威胁报告
威胁报告
2023 年 2 月
2023 年 2 月
2022 年第 4 季度威胁活动概述
2022 年第 4 季度,威胁实施者依旧肆意横行,存在感十足。面对严峻的安全态势,Trellix Advanced Research Center 团队在已有数百名最优秀安全分析师和研究人员的基础上,继续投入更多威胁情报研究资源,为网络安全赋能助力。
在这份报告中,我们将为大家分享行业领先的威胁情报,揭示刚刚过去的这个季度有哪些主要的威胁实施者和威胁软件家族、频发的威胁活动以及常用的攻击技术。不仅如此,我们还扩展了数据来源,从勒索软件组织的数据泄露网站和网络安全行业报告中收集有关数据。随着 Trellix 资源的扩展,我们的威胁研究范畴也得以扩大,纳入了“网络安全形势”、“云安全事件”、“端点安全事件”和“安全运营”等新内容。
自发布上一份威胁报告以来,Trellix Advanced Research Center 团队便一直在全球范围内开展调查和研究工作,并取得了显著成果,包括:发布分析文章“Gamaredon 的推波助澜致使针对乌克兰的网络攻击在第 4 季度激增”;为 61,000 个开源项目修补安全漏洞;以及发布《2023 年威胁预测》报告,对 2023 年可能出现的新型攻击进行分析、提供洞见。
得益于 Trellix Advanced Research Center 团队的不懈努力和精益求精,他们对这份最新报告做出的改进使客户和整个网络安全行业能够更好地从报告中了解安全威胁态势,从而做出更好的应对。下面是对报告内容的重点摘要:
勒索软件
- 突破性地针对第 4 季度最具影响力的勒索软件组织 LockBit 3.0 展开深入研究
- 勒索软件继续肆虐全球,尤其是在美国
- 勒索软件瞄准包括工业产品与服务在内的多个行业
民族国家攻击活动
- 民族国家攻击活动瞄准包括政府和交通运输在内的多个行业
- 位于美国的企业备受民族国家攻击活动侵扰
离地攻击 (LOLBIN)
- Advanced Research Center 追踪技术,更详细探索 Cobalt Strike 的“在野”利用情况
- 云提供商托管了大量 Cobalt Strike Team 服务器
- 在报告的攻击活动使用最多的前 10 种操作系统二进制文件中,Windows Command Shell 占比近一半
威胁实施者
- 中国、朝鲜和俄罗斯是威胁实施者最为集中的前三个国家
电子邮件安全趋势
- 在足球世界杯期间,观察到阿拉伯国家/地区的恶意电子邮件数量大幅增加
- 洞察网络钓鱼和语音钓鱼攻击活动,包括常用的假冒手段以及语音钓鱼攻击中经常出现的企业名称主题词
网络安全
- 第 4 季度最具影响力、最值得关注的攻击,以及最常使用的 WebShell、工具和技术
依托于 Trellix XDR 的安全运营遥测数据
- 常见的安全警报、漏洞利用、日志源以及盛行的 MITRE ATT&CK 技术
- 云安全事件
- 针对 Azure、AWS 和 GCP 检测到的攻击及使用的技术
- 最常使用的攻击技术以及检测到的主要安全事件
威胁情报主管寄语
Trellix Advanced Research Center 团队非常高兴与大家分享本期的威胁报告,这是基于 2022 年最后一个季度的数据制作而成的一份重要报告。一如既往,本期报告也在往期报告的基础之上进一步做出了改进,不仅包含通过我们的产品传感器网络获取的全新数据,还从其他数据源收集数据,例如勒索软件组织的数据泄露网站和我们用于跟踪在野利用情况的基础设施,并从中捕捉到宝贵洞见。Trellix 致力于保护客户免受恶意攻击和威胁的侵害,即使面对络绎不绝的威胁实施者发起的源源不断且花样百出的攻击活动,我们仍然不忘初心、坚守使命。如今,地缘政治局势和经济前景依然复杂、不确定性加大,因此,对全球威胁情报的需求也随之增加。
从全球来看,乌克兰战争让经济环境陷入更大的不确定性,引发了自 20 世纪 70 年代以来最大的能源价格动荡,给世界经济造成了沉重打击。欧洲再次爆发战争也敲响了欧盟安防的警钟,使人们开始质疑欧盟安防策略以及是否有能力捍卫其利益,尤其是在网络空间。美国政府同样也意识到有必要解决地缘战略竞争、保护关键基础设施以及打击来自国外的信息操纵和干扰。SolarWinds、Hafnium、乌克兰战争等事件的爆发,促使美国政府和国会两党采取行动,包括制定新的安全标准和提供资金援助,这些行动在很大程度上建立在美国做出的承诺以及历届美国政府的工作基础之上。在动荡不安的全球局势之下,企业、公私机构的网络安全将受到怎样的影响?民主价值观又将受到怎样的影响?
