威脅報告
威脅報告
2023 年 2 月
2023 年 2 月
2022 年第四季度威脅概觀
在 2022 年最後幾個月,威脅行爲人仍是强大的對手,Trellix Advanced Research Center 透過在我們數百位安全分析師和研究人員中新增更多威脅情報資源來應對它。
在本報告中,我們分享了前一季行業領先的流行威脅行為人、系列、活動和偏好技術陣容,但還有更多內容。我們還擴大了從勒索軟體外洩網站和安全行業報告收集資料的渠道。隨著 Trellix 資源的增加,威脅研究的類別也在增長,包含涵蓋網路安全性、雲端事件、端點事件和安全營運的新内容。
自上一份威脅報告以來,Advanced Research Center 在全球範圍内進行了研究和發現,包括 Gamaredon 在第四季度針對烏克蘭的網路攻擊大幅增加的連結、修補 61,000 個易受攻擊開放原始碼專案和透過 2023 年威脅預測發佈對新一年新型攻擊的深入分析。
以下概觀收集自這些威脅報告改進,展示 Trellix Advanced Research Center 如何運作以更好地讓客戶和安全行業獲得更好的威脅成果:
勒索軟體
- 勒索軟體 LockBit 3.0 為第四季度最具影響勒索軟體團隊中重要地位的突破性研究
- 勒索軟體持續在全球流行,尤其是美國
- 勒索軟體目標為包含工業品與服務在内的部門
單一民族國家
- 國家目標為包含政府交通運輸與航運在内的部門
- 總部位於美國的公司受民族國家活動影響
離地攻擊 (LOLBIN)
- 使用 Advanced Research Center 的獵捕方法擴展了對 Cobalt Strike 的見解
- 大量 Cobalt Strike Team 伺服器託管在中國雲端供應商處
- Windows Command Shell 在報告的活動中使用的前 10 個最流行作業系統二進位檔中幾乎佔一半
威脅行為人
- 中國、北韓、俄羅斯位居流行威脅行為人國家/地區前列
電子郵件安全趨勢
- 在全球足球巡迴賽中,阿拉伯國家/地區的惡意電子郵件數量大幅增加
- 深入瞭解網路釣魚和語音詐騙活動,包括僞冒技術和語音詐騙使用的流行公司主題
網路安全性
- 本季度最具影響力、最重要和最相關的攻擊、WebShell、工具和技術
安全營運遙測 (由 Trellix XDR 提供技術支援)
- 流行的安全性警示、入侵、記錄來源和 MITRE ATT&CK 技術
- 雲端事件
- 針對 Azure、AWS 和 GCP 的技術和偵測
- 熱門技術和偵測
我們威脅情報主管的來信
我們的 Trellix Advanced Research Center 團隊很高興在本年結束時分享第一份 2022 年第四季度威脅報告資料。您將發現,隨著來自我們產品偵測器陣列之新資料的加入,結合來自其他資料來源 (例如勒索軟體外洩網站和我們的基礎架構追蹤) 的見解,我們的此報告將持續發展。在 Trellix,我們仍然堅持保護我們的客戶免遭新的禍害,因爲威脅行為人及其動機從未停止,並變得更加多方位。由於地緣政治和經濟視角隨著 不確定性變得更大而保留複雜性,對全球威脅情報的需求也在增加。
在全球層面上,烏克蘭戰爭造成的經濟不確定性引發了自二十世紀七十年代以來從未看到過的大規模能源價格衝擊,對世界經濟帶來了沉重的打擊。戰爭在歐洲的再次爆發也爲那些置疑歐盟安全和防禦方法以及其捍衛自身利益 (尤其在網路空間方面) 能力的國家敲響了警鐘。美國政府還意識到有必要應對地緣政治競爭、保護重要的基礎架構和對抗國外的資訊操縱和干預。SolarWinds、Hafnium、烏克蘭和其他事件促使政府和國會就新的安全性標準和資金採取行動,這些很大程度建立在國家承諾和美國政府過去的工作上。那麽這種不確定性是如何影響我們企業、公共和私人機構的網路安全以及民主 價值呢?
在上個季度,我們的團隊將網路視爲間諜活動、戰爭和錯誤資訊領域的治國之道,這些資訊被積極應用於培育政治、經濟和領土野心。烏克蘭戰爭也見證了新型網路攻擊的出現,駭客份子變得更加精明,更大膽地破壞網站、外洩資訊和執行 DDoS 攻擊。與此同時,傳統網路攻擊形式仍在繼續。社交設計的欺騙和操縱個人洩露機密或個人資訊伎倆,例如網路釣魚,仍然 很普遍。
勒索軟體還繼續困擾著世界範圍内的很多組織。就像我們在 COVID-19 疫情觀察到的,網路罪犯快速從危機和不確定性中獲利。隨著威脅態勢的演變,我們的研究也隨之向前發展。我們的任務將保持專注於始終提高我們產品的效率,以及向我們的利害關係人提供可採取動作的情報,以確保他們可以保護最珍貴的資產。在此報告中,您將看到我們所作的工作對 Trellix Advanced Research Center 的每一位成員是多麽地重要。在我們的團隊中,沒有一位研究人員不 用心對待我們所作的每一個項目。
讓我們來瞭解您對此擴展報告的想法,如果有您想讓我們團隊深入研究的領域,請在 Twitter 上 @TrellixARC 與我或我們的團隊聯絡。我們還期望 四月在舊金山舉辦的 RSA 上看到您的身影。
方法
Trellix 的後端系統提供遙測數值,供我們應用於季度威脅報告中。我們將遙測數值與威脅相關的開放原始碼情報進行統整,也和我們自己對勒索軟體、民族國家活動等普遍威脅的調查相互結合。
當我們論及遙測時,我們談的是偵測,而不是感染。偵測是指,透過我們的某一項產品對某個檔案、URL、IP 位址或其他指標進行偵測,並回報偵測的結果。
例如,我們知道越來越多的組織正在使用部署真實惡意軟體樣本的功效測試架構。這種用法會顯示為偵測,但絕對不是感染。
分析和篩選遙測中誤報的過程正在不斷的發展,與先前的版本相比,這可能會導致新的威脅類別的出現。
隨著更多 Trellix 組織團隊對此季度報告的投稿,還會新增新的威脅類別。
