,在网络对抗核心且致命的主战场——供应链战场持续发力,为保障国民经济数字化转型,以期为关键信息基础设施安全更好地保驾护航。
继2021年6月1日《中华人民共和国数据安全法》出台后,《个人信息保护法》于2021年8月20日正式通过,两部法律已先后于2021年6月10日、11月1日正式施行。如果说《中华人民共和国数据安全法》标志着我国数据法律的基本架构有了参考样本,那么《个人信息保护法》就标志着我国数据法律体系中具有重要意义的一块拼图终于落定,其具有划时代的意义,为破解个人信息保护中的热点难点问题和数字经济健康发展提供强有力的法律保障。本报告举例了2021年影响力较大的文件数据和个人信息数据泄露事件,用以起到警示作用。
在每年冬训营上发布年报的预发布版,征求参会专家的意见建议,是安天多年坚持的传统。
在今年的年报中,安天总结了APT、勒索软件、挖矿木马、钓鱼邮件、数据泄露、供应链安全、威胁泛化等方向的思考与观点:
关于APT:
网络安全已成为事关各国主权、安全和发展利益的重大问题,能够观察到更多的未知APT攻击活动“阴谋”涌动、已知的APT组织“阳谋”尽显。攻击组织为达成战略目的会不断更新、修改战术,阴谋暗涌,也会融合鱼叉式网络钓鱼、漏洞利用等技术为阳谋战略、伺机而动。预计未来以对特定目标人物为重点的情报搜集和信息窃取为目的的攻击活动会逐年增多。当前针对APT组织分析不再需要信息爆炸式的曝光和披露,而是需要更多详细分析、准确溯源和高价值的报告。正所谓差之毫厘,谬以千里,对于不能确定背景的事件需谨慎对待,以免引发APT情报和溯源归因上的蝴蝶效应。
关于勒索软件:
勒索软件攻击仍然保持广撒网与定向攻击并存,定向勒索攻击能力已达“APT”水平。由于定向攻击对受害者造成的影响较大,在行业内外都会引起关注,部分参与攻击事件的勒索软件组织迫于外界各方压力,选择暂避锋芒,让外界以为其退出勒索市场,实则是在更名后卷土重来。勒索软件组织增加新型勒索方式,已现“三重勒索”;少量勒索软件不加密只勒索;“破坏式”勒索软件再现。勒索软件发展逐渐呈现组织化和链条化的特征,并通过职能划分来提高组织运营的整体效率。定向勒索攻击能力已达“APT”水平,基础防护已经无法应对这种攻击,必须构建纵深防御并配合多重安全防护策略来应对定向勒索软件攻击。
关于挖矿木马:
我国大力开展整治虚拟货币“挖矿”活动,已有显著成效。
由于挖矿木马的多功能集成性,结合目前云市场的规模和发展,攻击者针对云主机的挖矿活动将持续增长,利用威胁情报有助于快速发现并处置挖矿木马。
关于钓鱼邮件:
在定制化钓鱼活动攻击过程中,其针对性和威胁性都呈现了递进特征,诱惑性更强,攻击成功率相对更高。邮箱的“邮件自动转发”功能成为一个隐蔽性高的泄密渠道。
关于数据泄露:
造成信息泄露事件的主要原因是数据库或者云存储设施配置错误以及管理人员操作不当,而导致数据泄露的主要原因是黑客入侵和勒索软件攻击。保护数据信息安全不能抱有侥幸心理,应在数据安全风险来临之前及时发现薄弱点,为薄弱环节增加防护策略和手段,以降低数据泄露的可能性。我国对公民个人信息保护力度不断加大,并通过立法加强对公民个人信息进行保护,通过《中华人民共和国个人信息保护法》为破解个人信息保护中的热点难点问题和数字经济健康发展提供了强有力的法律保障。
关于威胁泛化:
物联网的兴起、发展、成熟都需要经历一个漫长的时期,其日益增长的可用性以及相对脆弱的安全性,一直是攻击者寻找短板的目标。由于疫情防控需求,企业员工在疫情期间持续居家办公的时间变长,带来物联网安全的“连锁反应”,增加了智能设备的攻击窗口。
1.APT
2021年疫情当下,网络安全已成为事关各国主权、安全和发展利益的重大问题,能够观察到更多的未知APT攻击活动“阴谋”涌动、已知的APT组织“阳谋”尽显。安天CERT梳理了2021年全球APT组织及行动的分布和活跃情况,制作了“全球APT攻击行动、组织归属地理位置分布(活跃)图”,其中APT组织共561个(由于图片空间有限仅展示主要攻击组织),根据图示可以发现其主要分布于美国、俄罗斯、印度、伊朗、朝鲜半岛、中东及部分国家和地区,部分组织由于情报较少未能确定归属国家或地区。
图1-1 2021年全球主要APT攻击行动、组织归属地理位置分布(活跃)图
1.1 疫情当下,APT攻击活动“阴谋”涌动、“阳谋”尽显
在《2017网络安全威胁的回顾与展望》[2]中,安天曾提到“随着攻击组织的不断被分析曝光,APT攻击正在转化为网络空间的战略阳谋”。在此之后的四年时间里,安天已经熟识一些活跃APT组织的TTPs,例如可以关注到来自南亚次大陆的“白象”、“苦象”、“幼象”等组织不同批次的攻击活动和试探。从全球APT攻击行动活跃分布图来看,境外针对我国的APT攻击活动试探从未停止过,2021年继续受疫情影响,针对医疗、医药行业的攻击显著增长。与此同时,政府、军工、电力、能源、外交、教育、机械重工等行业仍为攻击者重点关注的领域。