在过去的这个季度,我们的团队发现网络已成为国之利器,被积极用于间谍活动、战争和虚假信息的散布,服务于国家的政治、经济和领土争夺目的。乌克兰战争还催生了新型网络攻击,激进的黑客从中敏锐察觉到可乘之机,更加肆无忌惮地入侵网站、泄露信息和实施 DDoS 攻击。与此同时,传统形式的网络攻击仍在继续肆虐。网络钓鱼等社会工程学手段仍然十分盛行,常被用于诱骗个人泄露机密或私人信息。
勒索软件仍在全球横行,许多企业和机构深受其害。正如我们在新冠疫情期间观察到的那样,网络犯罪分子会在危机和动荡时局之中找到可乘之机,迅速牟利。威胁格局在不断变化,我们的研究亦当如此。我们将坚守使命,始终专注于提升产品功效,向客户和所有相关方提供切实可行的优质情报与洞见,帮助大家保护最宝贵的资产。这份报告是整个 Trellix Advanced Research Center 团队的心血之作,相信您能够从报告中看到我们对这项工作的重视程度。团队中的每一位研究人员和每一位专家在对待每一个项目时,都尽心竭力、一丝不苟——这份报告亦是如此。
如果您对这份报告有任何看法,或者有任何想要进一步了解的主题,请随时通过 Twitter 联系我或我们的团队 (@TrellixARC)。新一届 RSA 大会将于 4 月份在旧金山召开,期待届时与大家见面。
研究方法
Trellix 的后端系统提供遥测数据,我们以这些数据作为季度威胁报告的信息来源。我们会结合利用遥测数据、与威胁相关的开源情报以及对勒索软件、民族国家活动等普遍威胁的内部调查。
我们所说的遥测是指检测,而非感染。检测的含义是当我们的某个产品检测到文档、URL、IP 地址或其他指标就会记录下来并向我们报告。
例如,据我们所知,有越来越多的组织正在使用功效测试框架,即通过部署真实的恶意软件样本来测试防御效果。这种行为当然不是感染,但也会被我们的遥测数据检测到。
我们仍在持续改进和完善对遥测误报数据的分析和筛选,在此过程当中,可能会发现以往报告中没有的新威胁类别。
另外,随着更多 Trellix 团队参与进来并提供相关数据,新威胁类别也会被不断发现,这份季度报告也将变得更加丰富和全面。
客户的隐私至关重要。当需要进行遥测并将数据映射到客户所在的行业和国家/地区时,客户隐私也同样重要。每个国家/地区的客户群不同,数量可能会有所增加,这意味着我们必须更深入地研究收集到的数据。示例:根据数据分析,电信行业的分数总是很高。这并不一定意味着该行业极易受到攻击。电信行业也包含 ISP 提供商,他们拥有可供企业购买的 IP 地址空间。这意味着什么?通过 ISP 的 IP 地址空间提交的内容将显示为电信行业的检测数据,但实际上该内容可能来自于在其他行业运营的 ISP 客户。
2022 年第 4 季度勒索软件活动
在这一部分,我们将对收集到的各种勒索软件活动数据进行分析和解读。为更加全面客观地呈现勒索软件威胁格局,并确定 2022 年第 4 季度最具影响力的勒索软件家族,我们从多个来源收集有关数据。第一个来源是关于勒索软件攻击活动的定量统计数据,基于 Trellix 客户遥测数据与勒索软件入侵指标 (IoC) 之间的关联。第二个来源是定性数据,基于我们的威胁情报团队对网络安全行业发布的大量报告所做的审阅、剖析和解读。最后,第三个来源是一个新增的数据源,我们从多个勒索软件组织的“数据泄露网站”中抓取一组勒索软件受害者报告,并对这些报告进行规范化和匿名化处理,然后分析、提炼进而得出洞察结果。
威胁格局如同一幅复杂拼图,而我们提供的这些不同数据源和不同的分析视角就好比是一块块拼图碎片。单凭一个数据源无法拼凑出全貌,因为每一个数据源都存在自身的局限性。没有人可以访问互联网上的所有系统记录的所有日志,并非所有安全事件都会公开报告,也不是所有遭受勒索的受害者的数据都会出现在泄露网站中。反之,通过整合不同的数据源和分析视角,可以更加全面地了解不同的威胁,同时减少我们的认知盲点。
只有结合利用不同来源的定量和定性数据,同时考量可能存在的局限性和盲点,才能做出明智研判。
2022 年第 4 季度勒索软件活动要点
第 4 季度最具影响力的勒索软件组织:LockBit 3.0
- 1st The LockBit 3.0 leak site reported the most victims among ransomware groups in the quarter. 这表明,LockBit 最倾向于通过点名羞辱的方式来向受害者施压。
- 2nd LockBit 3.0 ranked second – alongside Cuba Ransomware – among the most reported ransomware groups by the security industry, as analyzed by the various campaigns collected by the Threat Intelligence Group.
- 3rd LockBit 3.0 ranked third among the most prevalent ransomware groups in the quarter according to the ransomware telemetry analysis gleaned from the Trellix’s global sensors.
下面是 2022 年第 4 季度更多有关 LockBit 的调查发现:
2022 年第 4 季度受 LockBit 3.0 影响最大的行业
29
根据从 LockBit 3.0 受害者数据泄露网站收集到的信息,在 2022 年第 4 季度,工业产品与服务行业受 LockBit 3.0 影响最大。
2022 年第 4 季度受 LockBit 3.0 影响最大的企业所在国家/地区
49
根据从 LockBit 3.0 受害者数据泄露网站收集到的信息,在 2022 年第 4 季度,美国企业受 LockBit 3.0 影响最大 (49%),其次是英国企业。
从遥测数据看勒索软件
以下统计数据基于我们在遥测数据与威胁情报知识库之间建立的关联。我们先对选定时期内的数据进行分析,由此确定一系列攻击活动,并提取其特征。下面显示的统计数据反映的是确实的攻击活动,而不是单纯的检测数据。我们的全球遥测数据检测到由各勒索软件组织发起的若干攻击活动的入侵指标 (IoC)。下面所示的勒索软件家族及其使用的工具和技术,是在我们识别的攻击活动中表现最为活跃的勒索软件家族。同样,随后也列出了受这些攻击活动影响最大的国家/地区和行业。
2022 年第 4 季度最活跃的勒索软件家族
22
Cuba 是 2022 年第 4 季度最为活跃的勒索软件家族。Zeppelin 勒索软件是 Vice Society 常用的勒索软件。Yanluowang 勒索软件组织则发生了聊天记录泄露事件,详情请阅读此文章
2022 年第 4 季度勒索软件组织最常使用的恶意工具
41
2022 年第 4 季度,Cobalt Strike 是勒索软件组织最常使用的恶意工具。
1.
Cobalt Strike
41%
2.
Mimikatz
23%
3.
BURNTCIGAR
13%
4.
VMProtect
12%
5.
POORTRY
11%
2022 年第 4 季度勒索软件组织最常使用的 MITRE ATT&CK 技术
1.
加密数据以造成影响
17%
2.
系统信息发现
11%
3.
PowerShell
10%
4.
入口工具传输
10%
5.
Windows Command Shell
9%
2022 年第 4 季度勒索软件组织最常使用的非恶意工具
21
2022 年第 4 季度,Cmd 是勒索软件组织最常使用的非恶意工具。
1.
Cmd
21%
2.
PowerShell
14%
3.
Net
10%
4.
Reg
8%
5.
PsExec
8%
2022 年第 4 季度受勒索软件组织影响的主要国家/地区
29
根据 Trellix 遥测数据,在 2022 年第 4 季度,美国是受勒索软件组织影响最大的国家。
2022 年第 4 季度受勒索软件家族影响的主要行业
29
根据 Trellix 遥测数据,在 2022 年第 4 季度,外包与托管是受勒索软件组织影响最大的行业。这与勒索软件数据泄露网站中披露的受害组织平均规模有关,因为很多组织自身没有分配的 IP 地址块,故而依赖于第三方托管服务提供商。
从行业报告看勒索软件
以下统计数据基于网络安全行业的公开报告,以及我们对这些报告所做的内部研究。请注意,并非所有勒索软件事件都会公开报告。就受关注程度而言,许多老牌勒索软件家族自然不如在特定时期内新出现的家族。基于这些标准,以下衡量指标反映了网络安全行业认为第 4 季度最具影响力、最值得关注的勒索软件家族。
2022 年第 4 季度最活跃的勒索软件家族
15
根据网络安全行业报告,在 2022 年第 4 季度,Black Basta 和 Magniber 是通报最多的勒索软件家族。
2022 年第 4 季度勒索软件家族最常使用的攻击技术
19
根据网络安全行业报告,在 2022 年第 4 季度,“加密数据以造成影响”是勒索软件家族最为常用的攻击技术。
1.