客戶的隱私對我們至關重要。而當遙測歸納的數值對應到我們客戶的產業領域以及國家/地區時,隱私這一點不容忽視。每個國家/地區的客戶群不同,呈現的數值可能會攀升,我們因而必須更深入研究資料。範例:在我們的資料中,電信產業的得分向來很高。但這並不表示該產業是多數網路犯罪鎖定的對象。ISP 供應商也隸屬電信產業 ,它們擁有許多 IP 位址空間可供企業購買。這是怎麼回事?來自 ISP 的 IP 位址空間的提交會顯示為電信業的偵測事件,但這也有可能是來自 ISP 不同 產業的客戶。
2022 年第四季度勒索軟體
在本節中,我們將提供收集到的關於勒索軟體團體活動的各種見解。此資訊收集自多個來源,以更好地瞭解威脅態勢,減少觀察偏差和幫助我們確定哪個勒索軟體系列在 2022 年第四季度最具影響力。第一個來源是量化來源,描述了從勒索軟體 IOC 和 Trellix 客戶遙測關聯中擷取的勒索軟體活動統計資料。第二個是定性來源,顯示了安全行業發佈的各種報告的分析,這些報告由威脅情報團體審查、剖析和分析。最後,第三個來源是新類別,包含一組勒索軟體受害者報告,這些報告從各個勒索軟體群體「洩漏網站」提取,經標準化、充實和最終分析以提供匿名版結果。
透過提供這些不同的觀點,我們旨在提供諸多組成當前威脅態勢的碎片。沒有一個是夠用的,因爲它們都有自己的限制。沒有人可以存取連線至網際網路之所有系統的記錄,并非所有的安全事件都會報出,也并非所有的受害者會被勒索和包含在洩漏網站中。但是,不同的觀點結合可以更好地瞭解不同的威脅,同時還減少了我們自身的盲點
考量潛在缺點和盲點的同時,結合來源中量化和定性資料會得出明智的判斷。
2022 年第四季度的勒索軟體重點
第四季度最具影響力的勒索軟體團體:LockBit 3.0
- 1st LockBit 3.0 外洩網站報出本季度勒索軟體群體中受害者最多。讓 LockBit 最渴望透過指名和羞辱向其受害者施壓。
- 2nd根據對威脅情報團體收集的不同活動的分析,LockBit 3.0 與 Cuba 勒索軟體一起在回報最多的勒索軟體團體中排名第二。
- 3rd 根據收集自 Trellix 全球偵測器的勒索軟體遙測分析,LockBit 3.0 在本季度最流行的勒索軟體群體中排名第三。
以下是 2022 年第四季度的其他 LockBit 類別和結果:
2022 年第四季度受 LockBit 3.0 影響最大的產業領域
29
根據 LockBit 3.0 受害者洩漏網站報告,工業品與服務是 2022 年第四季度受 LockBit 3.0 影響最大的產業領域。
2022 年第四季度受 LockBit 3.0 影響最大的公司和國家/地區
49
根據 LockBit 3.0 受害者洩漏網站報告,2022 年第四季度美國公司受 LockBit 3.0 影響最多 (佔 49%),接著是英國的公司。
透過我們遙測鏡頭的勒索軟體
以下統計資料的依據是我們的遙測與威脅情報知識庫之間的關聯。在分析階段之後,我們從選定時間段的資料中確定一組活動,並擷取它們的特性。顯示的統計資料是活動的統計資料,而不是偵測本身。我們的全球遙測顯示了屬於來自不同的勒索軟體團體的若干攻擊活動的入侵的指標 (IoC)。以下勒索軟體系列,與它們各自的工具和技術一起,代表了被識別的攻擊活動中最流行的系列。同樣,以下國家/地區和產業領域被識別的 活動影響最多。
2022 年第四季度最為普遍的勒索軟體系列
22
Cuba 是 2022 年第四季度最流行的勒索軟體系列。Zeppelin 勒索軟體最常被 Vice Society 使用。深入閲讀 Yanluowang 的通訊洩漏。
2022 年第四季度勒索軟體團體使用的最流行惡意工具
41
Cobalt Strike 是 2022 年第四季度勒索軟體團體使用的最流行惡意工具。
1.
Cobalt Strike
41%
2.
Mimikatz
23%
3.
BURNTCIGAR
13%
4.
VMProtect
12%
5.
POORTRY
11%
2022 年第四季度勒索軟體團體最常使用的 MITRE-ATT&CK 技術
1.
遭影響而加密的資料
17%
2.
系統資訊探索
11%
3.
PowerShell
10%
4.
入口工具轉移
10%
5.
Windows Command Shell
9%
2022 年第四季度勒索軟體團體使用的最流行非惡意工具
21
Cmd 是 2022 年第四季度勒索軟體團體使用的最流行非惡意工具。
1.
Cmd
21%
2.
PowerShell
14%
3.
Net
10%
4.
Reg
8%
5.
PsExec
8%
2022 年第四季度受勒索軟體團體影響最大的國家/地區
29
根據 Trellix 遙測顯示,美國是 2022 年第四季度受勒索軟體團體影響最大的國家。
2022 年第四季度受勒索軟體系列影響最大的產業領域
29
根據 Trellix 遙測顯示,委外管理與代管是 2022 年第四季度受勒索軟體團體影響最大的產業領域。這與勒索軟體洩漏網站上列出的受害者平均組織規模有關,這些組織通常沒有自己的已指派 IP 區塊,依賴於第三方代管供應商。
安全行業報告的勒索軟體
以下統計資料的依據是公開報告和内部研究。請注意,并非所有勒索軟體事件都已報出。很多勒索軟體系列已經活躍了一段時間,自然不如特定季度著名的系列那樣引人注目。按照這些準則,這些度量指示的是安全行業在本 季度發現最具影響力和最相關的勒索軟體系列。
2022 年第四季度最為普遍的勒索軟體系列
15
根據安全行業報告顯示,Black Basta 勒索軟體和 Magniber 勒索軟體是 2022 年第四季度回報最多的勒索軟體系列。
2022 年第四季度熱門勒索軟體系列攻擊技術
19
根據安全行業報告顯示,資料被加密以產生影響是 2022 年第四季度回報最多的勒索軟體系列攻擊技術。
1.