近年来发现针对中东、中亚、东南亚等欠发达地区的未知攻击活动明显增多,意味着越来越多的具有国家背景的APT组织参与到中美在东南亚、中亚、中东地区有关经济的竞争活动中。攻击者通常会使用通过钓鱼邮件或攻陷暴露到外网的机器,以此进入这些单位的内部网络,随后,会窃取被控机上的重要文档,收集信息,并尝试横向移动。多数时候,攻击活动使用开源代码工具、或者设置假旗(False Flag)伪装成其他APT组织活动,尽管安全防护设备和安全从业者能够拦截大部分攻击活动,但在未狩猎到APT组织活动的最终目标TTPs、投放其专属的特种木马载荷之前,亦无法阻止“阴谋”暗涌。
另一方面,更多熟悉的APT组织利用钓鱼网站、鱼叉式网络钓鱼、密码喷射等阳谋策略,针对目标进行钓鱼攻击活动。
表1-1 2021年活跃的APT组织
|
组织 |
攻击手法 |
攻击手法标签化 |
攻击目标 |
|
B组织 |
搭建相关卫生部门官网的钓鱼站点,传播诱饵文件发送钓鱼邮件的形象传播诱饵文件 |
钓鱼网站 钓鱼邮件 |
医疗、防疫、科研相关行业 |
|
Y组织 |
仿冒我国相关单位企业邮箱 |
钓鱼网站 |
政府、军工企业 |
|
H组织 |
鱼叉邮件攻击,邮件附件使用与新冠病毒疫情相关的诱饵文档,包括lnk文件、白加黑文件组合 |
钓鱼邮件 |
中国医疗机构 |
|
以鱼叉式网络钓鱼邮件方式植入病毒 |
鱼叉式网络钓鱼 |
政府、高校 |
|
|
M组织 |
利用与疫情相关的诱饵文件,最终释放特种木马 |
钓鱼邮件 |
外交部门,军工、核能等重点企业 |
|
K组织 |
利用与疫情相关的诱饵文件,释放python编写的木马 |
钓鱼邮件 |
韩国政府部门、大学教授等目标 |
|
T组织 |
利用与疫情相关的资讯进行攻击活动 |
钓鱼邮件 |
印度政府、军事目标等 |
|
X组织 |
使用“疫情优秀教师推荐表”相关诱饵文档 |
定向针对某大学 |
|
|
C组织 |
通过伪造疫情相关的文档以及钓鱼网站 |
钓鱼网站 |
医疗行业 |
|
L组织 |
利用新冠疫情信息进行钓鱼攻击使用各类诱饵主题的鱼叉邮件,针对特定目标投递lnk恶意附件安装后门程序等 伪装成标题为"QQ邮箱中转站文件"或“从QQ邮箱发来的超大附件”钓鱼页面伪装成网易邮箱官方登录页面 |
钓鱼邮件 钓鱼网站 |
长期针对国内政府、军工、教育等领域的重要机构 |
|
D组织 |
疫情期间利用国内某VPN软件0day漏洞 |
0day漏洞 |
对我国驻外、政府等机构发起大规模攻击 |
|
F组织 |
密码喷射和暴力破解 |
密码喷射 暴力破解 |
在临床试验的疫苗制造商、临床研究组织以及开发新型冠状肺炎测试的组织。 |
|
未知 |
利用仿冒的钓鱼邮件发送钓鱼网站欺骗用户输入账号密码 |
钓鱼邮件 钓鱼网站 |
Microsoft Teams远程办公用户 |
今年3月以来,我们已捕获多起针对我国和南亚次大陆国家的“钓鱼”攻击活动,主要攻击目标为中国、巴基斯坦等国家的政府、国防军事以及国企单位。该组织采取的攻击方式包括搭建钓鱼网站、使用恶意安卓应用程序攻击手机,用Python等语言编写的木马窃取电脑上的各种文档文件、浏览器缓存密码和其他一些主机系统环境信息。该组织通过向国际公开的安全资源上传自己编写的木马,来测试木马逃逸杀毒软件的能力,但也因此暴露了其所在位置。通过对相关资源的检索,能够发现至少一名样本的上传作者来自印度德里,其在2020年11月23日至2020年11月24日期间一共上传了8个测试性的恶意文件,而这些测试文件与已知的“幼象”样本在代码内容上也存在高度同源。从攻击活跃的频度来看,该组织目前已有超越同源的“白象”、“苦象”等组织的趋势,未来很有可能成为来自南亚的主要攻击组织,需要对其进行重点跟踪和关注。
从2017年到2021年,很多APT攻击手段TTPs,例如鱼叉式网络钓鱼已经被攻防双方所熟悉。但这些TTPs依然是有效的、活跃的,已经成为很多具有国家背景的APT组织作为战略阳谋。攻击组织为达成战略目的会不断更新、修改战术,阴谋暗涌,也会融合鱼叉式网络钓鱼、Nday漏洞利用等技术为阳谋战略,伺机而动。
1.2 利用移动设备攻击成常态,中东、南亚演绎高级威胁