加密数据以造成影响
19%
2.
Windows Command Shell
11%
3.
系统信息发现
10%
4.
入口工具传输
10%
5.
PowerShell
10%
2022 年第 4 季度勒索软件家族攻击最多的行业
16
根据网络安全行业报告,在 2022 年第 4 季度,医疗行业受到的勒索软件家族攻击最多。
2022 年第 4 季度勒索软件家族攻击最多的国家/地区
19
根据网络安全行业报告,在 2022 年第 4 季度,美国受到的勒索软件家族攻击最多。
第 4 季度勒索软件组织最常使用的 MITRE ATT&CK 技术 2022
1.
CVE-2021-31207
CVE-2021-34474
CVE-2021-34523
16%
16%
16%
2.
CVE-2021-34527
13%
3.
CVE-2021-26855
CVE-2021-27065
9%
9%
2022 年第 4 季度,通报的勒索软件家族使用的恶意工具
44
根据网络安全行业报告,在 2022 年第 4 季度,Cobalt Strike 是通报的勒索软件家族最常使用的恶意工具。
1.
Cobalt Strike
44%
2.
QakBot
13%
3.
IcedID
9%
4.
BURNTCIGAR
7%
5.
Carbanak
SystemBC
7%
7%
2022 年第 4 季度,通报的勒索软件家族使用的非恶意工具
21
根据网络安全行业报告,在 2022 年第 4 季度,PowerShell 是通报的勒索软件家族最常使用的非恶意工具。
1.
PowerShell
21%
2.
Cmd
18%
3.
Rund1132
11%
4.
VSSAdmin
10%
5.
WMIC
9%
2022 年第 4 季度勒索软件“数据泄露网站”受害者报告
通过将多个勒索软件组织“数据泄露网站”中的零散信息进行拼凑梳理,我们得到了这一部分的统计数据。当谈判陷入僵局或受害者拒绝在勒索软件组织设定的截止日期前支付赎金之时,勒索软件组织便会在这些网站上发布从受害者处窃取的信息,以此向受害者施压。我们使用开源工具 RansomLook 收集这些网站中的各个帖子,并在内部对数据进行规范化和匿名化处理,然后分析、提炼进而形成最终的受害者研究结果。
需要注意的是,并非所有勒索软件受害者都会在数据泄露网站中遭到披露。许多选择支付赎金的受害者不会被披露。以下衡量指标反映的是勒索软件组织为实施勒索或报复而披露的受害者数量,而不是遭受勒索的受害者总数。
2022 年第 4 季度披露受害者最多的勒索软件组织
26
2022 年第 4 季度,在各自数据泄露网站披露受害者数量排名前 10 的勒索软件组织中,LockBit 3.0 排名第一,占 26%。
2022 年第 4 季度受勒索软件组织影响的行业(基于数据泄露网站统计数据)
32
根据勒索软件组织数据泄露网站披露的受害者情况,在 2022 年第 4 季度,工业产品与服务行业受勒索软件组织影响最大。工业产品与服务涵盖主要用于建筑和制造的所有物质产品及无形服务。
2022 年第 4 季度受勒索软件组织影响的企业所在国家/地区(基于数据泄露网站统计数据)
63
2022 年第 4 季度,从不同勒索软件组织在各自数据泄露网站中披露的排名前十位的受害企业来看,位于美国的企业最多,紧随其后的是英国 (8%) 和加拿大
2022 年第 4 季度民族国家攻击活动统计数据
在这一部分,我们将对收集到的民族国家攻击活动数据进行分析和解读。这些数据来自多个不同来源,以便更加全面、客观地呈现威胁格局。第一个数据源是 Trellix 客户遥测数据与民族国家攻击团伙入侵指标 (IoC) 之间的关联,我们从中得到了关于民族国家攻击活动的定量统计数据。第二个数据源则是我们的威胁情报团队对大量行业报告的剖析解读,我们从中获得了宝贵的观点与洞察。
2022 年第 4 季度民族国家攻击活动要点
- 美国和德国的民族国家攻击活动显著增多。
- 第 4 季度,中国和越南现身于民族国家攻击活动中。
从全球遥测数据看民族国家攻击活动
以下统计数据基于我们在遥测数据与威胁情报知识库之间建立的关联。我们先对选定时期内的数据进行分析,由此确定一系列攻击活动,并提取其特征。下面显示的统计数据反映的是确实的攻击活动,而不是单纯的检测数据。通过各项日志汇总、客户对威胁模拟框架的使用以及与威胁情报知识库建立高级关联,我们手动对数据进行过滤以满足相应衡量标准。
我们的全球遥测数据检测到由高级可持续威胁 (APT) 组织发起的若干攻击活动的入侵指标 (IoC)。下面显示在识别的民族国家攻击活动中,表现最为活跃的威胁实施者、他们所在的国家/地区以及他们使用的工具和技术。同样,随后也列出了受这些攻击活动影响最大的国家/地区和行业。
民族国家攻击活动遥测数据洞察
2022 年第 4 季度民族国家支持的威胁实施者最为集中的国家/地区
71
2022 年第 4 季度,中国是民族国家支持的威胁实施者最为集中的国家。
2022 年第 4 季度最活跃的威胁实施组织
37
根据民族国家攻击活动遥测数据,在 2022 年第 4 季度,Mustang Panda 是最为活跃的威胁实施组织。
2022 年第 4 季度民族国家攻击活动最常使用的 MITRE ATT&CK 技术
1.
DLL Side-Loading
14%
2.
Rundll32
13%
3.
混淆文件或信息
12%
4.
Windows Command Shell
11%
5.
注册表运行键/启动文件夹
10%
第 4 季度民族国家攻击活动最常使用的恶意工具 2022
1.
PlugX
24%
2.
BLUEHAZE
23%
3.
DARKDEW
23%
4.
MISTCLOAK
23%
5.
ISX Remote Access Trojan
2%
2022 年第 4 季度民族国家攻击活动最常使用的非恶意工具
1.