遭影響而加密的資料
19%
2.
Windows Command Shell
11%
3.
系統資訊探索
10%
4.
入口工具轉移
10%
5.
PowerShell
10%
2022 年第四季度勒索軟體系列攻擊的熱門產業領域
16
根據安全行業報告顯示,健康是 2022 年第四季度勒索軟體系列攻擊最多的產業領域。
2022 年第四季度受勒索軟體系列攻擊最多的國家/地區
19
根據安全行業報告顯示,美國是 2022 年第四季度勒索軟體系列攻擊最多的國家/地區。
第四季度勒索軟體團體最常使用的 MITRE-ATT&CK 技術 2022
1.
CVE-2021-31207
CVE-2021-34474
CVE-2021-34523
16%
16%
16%
2.
CVE-2021-34527
13%
3.
CVE-2021-26855
CVE-2021-27065
9%
9%
2022 年第四季度已報出的勒索軟體系列使用的惡意工具
44
根據安全行業報告顯示,Cobalt Strike是 2022 年第四季度已報出的勒索軟體系列使用最多的惡意工具。
1.
Cobalt Strike
44%
2.
QakBot
13%
3.
IcedID
9%
4.
BURNTCIGAR
7%
5.
Carbanak
SystemBC
7%
7%
2022 年第四季度已報出的勒索軟體系列使用的非惡意工具
21
根據安全行業報告顯示,PowerShell 是 2022 年第四季度已報出的勒索軟體系列使用最多的非惡意工具。
1.
PowerShell
21%
2.
Cmd
18%
3.
Rund1132
11%
4.
VSSAdmin
10%
5.
WMIC
9%
2022 年第四季度勒索軟體「洩漏網站」受害者報告
本節中的資料透過搜刮不同勒索軟體團體的「洩漏網站」而編譯。勒索軟體團體透過在這些網站上發佈其受害者的資訊來勒索受害者。當談判陷入僵局或受害者拒絕在勒索軟體團體的期限内支付贖金,勒索軟體團體就會公開竊取自受害者的資訊。我們使用開放原始碼工具 RansomLook 收集各種貼文,然後在内部處理資料來標準化和充實結果,以提供匿名版受害範圍分析。
值得注意的是,并非所有勒索軟體受害者在各自的洩漏網站中報出。很多受害者支付了贖金而未報出。這些度量指的是勒索軟體團體勒索或報復的受害者,不應與受害者總數混淆在一起。
2022 年第四季度報出最多受害者的勒索軟體團體
26
2022 年第四季度,在各自洩漏網站上報出最多受害者的前 10 位勒索軟體團體中,LockBit 3.0 佔 26%。
2022 年第四季度受勒索軟體團體影響的產業領域 (依洩漏網站)
32
在 2022 年第四季度,工業品與服務是受勒索軟體團體 (依洩漏網站) 影響的最流行行業。工業品與服務包括主要用於建築和製造的所有材料產品和無形的服務。
2022 年第四季度受勒索軟體團體影響的公司的國家/地區 (依洩漏網站)
63
總部位於美國 (2022 年第四季度各勒索軟體團體在其相應的洩漏網站上報出的前 10 個公司中),其次是英國 (8%) 和加拿大
2022 年第四季度國家/地區統計資料
本節提供了我們收集的關於單一民族國家團體活動的見解。本資訊收集自多個來源,以建立更好的威脅態勢視圖並減少觀察偏差。首先,我們描述了從單一民族國家團體 IOC 與 Trellix 客戶遙測關聯中擷取的統計資料。其次,我們提供安全行業發佈的各種報告的見解,這些報告由威脅情報團體審查、剖析和分析。
2022 年第四季度國家/地區重點
- 美國和德國遭受的國家攻擊顯著增加。
- 中國和越南出現在第四季度的國家攻擊中。
透過我們全球遙測鏡頭的單一民族國家統計資料
以下統計資料的依據是我們的遙測與威脅情報知識庫之間的關聯。在分析階段之後,我們從選定時間段的資料中確定一組活動,並擷取它們的特性。顯示的統計資料是活動的統計資料,而不是偵測本身。由於各種記錄集合,我們客戶對威脅模擬架構的使用,以及與威脅情報知識庫的高層級關聯,資料被手動篩選以符合所需的準則。
我們的全球遙測顯示了與來自進階持續威脅群組 (APT) 的若干活動相關的入侵的指標 (IoC)。以下威脅行為人的國家/地區和威脅行為人,以及他們的工具和技術,在被識別的攻擊活動中最流行。同樣,關於國家/地區和產業領域的資料被識別的攻擊活動影響最多。
單一民族國家遙測見解
2022 年第四季度民族國家活動後最流行的威脅行為人國家/地區
71
中國是 2022 年第四季度民族國家活動後最流行的威脅行為人國家/地區。
2022 年第四季度最流行的威脅行為人團體
37
根據單一民族國家遙測顯示,Mustang Panda 是 2022 年第四季度最流行的威脅行為人團體。
2022 年第四季度民族國家活動使用的最流行 MITRE ATT&CK 技術
1.
DLL Side-Loading
14%
2.
Rundll32
13%
3.
隱匿檔案或資訊
12%
4.
Windows Command Shell
11%
5.
登錄執行機碼/啟動資料夾
10%
第四季度民族國家活動使用的最流行惡意工具 2022
1.
PlugX
24%
2.
BLUEHAZE
23%
3.
DARKDEW
23%
4.
MISTCLOAK
23%
5.
ISX 遠端存取木馬程式
2%
2022 年第四季度民族國家活動中使用的最流行非惡意工具
1.
Rundll32
22%
2.
Cmd
19%
3.
Reg
17%
4.
Ncat
12%
5.
Regsv132
6%
2022 年第四季度受勒索軟體團體影響的公司的國家/地區 (依洩漏網站)
55
美國是 2022 年第四季度受民族國家活動影響最大的國家。
2022 年第四季度受勒索軟體團體影響的公司的國家/地區 (依洩漏網站)
69
交通運輸與航運是 2022 年第四季度受民族國家活動影響最大的產業領域。
根據 2022 年第四季度公開報告的單一民族國家事件
以下統計資料依據的是公開報告和内部研究,而非客戶記錄中的遙測。請注意,并非所有單一民族國家事件都已報出。很多攻擊活動遵循相同的 TTP,這些 TTP 是已知的,並不值得報告。行業傾向於選擇更新穎的攻擊活動,行爲人要麽嘗試了新事物,要麽犯錯。這些度量指的是行業在 2022 年第四季度發現的有洞察性和相關的内容。
2022 年第四季度民族國家活動中報出最多的威脅行爲人
37
的公開報出的民族國家活動 (2022 年第四季度) 源自中國。
1.