IOS系统因为其系统封闭性以及安全封闭性,安全生态体系基本依赖苹果公司自行解决。但是IOS系统并非坚不可摧,其在高级漏洞抵御层面并不占据优势。早在2016年8月,就曾曝出Pegasus间谍木马攻击一名阿联酋社会活动家的事件中,使用了三个针对IOS的0-day漏洞实现攻击。2021年7月,《卫报》、《华盛顿邮报》等17家媒体合作对Pegasus软件展开调查[3]。结果显示,在间谍软件的监控名单上,大约有5万个电话号码,这些号码涉及全球的记者、企业主管和政界人士。2021年9月份有报道称,至少五名法国现任内阁部长的手机上发现了以色列间谍软件Pegasus的痕迹。在这之前,根据一份泄露的Pegasus项目数据,法国总统马克龙、前总理爱德华·菲利普以及多达20名内阁成员被发现是Pegasus的攻击目标。
在以色列间谍软件公司NSO兜售间谍软件Pegasus的活动上,背后的攻击组织看到了高级威胁态势一个新的可能,意味着非专业的国家背景的行为体可以购买专业的软件实施攻击活动。
另一方面,近年来看到更多来自中东、尤其南亚的APT组织在移动端所作的努力,例如安天观察到“幼象”组织在2020年8月等时间段利用恶意安卓应用程序针对尼泊尔进行的攻击活动。恶意安卓应用程序伪装成印度-尼泊尔领土争端问题的民意调查App,当受害者安装并打开恶意安卓应用程序后,恶意安卓应用程序便会要求受害者授予其系统权限,成功获得权限后,便通过Accessibility Service(无障碍辅助服务,是Google专门为残障人士设计的一个服务,可以让他们更方便地操作手机)来监控受害者手机。当受害者在手机上输入文本、点击控件以及点击按钮时,其便会将手机IP地址、当前时间以及对应事件类型等数据回传至C2服务器。根据同C2的大多安卓样本皆绑定Metasploit子包的情况,不排除该民意调查App在实际投放前也会绑定Metasploit远控木马的可能。
图1-2 “幼象”组织使用的恶意安卓应用
如果移动端与传统PC端办公网络连接,网络威胁也很可能在传统的PC端与移动端切换。以色列间谍软件公司NSO公司虽然被苹果公司起诉,但是更多的公司看到了这样的发展机会和巨大的利益诱惑,预计未来以对特定目标人物为重点的情报搜集和信息窃取为目的的攻击活动会逐年增多。
1.3 松散的情报引用使更多的归因结果不严谨或不可靠
目前主流的溯源思维可区分为“第一性原理式”的从头溯源和基于情报知识的对比溯源。十余年业内丰沛且激增的情报积累使得众多溯源工作不必从头再来,有时分析人员经过不断尝试“提取-查询-对比”的流程,或使用具备自动化识别代码共享或资产同源关系的威胁归因引擎,就能引用关联到的已有情报快速地得出一定的归因结论。但情报的生产工作并不都是十分严谨,懒惰或推责式的情报引用也不可取。在生产过程中,生产方自身的情报运营和研判能力各异,例如会表现出关键数据匮乏或分析推进不够深,都可能导致情报的性质和内容出现偏差,再加上生产链路发散,审核过程不够严谨等原因,就可能导致不可靠的归因结论被公开且广泛传播。此后,掌握不同可靠程度关联证据的分析人员,可能会对外部的不可靠归因结论做简单引用,而不就事论事做进一步追查,导致有问题的情报被进一步放大传播从而产生“三人成虎”的效应。
目前网络安全厂商或团队每年披露的APT分析文章、报告数量极多,其中有部分厂商或团队给出的事件归因是并不严谨、甚至是错误的,这些报告会进一步误导其他分析人员,从而导致后续一系列的误判和错误归因,有的已经影响到攻击事件的溯源和组织的发现。当前针对APT组织分析不再需要信息爆炸式的曝光和披露,而是需要更多详细分析、准确溯源和高价值的报告。正所谓差之毫厘,谬以千里,对于不能确定背景的事件需谨慎对待,以免引发APT情报和溯源归因上的蝴蝶效应。
2.勒索软件
纵观2021年发生的勒索攻击事件,我们可以发现勒索软件攻击组织为获利而不择手段,不断丰富勒索方式。在2020年的年报中,我们曾预测勒索软件攻击能力不断提高,定向勒索攻击能力接近“APT”水平。从2021年勒索软件发展情况和定向攻击事件案例来看,勒索软件的发展趋势印证了这一预测,且攻击能力已达“APT”水平。
非定向勒索攻击的应对策略是打造相应安全基线,包括但不限于补丁策略、安全加固、终端安全防护、数据备份等手段以及人员的安全意识等方面;针对定向勒索攻击,则是在非定向攻击应对策略的安全运营基础上,增加建立纵深防御、安全服务,针对关键信息基础设施的防护,则还需要进行IT和OT的网络隔离和协同防护,使用多种数据设备备份等安全措施来提升安全水平。对于此类威胁,仅仅依靠网络拦截是不够的,必须强化端点的最后一道防线,必须强调终端防御的有效回归,在终端侧应部署立足于有效防护的终端防御软件。
