《绿盟科技:2022攻击技术发展趋势年度报告(精华版)(25页).pdf》由会员分享,可在线阅读,更多相关《绿盟科技:2022攻击技术发展趋势年度报告(精华版)(25页).pdf(25页珍藏版)》请在三个皮匠报告上搜索。
1、1绿盟科技2022年度攻击技术发展趋势报告 精华版关于绿盟科技绿盟科技集团股份有限公司(以下简称绿盟科技),成立于 2000年 4 月,总部位于北京。公司于 2014 年 1 月 29 日在深圳证券交易所创业板上市,证券代码:300369。绿盟科技在国内设有50余个分支机构,为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户,提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处,深入开展全球业务,打造全球网络安全行业的中国品牌。版权声明为避免合作伙伴及客户数据泄露,所有数据在进行分析前都已经
2、 过匿名化处理,不会在中间环节出现泄露,任何与客户有关的具体信息,均不会出现在本报告中。推荐语在研究网络安全的二十余年中,我常常惊叹不断涌现的、充满了奇思妙想的新攻击技术。不同于漏洞研究,这些攻击技术、手法就像散落于网空安全领域的无数繁星,如此重要却缺少系统性的梳理,安全人员往往需要花费大量精力去收集和整理。去年,绿盟科技天元实验室进行了大量收集和整理工作,通过 2021攻击技术发展趋势年度报告给关注于实战对抗的安全从业人员提供了便利。在今年的2022 攻击技术发展趋势年度报告里,天元实验室带给我更多的惊喜:延续了去年的年度重点攻击技术精解和年度高可利用漏洞威胁解读,并进行了更深入的思考与技术
3、展望,同时今年还加入了以新兴 C2 为代表的新式网络武器工具分析与预测,相信对实战安全感兴趣的从业人员都能有所收获。绿盟科技核心安全研究部总监左磊2022 攻击技术发展趋势年度报告中,我们对网络空间攻击与防御之间错综复杂的关系进行了梳理,并提出了 A.B.E 对抗能力模型。该模型是从攻击视角出发,表征攻击对抗技术的思考。我们希望在未来量化防御能力时,您能够用上这个模型,并期待获得您宝贵的意见。绿盟科技能力中心总经理范敦球CONTENTS执行摘要00101技术观察0031.1攻击生命周期0041.2对抗性攻击技术及 A.B.E 对抗能力00602年度攻击技术详解0082.1社会工程学与网络钓鱼0
4、092.2AD 域安全0102.3云安全0112.4终端对抗0122.5供应链安全01303年度高可利用漏洞01504网络武器018001执行摘要执行摘要2022 年,全球网络空间安全形势依然复杂严峻。由美国引导的大国博弈和地缘政治趋势对全球网络空间安全持续形成威胁,网络空间安全也已成为全球战略竞争的一个重要方面,部分国家的政府和军方加强对网络攻击能力的建设,并积极开展网络攻击活动。特别是俄乌冲突的爆发改变了全球网络空间的游戏规则,网络攻击活动的目标变得更加广泛,涉及政府、军队、金融、能源、交通等重要领域,攻击目的也从原本的渗透潜伏、信息窃密转向系统瘫痪及数据损毁,同时夹杂对舆论的影响和争夺,
5、全球网络安全威胁格局正在发生重大变化。绿盟科技安全团队持续保持着对现网威胁和攻击活动的监测和分析,并剖析高级威胁组织的热点和新式攻击技战术,同时了解如何更好地应对和缓解相关威胁。去年我们首次发布了2021 攻击技术发展趋势年度报告,以全新的蓝军视角研判了全球高级威胁和复杂攻击相关技术的最新趋势,以前瞻性观察向行业、客户和社区传递了可能出现的威胁形式和手段,为提前构建有针对性的防护措施提供了决策支撑。2022 攻击技术发展趋势年度报告延续了这一理念,提供了有关新网络安全威胁格局下的攻击技术态势、热点和新式攻击、网络武器等内容的详细解读。为了更好地理解新形势下网络空间进攻与防御之间的关系,以便更好
6、地感知和应对复杂性网络空间威胁,我们在本次报告中重新梳理了网络攻击生命周期,并首次对外提出对抗性攻击技术及 A.B.E 对抗概念,这对于重新表征攻击技术以及进一步量化防御能力具有重要意义。可以在本次报告中了解到的其他重要主题包括:社会工程学与网络钓鱼攻击与云、AI 技术紧密结合。云文档、云存储等高可信云服务正在为高隐蔽性的网络钓鱼攻击提供便利;同时基于 AI 的深度伪造技术也极可能被用于生成强欺骗性内容。社工攻击是对人的攻击,MFA 技术等增强身份认证安全技术可以缓解此类攻击,但却无法修补人性的漏洞。Active Directory 域内的身份攻击安全风险愈演愈烈,呈现攻击面扩大、攻击手段智能