中國
37%
2.
北韓
24%
3.
伊朗
1%
4.
俄羅斯 / Россия
1%
5.
印度 / India
1%
2022 年第四季度已報出的民族國家活動的最流行威脅行為人
33
Lazarus 是 2022 年第四季度已報出的民族國家活動中最流行的威脅行為人。
1.
Lazarus
14%
2.
Mustang Panda
13%
3.
APT34
АРТ37
APT41
COLDRIVER
Patchwork
Polonium
Side Winder
Winnti Group
各 1%
2022 年第四季度民族國家活動中使用的最流行非惡意工具
1.
Rund1132
22%
2.
Cmd
19%
3.
Reg
17%
4.
Ncat
12%
5.
Regsv132
6%
2022 年第四季度已報出的民族國家活動攻擊最多的國家/地區
16
美國是 2022 年第四季度受已報出的民族國家活動攻擊最多的國家。
2022 年第四季度已報出的民族國家活動攻擊最多的產業領域
33
政府機構是 2022 年第四季度受已報出民族國家活動攻擊最多的產業領域,其次是軍事單位 (11%) 和電信 (11%)。
2022 年第四季度已報出民族國家活動使用的最熱門惡意工具
1.
PlugX
22%
2.
Cobalt Strike 韓國
17%
3.
Metasploit
13%
4.
BlindingCan
9%
5.
Scanbox
ShadowPad
ZeroCleare
各 9%
2022 年第四季度民族國家活動中使用的最熱門非惡意工具
1.
Cmd
32%
2.
Rund1132
20%
3.
PowerShell
14%
4.
Reg
8%
5.
Schtasks.exe
7%
2022 年第四季度已報出民族國家活動使用的最熱門 MITRE ATT&CK 技術
1.
入口工具轉移
13%
2.
系統資訊探索
13%
3.
隱匿檔案或資訊
12%
4.
Web 通訊協定
11%
5.
檔案或資訊反混淆/解碼
11%
2022 年第四季度已報出的民族國家活動利用的弱點
CVE-2017-11882
CVE-2020-17143
CVE-2021-44228
CVE-2021-21551
CVE-2018-0802
CVE-2021-26606
CVE-2021-26855
CVE-2021-26857
CVE-2021-27065
CVE-2021-26858
CVE-2021-34473
CVE-2021-28480
CVE-2021-34523
CVE-2021-28481
CVE-2015-2545
CVE-2021-28482
CVE-2017-0144
CVE-2021-28483
CVE-2018-0798
CVE-2021-31196
CVE-2018-8581
CVE-2021-31207
CVE-2019-0604
CVE-2021-40444
CVE-2019-0708
CVE-2021-45046
CVE-2019-16098
CVE-2021-45105
CVE-2020-0688
CVE-2022-1040
CVE-2020-1380
CVE-2022-30190
CVE-2020-1472
CVE-2022-41128
CVE-2020-17141
2022 年第四季度離地攻擊 (LOLBIN) 和協力廠商工具
透過我們 Insights 平台的觀察和追蹤,獲得了以下關於 2022 年第四季度威脅態勢的情報和可見度:
2022 年第四季度 LOLBIN 重點
- 從初始存取、執行、探索、持續性到影響,離地攻擊將持續起作用。
- 2022 年第四季度資料顯示,透過 Windows Command Shell 執行指令和指令碼技術的持續趨勢,或 PowerShell 是最常用的技術。
- 由網路罪犯使用在威脅行為人中最流行,其中包括經驗豐富的進階持續威脅、具有財務動機的團體以及喚醒的駭客份子。
威脅態勢中偶然發現的新成員、一次性和腳本小子也在利用熱門入侵架構已存在的二進位檔,因爲它們試圖掩人耳目並入侵吉普森或利用弱點。
從初始存取、執行、探索、持續性到影響,離地攻擊技術將持續被用於執行惡意任務。根據 2022 年第四季度收集的資料,我們可以看到,透過 Windows Command Shell 執行指令和指令碼技術的持續趨勢,并且 PowerShell 是最常用的技術。
2022 年第四季度最流行的作業系統二進位檔
47
Windows Command Shell 佔 47%,幾乎為 2022 年第四季度前 10 個最流行作業系統二進位檔的一半,接著是 PowerShell (32%) 和 Rundl32 (27%)。
1.
Windows Command Shell
47%
2.
PowerShell
32%
3.
Rund132
27%
4.
Schtasks
23%
5.
WMI
21%
2022 年第四季度最主要的協力廠商工具
1.
遠端存取工具
58%
2.
檔案傳輸
22%
3.
攻擊後工具
20%
4.
網路探索
16%
5.