勒索软件行业日趋成熟,行业发展逐渐呈现出组织化和链条化的趋势。勒索软件攻击者通过丰富勒索方式,在窃密与加密的基础上结合多种方式向受害者施压,在攻击方式上主要通过网络钓鱼、漏洞利用、利用僵尸网络分发攻击载荷和口令爆破等。伴随勒索软件即服务(RaaS)在地下论坛盛行,初始访问经纪人(IAB)的地位显著提高,攻击者利欲熏心,对中小型企业的攻击难以满足其私欲,将攻击目标转向大型有价值的企业。勒索软件攻击仍然保持广撒网与定向攻击并存,定向勒索攻击能力已达“APT”水平。由于定向攻击对受害者造成的影响较大,在行业内外都会引起关注,部分参与攻击事件的勒索软件组织迫于外界各方压力,选择暂避锋芒,让外界以为其退出勒索市场,实则是在更名后卷土重来。
2021年,安天CERT发布了多篇勒索软件分析报告,在安天《每周典型威胁分析》中发布了30多条勒索软件信息,并将2021年流行的勒索软件进行了梳理,形成家族概览,进行分享[4]。
表2-1 活跃勒索软件家族及攻击案例
|
家族 |
受害者 |
攻击时间 |
影响 |
|
Clop |
石油巨头皇家壳牌 |
2021年3月 |
生产服务器宕机,公开大量窃取到的数据文件 |
|
Babuk(Babyk) |
华盛顿特区大都会警察局 |
2021年4月 |
办公机无法使用,窃取250GB文件 |
|
DarkSide(BlackMatter) |
美国成品油管道运营商Colonial Pipeline |
2021年5月 |
输送油气的管道系统被迫下线,大量文件被窃取,要求支付700万美元作为赎金 |
|
Ragnar Locker |
台湾存储组件制造商ADATA |
2021年5月 |
办公系统和生产服务器无法运行,窃取1.5TB的数据 |
|
RansomEXX |
厄瓜多尔国营电信运营商CNT |
2021年7月 |
导致业务运营、支付门户和客户支持中断 |
|
REvil(Sodinokibi) |
Kaseya |
2021年7月 |
加密了大约60家托管服务提供商和1500多家企业,并索要高达7000万美元的赎金 |
|
LockBit 2.0 |
全球IT咨询服务商埃森哲 |
2021年8月 |
窃取了6TB的文件,并要求5000万美元的赎金;在此次攻击中增加了DDoS攻击威胁,实现三重勒索 |
|
DoppelPaymer(Grief) |
美国全国步枪协会(NRA) |
2021年9月 |
办公系统无法正常运行,大量数据文件被泄露 |
|
Conti |
跨国公司JVCKenwood |
2021年9月 |
办公环境无法正常使用,窃取了1.5TB的文件,并要求支付700万美元作为赎金业务运营、支付门户和客户支持中断 |
|
Avaddon(Haron) |
MAX
International |
2021年12月 |
生产服务器宕机,窃取700GB文件 |
2.1 勒索软件组织增加新型勒索方式,已现“三重勒索”
通过观察过去一年中发生的勒索软件攻击事件,采用“双重勒索”方式在勒索软件运营中已经成为主流趋势,即“窃取数据+加密文件”的方式,在系统文件被加密导致工作无法正常运营的情况下,再把窃取到的数据进行泄露,对受害者造成的影响将难以估量,以此为条件会增加索要赎金的成功率,未来会有更多的勒索软件组织采用此方式。在“双重勒索”的基础上,勒索软件组织增加新型勒索方式,已现“三重勒索”:即在“窃密+加密”的方式上衍生出为获取更多赎金和向受害者施压的方式,利用所窃取的数据信息对利益相关方出售或勒索窃密数据中涉及到的相关人员,以此获得更多赎金。REvil(Sodinokibi)勒索软件组织在2021年2月份宣布升级到“三重勒索”方式,增加了DDoS攻击,向受害人的合作伙伴和媒体的电话进行VoIP(基于IP的语音传输)轰炸。部分组织在“三重勒索”方式的基础上,纵向发展出更多的手段,包括勒索软件组织联系媒体以鼓动对受害者的新闻报道,威胁要压低上市公司的股价等。
2.2 少量勒索软件“不加密只勒索”
Babuk勒索软件组织在2021年4月宣布,未来不再对受害者系统文件进行加密,只窃取数据文件,这样就不会引起执法机构对其进行过多的关注。从该组织的发表声明中可以看出:勒索软件组织并不想把勒索事件影响扩大,只窃取数据,并不想因加密数据而导致受害者企业业务停产并引起外界各方关注,想与被勒索企业达成协议,其本质上只想获取佣金而不想与执法机构为敌。安天CERT认为未来会有一小部分勒索软件组织只对企业进行数据窃取并勒索赎金,而不对目标系统数据进行加密,尽量在不影响企业正常运转的前提下与企业达成协议。
2.3 “破坏式”勒索软件再现
与常见的勒索软件不同,有一类勒索软件在勒索程序执行后不对数据进行加密,而是采用数据覆盖或数据擦除的方式,对受害者系统中的文件进行破坏。