7、化趋势。中继攻击作为 AD 域内最普遍的攻击方式之一,攻击面呈现出放大趋势,新型 Kerberos 中继攻击对 AD 域身份认证安全带来了新的挑战。围绕复杂认证协议和扩展机制的身份攻击手段成为主要威胁。攻击者善用知识图谱技术生成 AD 域攻击路径,AD 域攻击呈现智能化趋势。2022 攻击技术发展趋势报告精华版002 身份攻击已成为云安全的主要威胁。云架构业务场景中复杂的功能、角色、权限关系已成为云产品的主要攻击面。云信任关系作为云服务交互活动的基础,攻击者滥用可信云环境完成初始访问、载荷投递、数据渗出等重要攻击阶段。K8S 集群组件特性与身份认证体系成为云原生时代下攻击者横向移动的重要载体。
8、系统安全机制与 EDR 安防产品成为攻击者在终端侧的主要对抗目标。BYOVD 合法驱动滥用技术成为攻击者权限提升、防御削弱的重要手段。睡眠混淆作为对抗内存扫描的有效方法持续迭代,围绕内存空间的攻防对抗愈发激烈。随着云原生和容器技术的发展,以 eBPF 滥用为代表的 Linux 系统隐匿攻击面逐步显现。WEB 标记等安全机制收紧使文档攻击进入后宏时代,在野利用中以 SLK/XLL 文件等为载体的替代性攻击技术开始涌现。开源生态与关基生态是供应链攻击的主要被攻击对象。今年涌现出大量围绕开源软件开发、使用过程的新攻击手法,其中不乏欺诈技术;被唤醒的老漏洞,与错综复杂的开源软件生态关系进一步加剧了开源
9、软件漏洞的安全风险;与去年相比,今年被曝针对关基单位与其供应商的攻击事件目的性更强,供应链安全或成为影响未来国家安全的主要威胁之一。另一个值得注意的地方是,今年已经出现如 LofyGang 攻这样以开源社区作为主要攻击基础设施的攻击团伙,对使用开源软件的可信任问题提出了更多的挑战。0day 漏洞威胁依然是网络空间安全面临不确定性挑战的主要因素。较多在野 0day 漏洞是对历史已知漏洞的补丁绕过,从新增漏洞来看,冷门协议漏洞或成为一大潜在攻击威胁,与去年相比在 MSRC 的占比从 13%飙增至 64%。今年,安全研究人员发现了多种新型漏洞利用技术,在漏洞检测技术上的速度比拼仍将继续。网络武器向对
10、抗升级和场景定制化方向发展。以 Nighthawk 为代表的新兴 C2 集成了众多 A.B.E 对抗性攻击技术,现有安全防护体系将巨大的挑战。在热战背景下,数据擦除器成为了网络致瘫攻击的热门武器,关键基础设施单位受到了巨大的冲击。在网络穿透方面,攻击者使用了更具隐匿能力和溯源防护能力的攻击手段和武器。网络空间军事化进程加速。全球主要地区高级威胁行为体在网络空间作战中呈现出各自的特点,0day 漏洞、网络钓鱼、新式武器等特征明显。俄乌冲突揭示了现代化战争的特征,网络空间认知战具有重要意义,并且与传统的网络攻击相互影响。绿盟科技首席技术官叶晓虎技术观察 012022 攻击技术发展趋势报告精华版00
11、41.1攻击生命周期攻击生命周期,又称为“杀伤链”。这个概念源自军事领域发展到信息化作战阶段,军事专家对攻击行动的高度抽象与概括,通常包括探测目标、瞄准目标、与敌交战并达成目的这 4 个有序环节。在网络空间作战领域,最初由美国国防工业承包商洛克希德马丁公司(Lockheed Martin)于 2011 提出网络杀伤链框架(Cyber Kill Chain Framework),将攻击者达成网络入侵目的所需完成的过程抽象为 7 个战术阶段。2018 年,美国网络安全公司Mitre 发布 ATT&CK(Adversarial Tactics,Techniques,and Common Knowle
12、dge)模型,细化了攻击行动各战术阶段所用到的具体攻击技术。凭借攻击生命周期框架,网络蓝军能更系统性的将模拟攻击战术意图拆分、设计到各攻击环节,提升有效执行攻击技术的覆盖率,并增强各环节有序衔接的能力,使攻击参与者明晰自己的战术使命并着手进行攻击、达成攻击目的。从防御角度,攻击生命周期框架所揭示的攻击活动规律,也能在各个阶段助益安全从业者:事前威胁评估;事中及时响应,甚至提前干扰攻击活动;事后对于还原攻击路径、攻击意图识别。在实际工作中,抽象的框架有益于涉及不同知识域的攻击场景的战略分析,步骤详尽的框架适合攻防双方制定具体的战术、技术执行计划。绿盟科技研究团队依靠对高级攻防技术多年的研究积累,