AD 探索
10%
由網路罪犯使用在威脅行為人中最流行,其中包括經驗豐富的進階持續威脅、具有財務動機的團體以及喚醒的駭客份子。威脅態勢中偶然發現的新成員、一次性和腳本小子也在利用已存在的二進位檔,因爲它們試圖掩人耳目並入侵 Gibson 或利用已知或未知弱點。
透過我們的 Insights 平台 (威脅行為人使用 Windows 二進位檔) 處理的事件會導致部署額外的惡意軟體,例如資訊盜竊程式、遠端存取木馬程式或勒索軟體。MSHTA、WMI 或 WScript 之類的二進位檔可能已被執行,以從攻擊者控制的資源擷取額外的承載。
遠端存取和控制一直是威脅行為人濫用最嚴重的工具之一,但安全從業人員使用的工具將繼續被濫用於惡意目的。威脅行為人可能會用它們來啟動保持運作指標、自動外流或收集和壓縮目標資訊。
在免費和開放原始碼工具中,軟體封裝程式被威脅行為人濫用來重新封裝合法的軟體以包含惡意内容,或封裝惡意軟體以期望避開偵測和阻礙分析。
2022 第四季度 Cobalt Strike 洞見
Advanced Research Center 的威脅情報團體透過將承載和基礎架構獵捕方法組合在一起來監視 Cobalt Strike Team 伺服器 (Cobalt Strike C2) 的使用。下面我們提供了分析已收集 Cobalt Strike 指標期間發現的重要見解:
15
試用版 Cobalt Strike 許可證
自然環境下識別到的 Cobalt Strike 指標中僅 15% 擁有試用版 Cobalt Strike 許可證。該版本的 Cobalt Strike 包含這個攻擊後框架的大多數已知功能。然而,它新增了「告知」和移除傳輸中加密功能,讓承載輕鬆地被安全性產品偵測到。
5
Host Http 標頭
至少 5% 的已觀察到的 Cobalt Strike 指標使用了主機 Http 標頭,這是一個使用 Cobalt Strike 方便網域前置攻擊的選項。網域前置攻擊是一種濫用託管多個網域的內容傳遞網路 (CDN) 的技術。攻擊者將對惡意網站的 HTTPS 請求隱藏在對合法網站的 TLS 連接之下。
87
Rundll32.exe
Rundll32.exe 是用於繁衍工作階段和執行攻擊後作業的預設處理程序,在已識別的指標中佔 87%。
22
DNS 指標
DNS 指標佔已識別的 Cobalt Strike 指標的 22%。此承載類型透過 DNS 查詢與攻擊者的 Cobalt Strike 團隊伺服器通訊,這是網域的授權伺服器,以隱藏其活動。
2022 年第四季度託管 Cobalt Strike 團體伺服器的熱門國家/地區
50
2022 年第四季度偵測到一半的 Cobalt Strike 團體伺服器託管在中國,主要是因爲中國的雲端託管規模。
2022 年第四季度 GootLoader
GootLoader 是一個模組化惡意軟體,有時可與另一個被識別為「GootKit」或「GootKit Loader」的惡意軟體互換。GootLoader 惡意軟體的目前模組化功能現在被用於散佈其他惡意軟體承載,包括 REvil、Kronos、Cobalt Strike 和 Icedid。
在最近的事件中,GootLoader 被發現使用搜尋引擎最佳化 (SEO) 將不知情使用者引入用於託管含 JS (JavaScript) 檔案承載的封存檔的被入侵或偽造網站。然而,該技術要求不知情使用者開啟封存檔並執行内容,該内容透過 Windows Scripting Host 輪流執行惡意 JS 程式碼。成功執行之後,GootLoader 將啟動 C2 通訊並擷取額外的惡意軟體。
GootLoader 是一個提供給訂閱者的可疑惡意軟體即服務 (MaaS),允許威脅行為人載入若干額外的承載,因此 GootLoader 對企業環境帶來了重大的威脅。
透過我們的内部 GootLoader 追蹤程式我們發現了一個最新變體 (於 2022 年 11 月 18 日在自然環境中發現),並見證了較舊變體在 2022 年 11 月 13 日消失。最新變體的修改包括:
- 移除了登錄操作功能
- 將遠端網路請求增加到 10 個 URL,而不是三個
- 能夠透過 CScript 直接叫用 PowerShell 指令碼
- 每個使用者登入的持續性。
我們的 Gootloader 追蹤程序
新的 Gootloader 變種使用了多個偽裝層演變。解除封裝之後的每個嵌入階段使用從其早期階段載入的變數,讓分析變得更具挑戰性。透過 YARA 搜尋工作收集的樣本被輸送到靜態 JavaScript 和 PowerShell 分析器,以擷取諸如遠端命令與控制 (C&C,C2) 伺服器和唯一 ID 簽章之類的 IOC。這些 IOC 可用來在自然環境中識別和追蹤特定的 Gootloader 執行個體。
然後,透過查詢 Trellix URL 聲譽團隊的資料庫來處理已擷取的 Gootloader IOC,以識別哪些是惡意的、潛在被入侵的合法網域和被用作誘餌來破壞分析的合法網域。
Gootloader 遙測洞見
顯示的統計資料是根據擷取的 IOC 和我們客戶記錄的關聯確定的活動,而不是偵測本身。就 Gootloader 而言,大多數偵測依據的是攻擊次數。用於 Gootloader 使用誘餌網域,顯示的統計資料應被解釋為惡意。
2022 年第四季度受 Gootloader 影響最大的國家/地區
37
美國是 2022 年第四季度 Gootloader 影響最大的國家。
1.
美國
37%
2.
義大利
19%
3.
印度 / India
11%
4.
印尼
9%
5.
法國 / France
5%
2022 年第四季度 Gootloader 最常使用的 MITRE ATT&CK 技術
1.
Deobfuscate/Decode Files or Information
2.
JavaScript
3.
隱匿檔案或資訊
4.
PowerShell
5.
Process Hollowing
2022 年第四季度 Gootloader 攻擊最多的產業領域
56
電信是 2022 年第四季度 Gootloader 攻擊最多的產業領域。
2022 年第四季度 Gootloader 最常使用的 MITRE ATT&CK 技術
2022 年第四季度弱點情報
我們的弱點儀表板整理了最新高影響弱點的分析。分析和分類由 Trellix Advanced Research Center 的弱點行業專家進行。這些研究人員擅長反向工程和弱點,持續監視最新的弱點,以及威脅行為人如何在其攻擊中使用這些弱點,以提供修補指導。這項精簡和高度技術性專家建議讓您從噪音中篩選訊號,專注於可能對您的組織造成影響的最具影響力的弱點,讓您快速做出反應。
2022 年第四季度弱點情報重點
41
2022 年第四季度受唯一 CVE 影響的易受攻擊產品和廠商中,Lanner 佔 41%。
29
IAC-AST2500A 韌體版本 1.10.0 是 2022 年第四季度產品使用的回報最多的 CVE。
2022 年第四季度最受影響的易受攻擊的產品、廠商和 CVE
1.
Lanner
41%
2.
Microsoft
19%
3.
BOA
15%
4.
Oracle
8%
5.