安天于2021年发现一个采用.NET框架开发的名为Combo13的勒索软件。其并未采用加密算法进行文件加密,而是采用随机字节数据覆盖的方式覆盖文件全部的原始数据,从而造成文件数据的彻底损坏。无论受害者是否支付赎金,攻击者都无法为受害者恢复文件。以破坏为目的的攻击行动,同样可以伪装为定向勒索攻击行动。由于勒索软件对数据和文件加密会导致系统或业务失能的后果,此前也曾出现过伪装成勒索攻击,但实际目标是破坏系统运行,从而实现网络空间攻击转化为物理空间影响的事件。
2.4 勒索软件呈现组织化,攻击流程链条化
勒索软件发展逐渐呈现组织化和链条化的特征,并通过职能划分来提高组织运营的整体效率。职能大致分为勒索程序开发、勒索软件即服务(RaaS)管理、初始访问、攻击载荷投放、数据泄露平台运维和“数据恢复”中间商等。
图2-1 勒索软件组织化和链条化示意图
通过观察其攻击流程,我们可以看到这样一个链条:开发人员根据实际需求编写出基础版本的勒索程序,通过勒索软件即服务在地下论坛中运营,用以拓展攻击载荷投放成员,以定制化服务开发攻击载荷变种,凭借初始访问经纪人提供的登录凭证入侵到受害者系统中,实现攻击载荷投放;在实现加密操作之前,会在受害者系统中驻留一段时间,从而窃取受害者系统中的数据文件,并将窃取到的数据文件回传至攻击者特定的服务器中,经过筛选后通过数据泄露平台进行公开展示,数据泄露平台运维根据时间限定和赎金支付进度等情况作为参考,选择公开更多数据或将受害者信息与其对应的数据进行移除;当受害者谋求以数据恢复的方式恢复被加密文件,向外界求助时可能会遇上“数据恢复”中间商,其声称可以对文件进行恢复,实则是以低于实际赎金的价格从攻击者手中获取解密工具,从而赚取差价或分成。
2.5 定向勒索攻击能力已达“APT”水平
2021年8月,一名自称是Conti勒索软件组织的附属机构成员,因分赃不均心怀不满,在地下论坛泄露了该组织用于培训附属成员的资料,其中包括了如何在受害者网络中内部访问、横向移动、升级访问权限、持久化驻留、数据窃取相关手册和技术指南等文件。通过泄露的资料进行综合研判,我们可以看出组织已经具备“APT”水平的定向勒索攻击能力,并将这种能力通过勒索软件即服务(RaaS)进行扩散,未来将会有更多的攻击者具备“APT”水平的定向勒索攻击能力。
2020年,我们曾预测勒索软件攻击能力不断提高,定向勒索攻击能力接近“APT”水平[5]。而2021年,从勒索软件发展情况和定向攻击事件案例来看,勒索软件攻击者在侦察、初始访问、持久化、防御规避、凭证访问、发现、横向移动、收集、命令与控制、数据渗出和影响等ATT&CK阶段的资源和能力与APT组织的资源和能力属于同一水平。
企业面对日益严峻的定向勒索攻击,定向勒索攻击大多针对大型有价值目标,进行定制化攻击,提高攻击成功率的同时尽最大可能获利。定向勒索攻击能力已达“APT”水平,基础防护已经无法应对这种攻击,必须构建纵深防御并配合多重安全防护策略来应对定向勒索软件攻击。
2.6 勒索软件组织为暂避锋芒,使用“更名”方式卷土重来
2021年5月,美国成品油管道运营商Colonial Pipeline遭到DarkSide勒索软件攻击,该起攻击导致美国东部沿海主要城市输送油气的管道系统被迫下线。此次事件被认为是对美国关键信息基础设施造成最具破坏性的网络攻击事件之一。并迅速引发美国国内和全球的广泛关注,DarkSide勒索软件组织迫于各方压力,选择关闭勒索软件基础运营设施。但该组织成员并未就此罢休,而是以另外一种身份卷土重来,2021年7月一个名为BlackMatter的勒索软件,多次针对美国关键信息基础设施单位发起攻击,我们通过关联对比分析发现,BlackMatter勒索软件前身很可能就是DarkSide。
此类情况之前也有发生,例如GandCrab勒索软件组织部分人员不想收手,利用源代码重新开发新的勒索软件,更名后转变成REvil(Sodinokibi)勒索软件继续作案。也存在部分新出现的勒索软件,通过伪装成其他活跃度较高的勒索软件来进行攻击。安天CERT之前曾发现了一个模仿Locky的中文勒索软件[6],可能因为其自身知名度不高难以引起受害者重视,亦或是为了转移外界注意力。
安天CERT预测,未来会有更多的勒索软件组织迫于外界各方压力,为暂避锋芒选择更名后卷土重来,但实则这些勒索软件组织背后的运营者相同。
3.挖矿木马
一般情况下,挖矿分为被动型和主动型:被动型一般是指挖矿木马,是指在用户不知情的情况下被植入挖矿程序,获取的虚拟货币归植入挖矿程序的入侵者所有;主动型是指人员主动利用计算资产运行挖矿程序,获取的虚拟货币归计算资产所有者或使用者所有。