Rundll32
22%
2.
Cmd
19%
3.
Reg
17%
4.
Ncat
12%
5.
Regsv132
6%
Countries Most Impacted by Nation-State Activity Q4 2022
55
2022 年第 4 季度,美国受民族国家攻击活动影响最大。
Sectors Most Impacted by Nation-State Activity Q4 2022
69
2022 年第 4 季度,交通运输行业受民族国家攻击活动影响最大。
从 2022 年第 4 季度公开的报告看民族国家攻击活动
以下统计数据基于行业公开报告和 Trellix 内部研究,而不是来自客户日志的遥测数据。请注意,并非所有民族国家攻击事件都会公开报告。许多同样采用已知 TTP 的民族国家攻击活动不太容易出现在报告中,因为行业报告更青睐那些采用新手段或攻击者出现失误的攻击活动。以下衡量指标反映了网络安全行业认为在 2022 年第 4 季度最值得关注和思考的民族国家攻击活动。
根据报告的民族国家攻击活动,2022 年第 4 季度最主要的威胁实施组织所在国家/地区
37
公开报告的民族国家攻击活动来自中国(2022 年第 4 季度)。
1.
中国
37%
2.
朝鲜
24%
3.
伊朗
1%
4.
俄罗斯 / Россия
1%
5.
印度
1%
根据报告的民族国家攻击活动,2022 年第 4 季度最活跃的威胁实施组织
33
从报告的民族国家攻击活动来看,在 2022 年第 4 季度,Lazarus 是最为活跃的威胁实施组织。
1.
Lazarus
14%
2.
Mustang Panda
13%
3.
APT34
АРТ37
APT41
COLDRIVER
Patchwork
Polonium
Side Winder
Winnti Group
各 1%
2022 年第 4 季度民族国家攻击活动最常使用的非恶意工具
1.
Rund1132
22%
2.
Cmd
19%
3.
Reg
17%
4.
Ncat
12%
5.
Regsv132
6%
根据报告的民族国家攻击活动,2022 年第 4 季度受攻击最多的国家/地区
16
从报告的民族国家攻击活动来看,在 2022 年第 4 季度,美国受到的攻击最多。
根据报告的民族国家攻击活动,2022 年第 4 季度受攻击最多的行业
33
从报告的民族国家攻击活动来看,在 2022 年第 4 季度,政府部门受到的攻击最多,其次是军队 (11%) 和电信行业 (11%)。
2022 年第 4 季度在报告的民族国家攻击活动中最常使用的恶意工具
1.
PlugX
22%
2.
Cobalt Strike Korea
17%
3.
Metasploit
13%
4.
BlindingCan
9%
5.
Scanbox
ShadowPad
ZeroCleare
各 9%
2022 年第 4 季度在民族国家攻击活动中最常使用的非恶意工具
1.
Cmd
32%
2.
Rund1132
20%
3.
PowerShell
14%
4.
Reg
8%
5.
Schtasks.exe
7%
2022 年第 4 季度在报告的民族国家攻击活动中最常使用的 MITRE ATT&CK 技术
1.
入口工具传输
13%
2.
系统信息发现
13%
3.
混淆文件或信息
12%
4.
Web 协议
11%
5.
文件或信息反伪装/解码
11%
2022 年第 4 季度在报告的民族国家攻击活动中利用的安全漏洞
CVE-2017-11882
CVE-2020-17143
CVE-2021-44228
CVE-2021-21551
CVE-2018-0802
CVE-2021-26606
CVE-2021-26855
CVE-2021-26857
CVE-2021-27065
CVE-2021-26858
CVE-2021-34473
CVE-2021-28480
CVE-2021-34523
CVE-2021-28481
CVE-2015-2545
CVE-2021-28482
CVE-2017-0144
CVE-2021-28483
CVE-2018-0798
CVE-2021-31196
CVE-2018-8581
CVE-2021-31207
CVE-2019-0604
CVE-2021-40444
CVE-2019-0708
CVE-2021-45046
CVE-2019-16098
CVE-2021-45105
CVE-2020-0688
CVE-2022-1040
CVE-2020-1380
CVE-2022-30190
CVE-2020-1472
CVE-2022-41128
CVE-2020-17141
离地攻击 (LOLBIN) 和第三方工具:2022 年第 4 季度
借助 Insights 平台的跟踪与观察,我们在 2022 年第 4 季度威胁态势方面获得了以下数据和洞见:
2022 年第 4 季度离地攻击活动要点
- 初始访问、执行、发现、持久性到影响力,离地攻击仍然占有一席之地。
- 2022 年第 4 季度数据显示,离地攻击延续了之前的趋势,通过 Windows Command Shell 或 PowerShell 执行命令和脚本是离地攻击最常(滥)用的技术手段。
- 它们被各类威胁实施者广泛用于实施网络犯罪活动,包括经验丰富的高级可持续威胁 (APT) 组织、以牟利为目的犯罪团伙以及激进的黑客等。
不仅如此,新手小白、脚本小子和浅尝辄止的“一次性”玩家也会利用已经存在于流行的攻击框架中的二进制文件“浑水摸鱼”,试图悄悄地黑入某个服务器或利用某个安全漏洞。
从初始访问、执行、发现、持久性到影响力,各种离地攻击技术仍在被(滥)用于执行恶意任务。• 根据 2022 年第 4 季度收集到的数据,我们发现离地攻击延续了之前的趋势,通过 Windows Command Shell 和 PowerShell 执行命令和脚本是离地攻击最常(滥)用的技术手段。
2022 年第 4 季度最常利用的操作系统二进制文件
47
在 2022 年第 4 季度最常使用的 10 个操作系统二进制文件中,Windows Command Shell 占比接近一半 (47%),其次是 PowerShell (32%) 和 Rundl32 (27%)。
1.
Windows Command Shell
47%
2.
PowerShell
32%
3.
Rund132
27%
4.
Schtasks
23%
5.
WMI
21%
2022 年第 4 季度最常利用的第三方工具
1.
远程访问工具
58%
2.
文件传输
22%
3.
后渗透工具
20%
4.
网络发现
16%
5.