Apple
Chrome
Citrix
Fortinet
Linux
各 4%
2022 年第四季度產品回報的 CVE
29
IAC-AST2500A 韌體版本 1.10.0 是 2022 年第四季度產品使用的回報最多的 CVE,接著是 BOA Server (10%)、IAC-AST2500A (6%) 和 Exchange (6%)。
IAC-AST2500A,韌體版本 1.10.0
9
BOA Server
3
Exchange
3
IAC-AST2500A
1
tvOS
1
iPadOS
1
iOS
1
Windows
1
Safari
1
SQLite 版 - 3.40.0 版 (含)
1
Oracle Access Manager 11.1.2.3.0、12.2.1.3.0、12.2.1.4.0
1
MacOs
1
5.15.61 之前的 Linux 核心
1
Internet Explorer
1
FortiOS (ssivpna)
1
Citrix ADC/Citrix Gateway
1
Chrome,108.0.5359.94/.95 之前的版本
1
BOA Server,Boa 0.94.13
1
2022 年第四季度回報的 CVE
CVE-2022-1786
CVE-2022-41040
CVE-2022-26134
CVE-2022-41080
CVE-2022-27510
CVE-2022-41082
CVE-2022-27518
CVE-2022-41128
CVE-2022-31685
CVE-2022-41352
CVE-2022-32917
CVE-2022-42468
CVE-2022-32932
CVE-2022-42475
CVE-2022-33679
CVE-2022-4262
CVE-2022-34718
CVE-2022-42856
CVE-2022-35737
CVE-2022-42889
CVE-2022-3602
CVE-2022-43995
CVE-2022-3786
CVE-2022-46908
CVE-2022-37958
CVE-2022-47939
CVE-2022-40684
2022 年第四季度電子郵件安全趨勢
電子郵件安全統計資料依據是全世界客戶網路上已部署的若干電子郵件安全性應用裝置產生的遙測。再將這些偵測記錄彙總起來並進行分析,產生以下結果:
2022 年第四季度電子郵件安全趨勢重點
全球足球巡迴賽在 2022 年第四季度舉行,網路罪犯迅速利用世界上最大的足球活動,透過針對巡迴賽擧辦方卡塔爾附近阿拉伯國家/地區的組織發起大量以足球為主題的網路釣魚活動來為自己獲利。
100
根據觀察,與 8 月和 9 月相比,阿拉伯國家 10 月份的惡意電子郵件數量增加了 100%。
40
Qakbot 是最常用的惡意軟體策略,佔阿拉伯國家攻擊數量的 40%
42
在 2022 年第四季度,電信是受惡意電子郵件影響最大的行業,佔行業惡意電子郵件活動總數的 42%
87
在 2022 年第四季度,使用惡意 URL 的網路釣魚電子郵件是迄今為止最普遍的攻擊媒介
64
2022 年第三季度到第四季度,模擬點擊量增加了 64%
82
CEO 僞造電子郵件使用免費的電子郵件服務傳送
78
商務電子郵件入侵 (BEC) 攻擊正在使用常用 CEO 片語
142
語音詐騙攻擊在 2022 年第四季度占主導地位,比 2022 年第三季度增加了 142%
2022 年第四季度最流行的電子郵件惡意軟體策略
40
Qakbot 是 2022 年第四季度最流行的電子郵件惡意軟體策略。
1.
Oakbot
40%
2.
Emotet
26%
3.
Formbook
26%
4.
Remcos
4%
5.
QuadAgent
4%
2022 年受電子郵件網路釣魚攻擊最多的產品和品牌
1.
一般
62%
2.
Outlook
13%
3.
Microsoft
11%
4.
Ekinet
8%
5.
Cloudfare
3%
2022 年第四季度受惡意電子郵件影響最大的行業
42
電信是 2022 年第四季度受惡意電子郵件影響最大的產業領域。
2022 年第四季度電子郵件偽造趨勢重點
100
根據觀察,與 8 月和 9 月相比,阿拉伯國家 10 月份的惡意電子郵件數量增加了 100%。
40
Qakbot 是最常用的惡意軟體策略,佔阿拉伯國家攻擊數量的 40%
42
在 2022 年第四季度,電信是受惡意電子郵件影響最大的行業,佔行業惡意電子郵件活動總數的 42%
2022 年第四季度 BEC 攻擊中使用的熱門 CEO 片語
「我需要您立即為我執行一項任務。」
「我需要您完成一項任務,因此請將您的電話號碼轉發給我。」
「將您的電話號碼發給我,您現在需要我們做點事。」
「請將您的電話號碼發給我並留意一下我的訊息。我需要完成一項任務。」
「請檢查並確認您的手機號碼,並留意一下我的訊息以獲得指示。」
「您收到我之前的電子郵件嗎?我有一個有利可圖的交易給您。」
2022 年第四季度模擬比較
64
2022 年第三季度到第四季度,模擬點擊量增加了 64%。
2022 年第四季度網路釣魚攻擊活動洞見
網路寄存服務供應商越來越習慣於詐騙與竊取
網路釣魚電子郵件中使用最多的攻擊媒介
87
在 2022 年第四季度,使用惡意 URL 的網路釣魚電子郵件是迄今為止最普遍的攻擊媒介
1.
URL
87%
2.
附件
7%
3.
標頭
6%
在第四季度,我們觀察到使用合法虛擬主機供應商來欺騙使用者和竊取憑證的情況有所增加。有三家服務供應商被濫用的次數最多。它們是 dweb.link、ipfs.link、translate.goog。我們還注意到來自其他服務供應商網域的大量資料,例如 ekinet、storageapi_fleek 和 selcdn.ru。除此之外,還有一些其他服務供應商網域,例如 ekinet、storageapi_fleek、selcdn.ru。攻擊者不斷使用新的流行寄存服務來託管網路釣魚頁面和規避防網路釣魚引擎。攻擊者對使用合法網路主機供應商越來越感興趣的一個原因是:這些服務不會被任何偵測系統列入黑名單,因為他們的主要目標是託管合法檔案和共用內容。
2022 年第四季度高度濫用的網路託管供應商
154
雖然 Dweb 是 2022 年第四季度濫用最嚴重的網路供應商,但 Google 翻譯在 2022 年第三季度到第四季度增長最大 (154%)
1.
Dweb
81%
2.
Ipfs
17%
3.