• 被动型挖矿:随着近几年加密货币等虚拟货币的兴起和数字货币的价值持续走高,大量黑产组织持续运营挖矿木马,挖矿木马的开源也导致获取挖矿木马的成本下降,2021年上半年,因门罗币等数字货币价值上涨过快,挖矿木马涨势凶猛。2021年流行的挖矿木马家族有DTLminer、H2Miner、8220Miner、TeamTNT等。
• 主动型挖矿:极大消耗电力资源,却未给经济发展带来任何贡献,严重影响社会生产生活,消耗服务器计算资源,进一步影响经济发展。2021年下半年,国家发展和改革委员会发布《关于整治虚拟货币“挖矿”活动的通知》,为有效防范处置虚拟货币“挖矿”活动盲目无序发展带来的风险隐患,深入推进节能减排,助力如期实现碳达峰、碳中和目标[7],大力开展整治虚拟货币“挖矿”活动。随着各项举措的全面深入实施,我国打击挖矿活动已有显著成效。
3.1 针对云主机的挖矿活动将持续增长
近几年,越来越多的企业业务开始向云上迁移,随之而来的是攻击者针对云主机的挖矿活动频繁发生。这些攻击者投放的挖矿木马通常都具备几种特征:其一是针对性,通过在脚本文件中添加结束并卸载各云服务提供商在云主机运行安全检测程序代码,规避各云主机的安全检测。除此之外,还有通过在其扫描工具中针对某一或多个云服务提供商的IP地址段进行探测,如安天CERT发布的《针对某云平台服务器的“云铲”挖矿木马事件分析》[8];其二是集成性,挖矿木马除了主要的挖矿程序还包括端口扫描、漏洞利用、后门等相关组件,实现横向传播、广泛传播、构建僵尸网络;其三是竞争性,通过收集的其他挖矿木马的相关特征,在对目标主机植入挖矿木马,事先会结束目标主机上的其他挖矿木马,如安天CERT发布的《双平台传播——活跃的H2Miner组织挖矿分析》[9];其四是持久性,通过添加计划任务、创建服务、设置自启动等手段实现长期驻留目标系统;其五是隐蔽性和对抗性,通过进程隐藏、命令替换、进程互锁等方式,实现对抗排查和处置。
安天CERT认为,由于挖矿木马的多功能集成性,结合目前云市场的规模和发展,攻击者针对云主机的挖矿活动将持续增长,利用威胁情报有助于快速发现并处置挖矿木马。
3.2 挖矿木马运营组织可能新增勒索或窃密业务
为有效防范处置虚拟货币“挖矿”活动盲目无序发展带来的风险隐患,深入推进节能减排,助力如期实现碳达峰、碳中和目标,国家下发有关通知,大力整治“挖矿”活动,全国各企事业单位纷纷制定有关规定。而对于其中的恶意挖矿活动,国内各安全厂商也陆续发布针对挖矿木马的解决方案。
大部分挖矿木马背后的运营组织都具备僵尸网络组织者属性,原因在于他们在对目标投放挖矿木马的同时也会植入后门程序,组建僵尸网络,构建了强大的恶意软件投放能力。在其面临上述整治背景下,为了保证其组织盈利性,其中一部分组织可能会自研勒索软件并传播,来实现勒索获取赎金的目的;一部分可能会与其他恶意软件运营组织合作,利用自身构建的僵尸网络和漏洞利用手段,协助传播包括勒索、窃密等在内的恶意软件,在这过程中获取一定的合作费用。
4.钓鱼邮件
钓鱼邮件作为一种利用社会工程学的攻击方式,在网络钓鱼和载荷投递方面具有一定的优势,常被各种攻击组织所使用。
在后疫情时代,由于国家相关部门发布和实施了的严防严控方案,虽然国内不存在大规模病毒传播状况,但还可能存在一些局部聚集和零散传播的情况。因此,间断性的居家办公将是一种常态化的生产生活状态,在面临有针对性的钓鱼邮件时,脱离企业级防护能力下的终端,被入侵的风险将有所提升。
由于我国对于疫情信息的权威性通知和公众获取疫情信息渠道的多样性,利用疫情信息针对公众的钓鱼邮件投递活动将越来越少或效果较差。但由于新冠病毒的变异性,在出现新的变异毒株时,不排除还会存在针对医疗、病毒和疫苗研究机构的钓鱼邮件投递活动。以热点事件作为噱头,投递钓鱼邮件也是攻击者喜好的一种攻击方式。在2022年中,随着冬奥会、两会、二十大的陆续召开,包括APT组织在内的网空威胁体也将可能对有关目标进行针对性的钓鱼活动。
4.1 针对性的递进式钓鱼活动诱惑性更强
攻击者通过前期钓鱼活动,获取目标相关信息。在后期,通过综合研判获取的信息,定制化的对相关目标展开更具针对性的钓鱼邮件投递活动,实现攻击者既定目标。如以人力部门的名义骗取员工个人信息、以财务部门的名义骗取汇款或银行卡信息、以科研部门的名义骗取科研信息等。在定制化钓鱼活动攻击过程中,其针对性和威胁性都呈现了递进特征,诱惑性更强,攻击成功率相对更高。
在2021年中,安天CERT就曾监测到多起递进式的钓鱼活动。受害方为某企业财务部门,攻击者通过钓鱼邮件,获取了该部门财务人员邮箱账号信息。以此信息登录该员工邮箱,通过查看以往的收发件,分析目标所处部门,利用该员工具备企业内部人员属性的邮箱,以财务部门的名义,对其他员工下发“有关缴税的通知”的邮件,并附带提前搭建的钓鱼网站链接,诱导目标提交个人银行卡账号和密码等信息。