AD 发现
10%
它们被各类威胁实施者广泛用于实施网络犯罪活动,包括经验丰富的高级可持续威胁 (APT) 组织、以牟利为目的犯罪团伙以及激进的黑客等。不仅如此,新手小白、脚本小子和浅尝辄止的“一次性”玩家也会利用已经存在的二进制文件“浑水摸鱼”,试图悄悄地黑入某个服务器或利用某个安全已知或未知的漏洞。
在借助 Insights 平台分析处理各类安全事件之后,我们发现有攻击者利用 Windows 二进制文件来部署其他恶意软件,例如信息窃取程序、远程访问木马或勒索软件等。另外,MSHTA、WMI 或 WScript 等二进制文件或许也被执行用于从攻击者控制的资源中检索额外负载。
远程访问和控制工具一直都是威胁实施者最常利用的一类工具,而安全领域从业者使用的工具也一直遭到恶意滥用。威胁实施者会利用此类工具来激活 keepalive 信标、实现自动渗透或者收集并压缩目标信息。
在免费和开源工具中,软件打包程序常被威胁实施者用于重新打包植入了恶意内容的合法软件或对恶意软件进行加壳,以期绕过安全检测并阻碍分析。
2022 年第 4 季度对 Cobalt Strike 活动的观察与见解
Advanced Research Center 的威胁情报团队通过将负载与基础设施追踪方法进行有效结合,来监测 Cobalt Strike Team 服务器 (Cobalt Strike C2s) 的“在野”利用情况。对收集到的 Cobalt Strike 信标进行分析之后,我们获得以下重要发现:
15
Cobalt Strike 试用版许可
通过观察在野利用情况,发现只有 15% 的 Cobalt Strike 信标具有试用版 Cobalt Strike 许可。这一版本的 Cobalt Strike 拥有这种后渗透框架的大部分已知功能。但是,它添加了“识别”功能并删除了传输中加密,以使安全产品可以轻松检测到有效负载。
5
Host Http 标头
据观察,至少 5% 的 Cobalt Strike 信标使用了 Host Http 标头,这是通过 Cobalt Strike 实现域前置的手段之一。采用域前置技术的目的是非法利用托管多个域的内容交付网络 (CDN)。通过这种技术,攻击者能够将指向恶意网站的 HTTPS 请求伪装成指向合法网站的 TLS 连接。
87
Rundll32.exe
Rundll32.exe 存在于 87% 的已识别信标中,它是用于衍生会话和执行后渗透作业的默认进程。
22
DNS 信标
在识别的 Cobalt Strike 信标中,DNS 信标占 22%。这类负载通过 DNS 查询与攻击者的 Cobalt Strike Team 服务器(该域的权威服务器)通信,以隐藏活动踪迹。
2022 年第 4 季度托管 Cobalt Strike Team 服务器最多的国家/地区
50
在 2022 年第 4 季度检测到的 Cobalt Strike Team 服务器中,有一半的服务器托管在中国,这主要是因为中国的云托管服务规模极大。
2022 年第 4 季度 GootLoader 活动
GootLoader 是一种模块化恶意软件,有时也称为“GootKit”或“GootKit Loader”。目前,GootLoader 恶意软件现有的模块化功能可用于分发其他恶意软件负载,包括 REvil、Kronos、Cobalt Strike 和 Icedid。
从近期的安全事件来看,GootLoader 通过利用搜索引擎优化 (SEO),将毫无防备的用户诱导至受感染网站或虚假网站,且网站上托管了含 JS (JavaScript) 文件负载的存档文件。不过,使用这种攻击技术时,需要毫无防备的用户打开存档文件并执行其中的内容,这样才会通过 Windows Scripting Host 执行恶意 JS 代码。成功执行后,GootLoader 将启动 C2 通信并检索额外的恶意软件。
GootLoader 是一种可疑的订阅式“恶意软件即服务”(MaaS),允许威胁实施者加载多个额外的恶意负载,因此可对企业环境构成严重威胁。
我们通过内部追踪工具对 GootLoader 进行追踪后发现,2022 年 11 月 18 日出现一个“在野”利用的新变体,而某些早期变体自 2022 年 11 月 13 日后逐步销声匿迹。最新变体发生的变化表现在以下方面:
- 去除了注册表操纵功能
- 将远程网络请求数量增加到 10 个 URL,而不再是 3 个
- 能够通过 CScript 直接调用 PowerShell 脚本
- 能够在每个用户登录时持久执行。
我们对 Gootloader 的追踪流程
Gootloader 新变体是在经过多层混淆后演变而来。解包后的每个嵌套阶段都会使用从上一个阶段加载的变量,这使得分析工作变得更加困难。我们通过 YARA 进行追踪并将收集到的样本输入一个静态 JavaScript 和 PowerShell 分析器,以提取各项入侵指标 (IoC),例如远程命令和控制(C&C 或 C2)服务器以及唯一 ID 签名。通过这些 IoC,可识别和跟踪在野利用的特定 Gootloader 实例。
然后,我们通过查询 Trellix URL 信誉团队数据库来处理提取的 Gootloader IoC,以识别恶意域、可能已遭受入侵的合法域,以及用作诱饵以妨碍分析的合法域。
Gootloader 遥测数据洞察
我们将客户日志与遥测数据提取的 IoC 进行关联,从而识别 Gootloader 攻击活动;下面所示统计数据反映的是攻击活动,而不是单纯的检测数据。就 Gootloader 而言,我们检测到的大多数活动都是基于域攻击。由于 Gootloader 使用诱饵域,因此相关统计数据应视为具有中等置信度的恶意活动。
2022 年第 4 季度受 Gootloader 影响的主要国家/地区
37
2022 年第 4 季度,美国是受 Gootloader 影响最大的国家。
1.
美国
37%
2.
意大利
19%
3.
印度
11%
4.
印度尼西亚
9%
5.
法国
5%
2022 年第 4 季度 Gootloader 最常使用的 MITRE ATT&CK 技术
1.
反伪装/解码文件或信息
2.
JavaScript
3.
混淆文件或信息
4.
PowerShell
5.
Process Hollowing
2022 年第 4 季度受 Gootloader 攻击最多的行业
56
2022 年第 4 季度,电信行业受到的 Gootloader 攻击最多。
2022 年第 4 季度 Gootloader 最常使用的 MITRE ATT&CK 技术
2022 年第 4 季度安全漏洞情报
我们的漏洞信息显示板对最新的高影响力漏洞进行了整合分析。对安全漏洞的分类和分析由 Trellix Advanced Research Center 团队中的漏洞研究专家执行。这些专攻逆向工程和漏洞分析的研究人员持续监测最新漏洞以及威胁实施者如何在攻击中利用这些漏洞,并根据监测结果提出切实可行的修补建议。借由专家提供这些简明扼要且高度技术性的建议,我们希望可以帮助您排除噪音,从众多最具影响力的安全漏洞中精准找到可能对贵组织产生最大影响的漏洞并集中精力加以处理,从而快速及时地对威胁做出响应。
2022 年第 4 季度安全漏洞情报要点
41
从受独特 CVE 影响的产品和供应商来看,在 2022 年第 4 季度,Lanner 受影响最大,占比 41%。
29
从产品存在的漏洞来看,在 2022 年第 4 季度,IAC-AST2500A 固件版本 1.10.0 是通报最多 CVE 的产品。
2022 年第 4 季度受 CVE 漏洞影响最大的产品和供应商
1.