Google 翻譯
10%
2022 年第四季度網路釣魚攻擊中使用最多的規避技術
63
- 302 基於重新導向的規避在 2022 年第四季度最為突出。
- 異地型規避網路釣魚攻擊在第四季度顯著增長。
- Captcha 型攻擊在第四季度也有所增長。
2022 年第四季度語音詐騙洞見
語音詐騙是另一種形式的網路釣魚旨在誘使受害者與大多數使用電子郵件、簡訊、電話或直接聊天資訊的攻擊者聯絡。
142
語音詐騙攻擊在 2022 年第四季度占主導地位,比 2022 年第三季度增加了 142%。
85
免費的電子郵件服務已成爲使用語音詐騙的惡意分子的最愛。我們偵測到,2022 年第四季度很大一部分攻擊 (85%) 是使用免費電子郵件服務傳送的。
Norton、McAfee、Geek Squad、Amazon 和 PayPal 是第四季度語音詐騙使用的最流行主題。
2022 年第四季度網路安全
Trellix ARC 網路研究團隊專注於偵測和阻止威脅客戶的網路型攻擊。我們檢查了啥傷鏈的不同領域,從偵察、初步入侵、C2 通訊以及橫向擴散 TTP。我們利用已合并技術優勢的能力使我們能夠更好地發現未知威脅。
2022 年第四季度針對網路安全性使用的最流行 MITREATT&CK 技術
- T1083 – 檔案與目錄探索
- T1573 – 加密的通道
- T1020 – 自動外流
- T1210 - 遠端服務入侵
- T1569 – 系統服務
- T1059 – 命令和指令碼解譯器:Windows Command Shell
- T1047 – Windows 管理規範
- T1087 – 帳戶探索
- T1059 – 命令和指令碼解譯器:
- T1190 - 對外公開的應用程式入侵
2022 年第四季度針對對外公開的服務最具影響力的攻擊
每天都會執行很多網路掃描,以探測對外公開的機器來找到客戶環境的潛在閾值。舊的入侵持續尋找未修補的系統。
- 檔案 /etc/passwd 存取嘗試偵測
- 可能的跨站台指令碼處理攻擊
- SIPVicious 安全性掃描程式
- 偵測到 Nap 掃描程式流量
- 正在掃描活動 - Shellshock、webserver 探測
- Bash 遠端程式碼執行 (Shellshock) HTTP CGI (CVE-2014-6278)
- Oracle WebLogic CVE-2020-14882 遠端程式碼執行弱點
- 目錄周遊嘗試
- Apache Struts 2 ConversionErrorInterceptor OGNL 指令碼植入
- Apache Log4j CVE-2021-44228 遠端程式碼執行
2022 年第四季度最重要的 WebShells 被用作初始網路據點
2022 年第四季度最重要的 WebShells 被用作初始網路據點
- China Chopper WebShell
- JFolder WebShell
- ASPXSpy WebShell
- C99 WebShell
- Tux WebShell
- B374K WebShell / RootShell 系列
2022 年第四季度進入網路的最相關工具、技術和程序
以下 WebShells 通常被發現用於嘗試控制易受攻擊的 Web 伺服器。
我們已經看到攻擊者在橫向移動期間使用了大量的 TTP,包括使用舊的弱點和工具,如 SCShell 和 PSExec。
- SCshell:使用服務管理員的無檔案型橫向移動
- Windows WMI 遠端程序呼叫
- 透過 SMB 上的 WMIEXEC 叫用 CMD Shell
- 偵測到 EternalBlue 入侵
- Microsoft SMBv3 CVE-2020-0796 嘗試
- Apache Log4j CVE-2021-44228 RCE
- 遠端網域/企業系統管理員帳戶列舉
- 可疑的 PowerShell 遠端處理
- 使用 WMIC 的可疑網路偵察
- 批次檔案中偵測到列舉命令
- SMB PSEXEC 活動
安全營運遙測 (由 Trellix XDR 提供技術支援)
這些統計資料依據是從跨不同客戶群的螺旋案例中產生的遙測。再將這些偵測記錄彙總起來並進行分析,產生以下内容:
2022 年第四季度最具影響力的安全事件
下節顯示了 2022 年第四季度最流行的安全性警示:
2022 年第四季度已報出的民族國家活動利用的弱點
EXPLOIT - LOG4J [CVE-2021-44228]
OFFICE 365 分析 [異常登入]
OFFICE 365 [已允許網路釣魚]
EXPLOIT - FORTINET [CVE-2022-40684]
EXPLOIT - APACHE SERVER [CVE-2021-41773 - 嘗試]
WINDOWS ANALYTICS [暴力密碼破解]
EXPLOIT - ATLASSIAN CONFLUENCE [CVE-2022-26134]
EXPLOIT - F5 BIG-IP [CVE-2022-1388 嘗試]
2022 年第四季度最常使用到的 MITRE ATT&CK 技術
1.
對外公開的應用程式入侵 (T1190)
29%
2.
應用程式層通訊協定:DNS (T1071.004)
網路釣魚 (T1566)
14%
14%
3.
帳戶操作 (T1098.001)
暴力密碼破解 (T1110)
偷渡式入侵 (T1189)
由使用者執行:惡意檔案 (T1204.002)
有效帳戶:本機帳戶 (T1078,003)
各 7%
2022 年第四季度熱門記錄來源散佈
1.
網路
40%
2.
電子郵件
27%
3.
端點
27%
4.
防火牆
6%
2022 年第四季度觀察到的入侵
2022 年第四季度已報出的民族國家活動的最流行威脅行為人
30
Log4j 是 2022 年第四季度最流行的入侵。
1.
Log4j (CVE-2021-44228)
14%
2.
Fortinet (CVE-2022-40684)
13%
3.
Apache Server ( CVE-2021-41773)
13%
4.
Atlassian Confluence (CVE-2022-26134)
13%
5.
F5 Big-IP (CVE-2022-1388 已嘗試)
13%
6.
Microsoft Exchange (ProxyShell 入侵嘗試)
13%
2022 年第四季度雲端事件
很多公司從内部基礎架構過渡,因此雲端架構上的攻擊一直在上升。Gartner 分析師預測,到 2025 年,超過 85% 的組織將迎來雲端優先的原則。
在分析 2022 年第四季度遙測時,我們觀察到:
- AWS 相關的偵測佔主導地位可能是因爲 AWS 狀態作爲雲端市場的重要領導。
- 大多數攻擊專注於透過暴力破解/Passwordspray 獲取有效帳戶的初始存取,這些帳戶指向雲端攻擊面上的初始感染載體。
- 大多数大企業客戶啟用了多重要素驗證,成功的暴力攻擊使对手登入 MFA 平台,造成 MFA 相關的偵測激增。
以下章節簡單介紹了雲端型攻擊遙測資料,這些資料是跨我們的客戶群由不同的雲端供應商細分的。
2022 年第四季度 AWS 的 MITRE ATT&CK 技術散佈
1.