4.2 邮箱的邮件自动转发功能成为一个泄密渠道
安天CERT在日常网络安全监测中,发现过多起由邮件自动转发功能引起的窃密事件:攻击者通过对目标发送钓鱼邮件的方式,诱导目标提交邮箱账号密码,以此登陆目标邮箱,设置邮件自动转发至攻击者邮箱,实现获取目标接收的所有邮件的目的。对于用户而言,如果没有定期对邮箱进行安全检查,是很难感知这种泄密方式的,即使发现异常登陆,在不知道邮箱还存在这种威胁的情况下,大部分用户可能只对邮箱密码进行修改。对于攻击者而言,这种方式在一次登陆设置后,能达到长期窃密的目的,攻击成本低,效果好。由于邮箱的这种设置,在邮件自动转发时不会记录在日常邮件发送日志中,具有高度的隐蔽性。
4.3 钓鱼邮件中钓鱼网站标识载体有所变化
攻击者主要通过钓鱼邮件投递钓鱼网站链接,诱导目标点击访问,进一步达成钓鱼攻击目的。其通过将钓鱼网站的URL生成二维码,结合诱导性邮件正文附加在钓鱼邮件中,暗示目标使用手机访问。由于手机用户无法直接观察完整的URL,且当其访问网页时,注意力更多聚焦于网页内容上,这就降低目标对钓鱼链接的警惕性,进一步提高钓鱼攻击命中率。
攻击者还采用钓鱼邮件投递具备钓鱼网站页面特征的html文件,诱导目标本地访问,填写账号密码提交表单,实现通过POST回传攻击者服务器或JavaScript获取表单信息并发送至攻击者邮箱。采用这种投递html文件形式进行网络钓鱼,不必搭建钓鱼网站,避免了因钓鱼网站网页特征和域名而被披露的风险,同时也降低了攻击成本。
5.数据泄露
当前,新冠疫情仍在全球蔓延,新冠疫情的大流行已经成为全球共同面临的重大灾难,全球的互联网安全也深受此次疫情影响。
5.1 针对医疗机构的网络攻击“阴云不散”
在新冠疫情流行的背景下,针对医疗机构的网络攻击一直“阴云不散”:2021年1月,经欧洲药品管理局(EMA)透露,攻击者窃取了某医疗机构新冠疫苗药物和疫苗相关的一些文件,并将其泄露到网上[10];2021年8月,微软的开发平台Power Apps由于配置不当,导致1000多个Web应用程序暴露了3800万份记录,其中包括来自多个新冠接触者追踪平台、疫苗接种登记、工作申请门户网站和员工数据库的数据[11];2021年8月1日,泰国某疫苗预约网站上线,由于用户的私人信息没有得到保护,导致超过20000名用户的电子邮箱和个人信息被泄露[12]。
上述事件表明,对于医疗机构或国家重点行业而言,保护数据信息安全不能抱有侥幸心理,应在数据安全风险来临之前及时发现薄弱点,为薄弱环节增加防护策略和手段,以降低数据泄露的可能性。
图5-1 2021年影响力较大的文件数据泄露事件
图5-2 2021年影响力较大的个人信息数据泄露事件
5.2 SnoarQube弱口令及配置不当引发源代码及敏感信息泄漏
2021年10月以来,有境外黑客组织利用SonarQube软件的漏洞,对我国多个企业发起攻击,窃取了我国多个重要领域信息系统源代码数据,并在境外互联网进行非法售卖。“该黑客组织的上述行为严重侵犯我企业知识产权,对我国国家安全和企业利益造成严重威胁。”CNCERT呼吁该黑客组织立即停止网络攻击行为[13]。
SonarQube是一个开源的代码质量管理系统。支持超过25种编程语言,能提供代码重用、编码标准、单元测试、代码覆盖率、代码复杂度、潜在Bug、注释和软件设计报告等代码管理功能。
官方的技术手册对SnoarQube的安装和配置做出了安全方面的建议,同时在官方文档中暴露了默认用户名密码均为admin,而经过测试存在问题的SnoarQube系统大多因为默认配置未更改或访问安全校验不严格而导致未授权访问或默认用户密码可登录的情况,从而导致源代码泄露。由于SnoarQube系统配置不当,导致的未授权访问及弱口令问题。致使攻击者利用该漏洞访问暴露在公网当中的API接口,使用系统默认配置口令进入平台,下载源代码文件,获取系统敏感信息。从而引发大规模的源代码及敏感信息泄漏事件,该事件对使用SonarQube系统的单位及组织产生严重影响。
5.3 2021年泄露事件、泄露数据与泄露信息呈现“三高”趋势
2021年数据泄露事件的数量与2020年相比有增无减,个人信息泄露量以及文件数据泄露量巨大,对个人以及企业机构造成的影响十分严重。形成泄露事件次数、泄露数据大小和泄露信息数量的全面高位的“三高”趋势。
今年影响力较大的数据泄露事件主要发生在互联网以及各类型企业,其次是政府部门、生活服务类和公共服务机构。其中,网络安全公司Cognyte以及英国数据分析公司Polecat遭遇的数据泄露最为严重,分别导致50亿条记录泄露以及30TB文件数据泄露。造成信息泄露事件的主要原因是数据库或者云存储设施配置错误以及管理人员操作不当,而导致数据泄露的主要原因是黑客入侵和勒索软件攻击。