Lanner
41%
2.
Microsoft
19%
3.
BOA
15%
4.
Oracle
8%
5.
Apple
Chrome
Citrix
Fortinet
Linux
各 4%
2022 年第 4 季度报告 CVE 最多的产品
29
2022 年第 4 季度,IAC-AST2500A 固件版本 1.10.0 是通报最多 CVE 的产品,其次是 BOA 服务器 (10%)、IAC-AST2500A (6%) 和 Exchange (6%)。
IAC-AST2500A,固件版本 1.10.0
9
BOA 服务器
3
交换
3
IAC-AST2500A
1
tvOS
1
iPadOS
1
iOS
1
Windows
1
Safari
1
SQLite(3.40.0 及以前版本)
1
Oracle Access Manager,11.1.2.3.0、12.2.1.3.0、12.2.1.4.0
1
MacOs
1
Linux Kernel(低于 5.15.61 的版本)
1
Internet Explorer
1
FortiOS (ssivpna)
1
Citrix ADC/Citrix Gateway
1
Chrome(低于 108.0.5359.94/.95 的版本)
1
BOA 服务器,Boa 0.94.13
1
2022 年第 4 季度报告的 CVE
CVE-2022-1786
CVE-2022-41040
CVE-2022-26134
CVE-2022-41080
CVE-2022-27510
CVE-2022-41082
CVE-2022-27518
CVE-2022-41128
CVE-2022-31685
CVE-2022-41352
CVE-2022-32917
CVE-2022-42468
CVE-2022-32932
CVE-2022-42475
CVE-2022-33679
CVE-2022-4262
CVE-2022-34718
CVE-2022-42856
CVE-2022-35737
CVE-2022-42889
CVE-2022-3602
CVE-2022-43995
CVE-2022-3786
CVE-2022-46908
CVE-2022-37958
CVE-2022-47939
CVE-2022-40684
2022 年第 4 季度电子邮件安全趋势
电子邮件安全统计数据基于全球客户网络中部署的多个电子邮件安全设备所产生的遥测数据。通过对检测日志进行汇总和分析,我们得到以下几个方面的发现:
2022 年第 4 季度电子邮件安全趋势要点
2022世界杯于第四季度举行,网络犯罪分子迅速盯上这一世界最大足球赛事,对赛事主办国卡塔尔周边阿拉伯国家发起大量以足球为主题的网络钓鱼活动,牟取不法利益。
100
据观察,与 8 月和 9 月相比,10 月份阿拉伯国家/地区的恶意电子邮件数量增加了 100%
40
从针对阿拉伯国家/地区的恶意电子邮件活动来看,Qakbot 是最常用的恶意软件,占比 40%。
42
从针对各行业的恶意电子邮件活动来看,在 2022 年第 4 季度,电信行业受恶意电子邮件影响最大,占比达到 42%
87
2022 年第 4 季度,使用恶意 URL 的网络钓鱼电子邮件最为普遍。
64
从 2022 年第 3 季度到第 4 季度,假冒攻击增加了 64%
82
的 CEO 欺诈电子邮件是使用免费电子邮件服务发送的
78
的企业电子邮件入侵 (BEC) 攻击使用了常见的 CEO 话术
142
语音钓鱼攻击在 2022 年第 4 季度非常盛行,比 2022 年第 3 季度增加了 142%
2022 年第 4 季度最常见的电子邮件恶意软件
40
2022 年第 4 季度,Qakbot 是最常用的电子邮件恶意软件。
1.
Oakbot
40%
2.
Emotet
26%
3.
Formbook
26%
4.
Remcos
4%
5.
QuadAgent
4%
2022 年第 4 季度电子邮件网络钓鱼最常攻击的产品和品牌
1.
通用
62%
2.
Outlook
13%
3.
Microsoft
11%
4.
Ekinet
8%
5.
Cloudfare
3%
2022 年第 4 季度受恶意电子邮件影响的主要行业
42
2022 年第 4 季度,电信行业受恶意电子邮件影响最大。
2022 年第 4 季度电子邮件假冒攻击趋势要点
100
据观察,与 8 月和 9 月相比,10 月份阿拉伯国家/地区的恶意电子邮件数量增加了 100%
40
从针对阿拉伯国家/地区的恶意电子邮件活动来看,Qakbot 是最常用的恶意软件,占比 40%。
42
从针对各行业的恶意电子邮件活动来看,在 2022 年第 4 季度,电信行业受恶意电子邮件影响最大,占比达到 42%
2022 年第 4 季度 BEC 攻击中最常用的 CEO 话术
“我需要你马上替我完成一项紧急任务。”
“我有一项任务要交给你完成,请将你的手机号码发给我。”
“请将你的手机号码发给我,我现在需要你帮我做件事。”
“请将你的手机号码发给我,并注意查收消息。我有一项任务要交给你。”
“请看一下并确认你的手机号码,注意查收消息,我要向你交待一些事情。”
“你有收到我之前发送的邮件吗?我有一笔生意要告诉你。”
2022 年第 4 季度假冒攻击增加
64
从 2022 年第 3 季度到第 4 季度,假冒攻击增加了 64%
2022 年第 4 季度网络钓鱼活动要点
利用 Web 托管服务提供商实施诈骗和窃取凭据的情况日益增多
网络钓鱼电子邮件最常使用的攻击向量
87
2022 年第 4 季度,使用恶意 URL 的网络钓鱼电子邮件最为普遍。
1.
URL
87%
2.
附件
7%
3.
报头
6%
在第 4 季度我们发现,利用合法 Web 托管服务提供商来欺诈用户和窃取凭据的情况有所增加。其中,最常被利用的三个服务提供商是:dweb.link、ipfs.link、translate.google。此外,我们还发现其他一些服务提供商域也遭到频繁利用,如 ekinet、storageapi_fleek 和 selcdn.ru。攻击者们在不断利用新出现的热门托管服务,来托管网络钓鱼页面并绕过防网络钓鱼引擎。攻击者之所以越来越青睐合法 Web 托管服务提供商,其中一个原因便是他们提供的服务主要用于托管合法文件和共享内容,因此不会被任何检测系统列入黑名单。
2022 年第 4 季度被利用的主要 Web 托管服务提供商
154
虽然 Dweb 是 2022 年第 4 季度最常被利用的 Web 托管服务提供商,但从 2022 年第 3 季度到第 4 季度的增幅来看,Google Translate 的增幅最大 (154%)
1.