有效帳戶 (T1078)
18%
2.
雲端運算基礎結構修改 (T1578)
12%
3.
帳戶操作 (T1098)
9%
4.
雲端帳戶 (T1078.004)
8%
5.
暴力密碼破解 (T1110)
阻礙防禦 (T1562)
6%
6%
2022 年第四季度 MITRE ATT&CK 技術的熱門 AWS 偵測
帳戶操作 (T1098)
附加到 IAM Identity 的 AWS 特權政策
AWS S3 - 刪除貯體政策
有效帳戶 (T1078)
AWS Analytics 異常主控台登入
AWS Analytics 異常 API 金鑰用法
AWS Guardduty 異常使用者行爲
AWS Guardduty 異常存取已授予
阻礙防禦 (T1562)
AWS CloudTrail 政策變更為 CloudTrail
AWS CloudTrail 刪除痕跡
檔案中的認證 (T1552.001)
可能正在竊取 AWS 私密金鑰的警示
資料至雲端帳戶傳輸 (T1527)
AWS CloudTrail 刪除 S3 貯體
AWS CloudTrail 放置 S3 貯體 ACL
AWS CloudTrail 放置 S3 貯體 ACL
2022 年第四季度用於 Azure 的熱門 MITRE ATT&CK 技術
1.
有效帳戶 (T1078)
23%
2.
多重要素驗證 (T1111)
19%
3.
暴力密碼破解 (T1110)
14%
4.
Proxy (T1090)
14%
5.
帳戶操作 (T1098)
5%
2022 年第四季度 MITRE ATT&CK 技術的熱門 Azure 偵測
有效帳戶 (T1078)
Azure AD 風險登入
從異常位置的 Azure 登入
透過 60 天未見的帳戶的 Azure 登入
暴力密碼破解 (T1110)
Azure 多重驗證失敗
針對 Azure 入口網站的 Graph 暴力密碼破解攻擊
Graph 分散式密碼破解嘗試
多重要素驗證 (T1111)
Azure mfa 因詐騙警示而被拒絕
Azure mfa 因使用者遭阻止而被拒絕
Azure mfa 因詐騙程式碼而被拒絕
Azure mfa 因詐騙應用程式而被拒絕
外部遠端服務 (T1133)
從 tor 網路的 Azure 登入
帳戶操作 (T1098)
Azure 異常使用者密碼重設
2022 年第四季度 GCP 的 MITRE ATT&CK 技術散佈
1.
有效帳戶 (T1078)
36%
2.
透過 API 執行 (T0871)
18%
3.
帳戶探索 (T1087.001)
帳戶操作 (T1098)
阻礙防禦 (T1562)
雲端運算基礎結構修改 (T1578)
遠端服務 (T1021.004)
各 9%
2022 年第四季度 MITRE ATT&CK 技術的熱門 GCP 偵測
有效帳戶 (T1078)
GCP 服務帳戶建立
GCP Analytics 異常活動
GCP 服務帳戶金鑰建立
遠端服務 (T1021.004)
GCP 防火墻規則允許 ssh 連接埠上的所有流量
帳戶操作 (T1098)
GCP 組織 IAM 原則已變更
帳戶探索 (T1087.001)
警示 ["gps net user"]
資料至雲端帳戶傳輸 (T1527)
GCP 記錄接收器已修改
雲端運算基礎結構修改 (T1578)
GCP 刪除保護功能已停用
文章發表與研究
Alfred Alvarado
Henry Bernabe
Adithya Chandra
Dr. Phuc Duy Pham
Sarah Erman
John Fokker
Lennard Galang
Sparsh Jain
Daksh Kapoor
Maulik Maheta
João Marques
Tim Polzer
Srini Seethapathy
Rohan Shah
Vihar Shah
Swapnil Shashikantpa
Shyava Tripathi
Leandro Velasco
Alfred Alvarado
Henry Bernabe
Adithya Chandra
Dr. Phuc Duy Pham
Sarah Erman
John Fokker
Lennard Galang
Sparsh Jain
Daksh Kapoor
Maulik Maheta
João Marques
Tim Polzer
Srini Seethapathy
Rohan Shah
Vihar Shah
Swapnil Shashikantpa
Shyava Tripathi
Leandro Velasco
資源
若要追蹤T Trellix Advanced Research Center 識別的最新和最具影響力的威脅,請檢視這些資源:
TrellixARC
Twitter關於 Trellix Advanced Research Center
Trellix Advanced Research Center 擁有網路安全性行業最全面的章程,處在威脅態勢中新興方法、趨勢和行爲人的前沿。作爲全球安全營運團隊的首席合作夥伴,Trellix Advanced Research Center 為安全性分析人員提供情報和最先進的内容,同時還為我們頂尖的 XDR 平台提供技術支援。此外,Trellix Advanced Research Center 内部威脅情報團體為全球的客戶提供若干情報產品和服務。
關於 Trellix
Trellix 是一家致力於重新定義網路安全和用心經營未來的全球公司。該公司的開放式原生延伸偵測與回應 (eXtended Detection and Response, XDR) 平台,可協助面臨當今最先進威脅的組織提高對其營運防護和彈性的信賴度。Trellix 連同我們廣泛的合作夥伴生態系統,透過機器學習和自動處理來加速技術創新,使用活動安全性為 40,000 多家企業和政府客戶提供支援。
本文件及此處所包含的資訊是針對電腦安全研究所做的說明,僅會用於教育目的,並可供 Trellix 客戶方便取用。Trellix 的研究遵循以下原則進行:弱點合理揭露原則 | Trellix。使用者須自行承擔任何嘗試重建說明中的部分或所有活動的風險。Trellix 或其關係企業不承擔任何責任。
Trellix 是 Musarubra US LLC 或其關係企業在美國與其他國家/地區的商標或註冊商標。其他名稱與品牌可能為他人宣告擁有之財產。