5.4 立法与打击治理并行,为隐私保护提供有力保障
随着互联网大数据时代的高速发展,我们享受着互联网带给我们便利的同时,也不得不关注随之而来的个人信息泄露问题。个人信息泄露造成的身份信息盗窃往往会导致一系列的金融诈骗、信用欺诈等不良后果,并带有一定的社会负面影响。据新华社2021年1月26日报道,江苏省镇江市丹阳市公安局成功侦破一起公安部督办的侵犯公民个人信息案,涉及10多个省市,抓获犯罪嫌疑人30名。该团伙采用境外社交软件和区块链虚拟货币进行交易,共贩卖个人信息6亿余条,违法所得800余万元。该团伙通过搭建虚假网贷平台,非法获取公民个人信息,并利用购买或者非法获取的公民信息进行诈骗,受害群众达200余人[14]。在大数据的时代背景下,用户数据是商业价值的重要来源,因此其成为了黑客的针对目标,同时也是非法平台中销售的主要数据类型。个人信息泄露会带来一系列的连锁威胁,不单单会造成金融诈骗、信用欺诈等后果,泄露的数据也会形成精准的用户画像。通过对衣、食、住、行、社交和娱乐方面相关的泄露信息进行交叉分析,就会勾勒出一个虚拟“人类”。
个人信息泄露极大的威胁了公民的身份、财产等安全,加强保护个人数据和信息保护成为国家需要面对的重要课题。我国对公民个人信息保护力度不断加大,并通过立法加强对公民个人信息进行保护。2021年8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》。自2021年11月1日起施行。法律明确不得过度收集个人信息、大数据杀熟,对人脸信息等敏感个人信息的处理作出规制,对个人信息保护投诉、举报工作机制等进行了完善,为破解个人信息保护中的热点难点问题和数字经济健康发展提供了强有力的法律保障。
6.威胁泛化
在2013年,安天用恶意代码泛化(Malware/Other)一词,说明安全威胁向智能设备等新领域的演进,之后“泛化”一直是安天所关注的重要威胁趋势。
目前,我们熟悉的设备和物品正通过物联网变得更加互联和智能化。在网络强国战略、新基建等国家战略的推动下,我国物联网行业稳步增长,IPv6、NB-IoT、5G等网络建设步伐加快推进;在政策、经济、社会、技术等多因素的驱动下,物联网发展也变得越来越快速,正赋能更多的行业与业务,例如家居、交通、电力、水利等涉及关键民生的业务场景,而这也让我们所使用的网络信息安全迎来了新的挑战。智能设备出现安全隐患将会带来一系列影响,路由器、交换机沦为挖矿、僵尸网络的“肉鸡”;智能音箱、智能摄像头等成为隐私泄露窗口;关键信息基础设施“宕机”影响民生业务等。
物联网的兴起、发展、成熟都需要经历一个漫长的时期,其日益增长的可用性以及相对脆弱的安全性,一直是攻击者寻找短板的目标。2020年全球爆发新冠疫情,为了助力疫情防控,“无接触式”服务设备兴起,例如人脸识别智能测温、智能收银秤、防疫售卖柜等。另外,疫情防控催化了部分智能设备的增长,例如智能门锁、智能开窗通风系统、以及因疫情滞留在外,可监控家里人员出入情况、宠物情况的智能监控系统。与此同时,由于疫情防控需求,企业员工在疫情期间持续居家办公的时间变长,带来物联网安全的“连锁反应”,增加了智能设备的攻击窗口。其中,智能摄像头是智能设备的“重灾区”,攻击者远程攻破智能摄像头获取照片、视频资料,转向第三方售卖,或是破解摄像头账号、密码打包售卖等活动异常猖獗,俨然已经形成了黑色产业链。今年以来,中央网信办会同工信部、公安部、市场监管总局深入推进摄像头偷窥等黑产集中治理工作,对非法利用摄像头偷窥个人隐私画面、交易隐私视频、传授偷窥偷拍技术等侵害公民个人隐私行为进行集中治理。
智能设备的优势是有目共睹的,但大部分用户的关注点更多在于其突出的“智能”的应用作用,而忽略了至关重要的安全问题。一旦出现安全风险将影响个人隐私、经济利益,甚至是危害健康。2021年11月,某黑客组织从韩国700多个公寓的智能家居设备中窃取了照片和视频等文件,并在网络上通过比特币进行售卖。2021年10月,Nespresso咖啡机被黑客入侵,由于机器的智能卡支付系统使用了不安全的技术,从而导致黑客拥有购买咖啡的无限资金。2021年10月初,知名医疗器械巨头美敦力(Medtronic)因其的胰岛素遥控器设备存在的潜在安全风险可导致攻击者复制遥控器发出的射频信号,对受害者进行恶意剂量的远程推注,严重威胁患者健康而紧急召回相关胰岛素设备。
当前,安全威胁泛化已经成为常态,安天依然采用与前几年年报中发布“网络安全威胁泛化与分布”一样的方式,以一张新的图表来说明2021年威胁泛化的形势。