Dweb
81%
2.
Ipfs
17%
3.
Google 翻译
10%
2022 年第 4 季度网络钓鱼攻击最常使用的规避技术
63
- 2022 年第 4 季度,302 重定向是最常用的规避技术。
- 在第 4 季度,采用基于地理定位的规避技术的网络钓鱼攻击显著增加。
- 基于 Captcha 的网络钓鱼攻击在第 4 季度也有所增加。
2022 年第 4 季度语音钓鱼活动要点
语音钓鱼是另一种形式的网络钓鱼,主要通过电子邮件、短信、电话或私聊等方式诱骗受害者与攻击者联系。
142
语音钓鱼攻击在 2022 年第 4 季度非常盛行,比 2022 年第 3 季度增加了 142%。
85
免费电子邮件服务备受语音钓鱼攻击者青睐。在 2022 年第 4 季度检测到的语音钓鱼攻击中,很大一部分 (85%) 都是使用免费电子邮件服务发出。
2022 年第 4 季度,Norton、McAfee、Geek Squad、Amazon 和 PayPal 是语音钓鱼攻击中最常出现的主题词。
2022 年第 4 季度网络安全形势
Trellix ARC 网络研究团队致力于检测和阻止各类网络攻击,为客户保驾护航。我们会仔细检查攻击链中的每一个环节,从侦测、初始入侵到 C2 通信以及横向移动 TTP。此外,通过综合利用不同技术,将各项技术的优势强强结合,我们能够更好地检测未知威胁。
2022 年第 4 季度网络攻击最常使用的 MITRE ATT&CK 技术
- T1083 – 文件和目录发现
- T1573 – 加密的通道
- T1020 – 自动外泄
- T1210 – 远程服务漏洞利用
- T1569 – 系统服务
- T1059 – 命令和脚本解释器:Windows Command Shell
- T1047 – Windows 管理工具
- T1087 – 帐户发现
- T1059 – 命令和脚本解释器
- T1190 – 面向公众的应用程序漏洞利用
2022 年第 4 季度针对面向外部的服务影响最大的攻击
攻击者每天都会执行大量网络扫描来探测供外部使用的计算机,试图找到可以侵入客户环境的潜在入口。旧的漏洞也在不断寻找未打补丁的系统。
- /etc/passwd 文件访问尝试检测
- 可能的跨站点脚本攻击
- SIPVicious 安全扫描程序
- Nap 描程序流量检测
- 扫描活动 - Shellshock,Web 服务器探测
- 远程代码执行 (Shellshock) HTTP CGI (CVE-2014-6278)
- Oracle WebLogic CVE-2020-14882 远程代码执行漏洞
- 目录遍历尝试
- Apache Struts 2 ConversionErrorInterceptor OGNL 脚本注入
- Apache Log4j CVE-2021-44228 远程代码执行
2022 年第 4 季度在网络攻击初始阶段最常使用的 WebShell
2022 年第 4 季度在网络攻击初始阶段最常使用的 WebShell
- China Chopper WebShell
- JFolder WebShell
- ASPXSpy WebShell
- C99 WebShell
- Tux WebShell
- B374K WebShell / RootShell 家族
2022 年第 4 季度攻入网络后最常使用的工具、技术和程序 (TTP)
我们发现以下 WebShell 最常用于尝试控制存在漏洞的 Web 服务器。
我们还发现了攻击者在横向移动期间使用的大量 TTP,包括使用旧的漏洞和 SCShell 和 PSExec 等工具。
- SCshell:使用服务管理器进行无文件横向移动
- Windows WMI 远程进程调用
- 通过 SMB 使用 WMIEXEC 调用 CMD Shell
- EternalBlue 漏洞检测
- Microsoft SMBv3 CVE-2020-0796 尝试
- Apache Log4j CVE-2021-44228 RCE
- 远程域/企业管理员帐户枚举
- 可疑的 PowerShell 远程处理
- 使用 WMIC 的可疑网络侦测
- 在批处理文件中检测到枚举命令
- SMB PSEXEC 活动
依托于 Trellix XDR 的安全运营遥测数据
这一部分的统计数据基于我们客户群体中不同 elix 实例所产生的遥测数据。通过对检测日志进行汇总和分析,我们得出了以下几个方面的统计数据:
2022 年第 4 季度最具影响力的安全事件
下面显示了 2022 年第 4 季度最常见的安全警报:
2022 年第 4 季度在报告的民族国家攻击活动中利用的安全漏洞
EXPLOIT - LOG4J [CVE-2021-44228]
OFFICE 365 ANALYTICS [异常登录]
OFFICE 365 [允许网络钓鱼]
EXPLOIT - FORTINET [CVE-2022-40684]
EXPLOIT - APACHE SERVER [CVE-2021-41773 - 尝试]
WINDOWS ANALYTICS [暴力攻击成功]
EXPLOIT - ATLASSIAN CONFLUENCE [CVE-2022-26134]
EXPLOIT - F5 BIG-IP [CVE-2022-1388 尝试]
2022 年第 4 季度最常使用的 MITRE ATT&CK 技术
1.
面向公众的应用程序漏洞利用 (T1190)
29%
2.
应用程序层协议:DNS (T1071.004)
网络钓鱼 (T1566)
14%
14%
3.
帐户操纵 (T1098.001)
暴力攻击 (T1110)
路过式攻陷 (T1189)
用户执行:恶意文件 (T1204.002)
有效帐户:本地帐户 (T1078,003)
各 7%
2022 年第 4 季度主要日志源分布情况
1.
网络
40%
2.
电子邮件
27%
3.
终端
27%
4.
防火墙
6%
2022 年第 4 季度发现的漏洞
根据报告的民族国家攻击活动,2022 年第 4 季度最活跃的威胁实施组织
30
Log4j 是 2022 年第 4 季度最常见的漏洞利用。
1.
Log4j (CVE-2021-44228)
14%
2.
Fortinet (CVE-2022-40684)
13%
3.
Apache Server (CVE-2021-41773)
13%
4.
Atlassian Confluence (CVE-2022-26134)
13%
5.
F5 Big-IP(CVE-2022-1388 尝试)
13%
6.
Microsoft Exchange(ProxyShell 漏洞利用尝试)
13%
2022 年第 4 季度云安全事件
随着许多企业逐步从内部部署基础设施转移至云基础设施,针对云基础设施的攻击一直在增多。据 Gartner 分析师预测,到 2025 年,超过 85% 的组织将采用“云优先”战略。
通过分析 2022 年第 4 季度的遥测数据,我们发现:
- 检测到与 AWS 相关的安全事件最多,这可能是因为 AWS 是目前云市场的主要领导者之一。
- 大多数入侵侧重于通过暴力攻击/密码喷洒方式获取对有效帐户的初始访问权限,由此形成云攻击层面的初始攻击向量。
- 由于大多数企业帐户都启用了多重身份验证 (MFA),而成功的暴力攻击会使入侵者登陆 MFA 平台,因此导致检测到的 MFA 相关事件激增。
以下各部分按云提供商划分,概要总结了基于云的攻击活动遥测数据。
2022 年第 4 季度针对 AWS 的 MITRE ATT&CK 技术分布情况
1.
有效帐户 (T1078)
18%
2.
云计算基础设施修改 (T1578)
12%
3.
帐户操纵 (T1098)
9%
4.
云帐户 (T1078.004)
8%
5.
暴力攻击 (T1110)
防御削弱 (T1562)
6%
6%
2022 年第 4 季度检测到的主要 AWS 事件(按 MITRE ATT&CK 技术划分)
帐户操纵 (T1098)
AWS 特权策略已连接到 IAM 身份
AWS S3 - 删除存储桶策略
有效帐户 (T1078)
AWS Analytics 异常控制台登录
AWS Analytics 异常 API 密钥使用
AWS GuardDuty 异常用户行为
AWS GuardDuty 授予匿名访问权限
防御削弱 (T1562)
AWS CloudTrail 策略更改至 CloudTrail
AWS CloudTrail 删除痕迹
文件中的凭据 (T1552.001)
可疑 AWS 密钥窃取警告
将数据转移到云帐户 (T1527)
AWS CloudTrail 删除 S3 存储桶
AWS CloudTrail 将 S3 存储桶添加到 ACL
AWS CloudTrail 将对象添加到 ACL
2022 年第 4 季度针对 Azure 使用的主要 MITRE ATT&CK 技术
1.
有效帐户 (T1078)
23%
2.
多重身份验证 (T1111)
19%
3.
暴力攻击 (T1110)
14%
4.
代理 (T1090)
14%
5.
帐户操纵 (T1098)
5%
2022 年第 4 季度检测到的主要 Azure 事件(按 MITRE ATT&CK 技术划分)
有效帐户 (T1078)
Azure AD 危险性登录
从异常位置登录 Azure
使用 60 天未见的帐户登录 Azure
暴力攻击 (T1110)
Azure 多重身份验证失败
针对 Azure 门户的 Graph 暴力攻击
尝试破解 Graph 分布式密码
多重身份验证 (T1111)
Azure MFA 因欺诈警报而被拒绝
Azure MFA 因用户被阻止而被拒绝
Azure MFA 因欺诈代码而被拒绝
Azure MFA 因欺诈应用程序而被拒绝
外部远程服务 (T1133)
从 Tor 网络登录 Azure
帐户操纵 (T1098)
Azure 异常用户密码重置
2022 年第 4 季度针对 GCP 的 MITRE ATT&CK 技术分布情况
1.
有效帐户 (T1078)
36%
2.
通过 API 执行 (T0871)
18%
3.
帐户发现 (T1087.001)
帐户操纵 (T1098)
防御削弱 (T1562)
云计算基础设施修改 (T1578)
远程服务 (T1021.004)
各 9%
2022 年第 4 季度检测到的主要 GCP 事件(按 MITRE ATT&CK 技术划分)
有效帐户 (T1078)
GCP 创建服务帐户
GCP Analytics 异常活动
GCP 创建服务帐户密钥
远程服务 (T1021.004)
GCP 防火墙规则允许 ssh 端口上的所有流量
帐户操纵 (T1098)
GCP 组织 IAM 策略已更改
帐户发现 (T1087.001)
Alert ["gps net user"]
将数据转移到云帐户 (T1527)
GCP 日志输出目标已修改
云计算基础设施修改 (T1578)
GCP 删除保护已禁用
报告撰写与研究
Alfred Alvarado
Henry Bernabe
Adithya Chandra
Dr. Phuc Duy Pham
Sarah Erman
John Fokker
Lennard Galang
Sparsh Jain
Daksh Kapoor
Maulik Maheta
João Marques
Tim Polzer
Srini Seethapathy
Rohan Shah
Vihar Shah
Swapnil Shashikantpa
Shyava Tripathi
Leandro Velasco
Alfred Alvarado
Henry Bernabe
Adithya Chandra
Dr. Phuc Duy Pham
Sarah Erman
John Fokker
Lennard Galang
Sparsh Jain
Daksh Kapoor
Maulik Maheta
João Marques
Tim Polzer
Srini Seethapathy
Rohan Shah
Vihar Shah
Swapnil Shashikantpa
Shyava Tripathi
Leandro Velasco
相关资源
如需跟踪了解 Trellix Advanced Research Center 发现的最新威胁和最具影响力的威胁,请访问以下资源:
TrellixARC
Twitter关于 Trellix Advanced Research Center
Trellix Advanced Research Center 制定了网络安全行业最完善的工作章程,并在研究新型方法、威胁趋势和威胁实施者方面处于行业前沿地位。全球各地安全运营团队的优质合作伙伴。Trellix Advanced Research Center 可为安全分析师提供一流情报和尖端内容,同时为我们领先的 XDR 平台提供支持。此外,Trellix Advanced Research Center 内的威胁情报小组为全球客户提供多种情报产品和服务。
关于 Trellix
Trellix 是一家旨在重新定义网络安全未来和高尚工作的跨国公司。该公司拥有开放且原生的扩展检测和响应 (eXtended detection and response, XDR) 平台,可帮助面临当今最高级威胁的组织在防护和运营弹性方面高枕无忧。Trellix 携手广泛的合作伙伴生态系统通过机器学习和自动化加速技术创新,为超过 40,000 个企业和政府客户提供动态安全。
本文档及其中包含的信息所描述的计算机安全研究结果仅用于培训用途,为 Trellix 客户提供方便。Trellix 根据其“安全漏洞合理披露政策 I Trellix”开展研究。再现所描述的部分或全部活动的任何尝试均由用户自行承担风险,Trellix 或其子公司均不承担任何责任或义务。
Trellix 是 Musarubra US LLC 或其子公司在美国和其他国家或地区的商标或注册商标。其他名称和品牌可能已被声明为其他公司的财产。