13、和对高级威胁行为体活动的深入理解,研究归纳形成如下图所示的 NS 高级威胁攻击生命周期框架,结合国内现网实战习惯特点,通过情报侦查、打击突破、建立据点、权限提升、权限维持、凭据获取、内部侦查、横向移动、命令控制、目标达成,这 9 个典型的网络入侵活动的主要阶段,来描述攻击生命周期。图 1.1NS 高级威胁攻击生命周期框架示意图005技术观察 情报侦察:网络攻击,情报先行。情报作为制定战术攻击方案的基础,需要针对目标及战术进行全面且充分的侦察。通过本攻击阶段,攻击者掌握目标对象的组织业务,摸排互联网服务和资产,搜集可利用信息,识别可打击脆弱面,构建攻击行动方案。打击突破:该阶段目的是完成边界渗透
14、,为之后的纵深攻击创造条件,对攻击进程有重大影响。攻击者可能会尝试多种技术手段绕过边界防御机制渗透突破进入目标内部网络,0day 漏洞利用、社工钓鱼及供应链攻击成为打击突破阶段的主力手段。建立据点:攻击者在完成打击突破后需要形成能够据以进行纵深攻击的跳板节点,用以支撑后渗透阶段命令控制及载荷打击的多种需求,具有重要的战术意义。一般在内网权限扩大的过程当中,攻击者会在不同的网络位置配合隐匿技术手段形成多种攻击据点。权限提升:纵深攻击阶段,攻击者会通过多种技术手段提升对目标系统或网络的控制权限,拥有对目标系统或网络的完全控制权限对保障战术纵深、完成打击部署、建立持久化控制甚至保证攻击行动隐匿具有重
15、要意义,对战术进程和结果具有决定性的影响。权限维持:对目标系统或网络的持续控制打击能力是特种化高级威胁行为体的主要特点之一,攻击者在目标系统或网络当中选择关键位置或据点建立持久化访问后门,长期维持对目标的控制权限完成潜伏渗透,通常伴有较强隐蔽性。凭据获取:访问控制是网络空间和信息系统安全的重要支撑手段,也是攻击者必须去突破的防御堡垒。凭据作为访问控制中认证身份的重要依据,使用合法凭据可以让攻击者更隐蔽地访问目标系统,因此攻击者会在该阶段通过攻击凭据管理系统、劫持认证过程等方式窃取凭据信息。内部侦察:信息是攻击者在交战网络上的“无形弹药”,对目标的内部网络和环境侦察越具体、敌情分析越透彻,越有助
16、于发挥好“信息就是战斗力”的功效。横向移动:作为网络空间作战特有的战术手段,攻击者在该阶段会依据已掌握的目标内部信息尝试进行控制更多的系统和账号,并以此获得更多的情报,寻找纵向突破的可能性。2022 攻击技术发展趋势报告精华版006 命令控制:攻击者打击突破进入目标内部网络后,通常会建立隐蔽隧道来穿透目标网络并操纵控制据点完成远程作战。攻击者通过该控制隧道来投递不同的攻击载荷,以此执行具体的战术任务,并支撑完成作战目标。目标达成:网络攻击活动的最终目标是要夺取和控制网络权来破环目标信息资源的可用性、机密性和完整性。攻击者会根据作战意图选用不同的技术手段来完成作战目标。1.2对抗性攻击技术及 A
17、.B.E 对抗能力网络空间对抗的本质是攻防两端对抗能力的较量。在网络空间作战的全过程当中,攻击和防御技术的实现必然伴有强对抗属性,对抗技术对于攻防双方完成各自战术任务的影响是全方位的。在网络空间军事化的进程当中,对抗特征会越来越明显。按照攻防角色,我们将对抗技术分为攻击性对抗技术和防御性对抗技术。在进攻性网络空间作战当中,攻击者会在攻击生命周期的各个阶段使用不同的攻击技术实现阶段性战术目标,而攻击性对抗技术则是为了规避敌方网络监控系统,绕过网络防御封锁,保障战术攻击顺利实施而最终达到隐蔽入侵目的。为了更有效的表征攻击性对抗技术,我们提出了 A.B.E(Anti&Bypass&Evasion)对
18、抗能力模型。主动对“抗”-Anti:采取主动式、破坏性的防御削弱操作,包括主动终止安全产品、破坏检测能力、清除入侵痕迹等操作;规则“绕”过-Bypass:通过修改混淆攻击载荷形态、隐匿攻击载荷特征来绕过防御检测规则和逻辑;利用防御体系中未覆盖的规则;具有遥测能力,但是因规则未覆盖,而无法告警或阻断;检测“逃”逸-Evasion:利用防御体系中的缺陷,另辟蹊径,避免被检测到;不具备检测能力,因而无法进一步处理。A.B.E 对抗能力模型旨在从攻击者视角出发,弥补传统模型在攻击性对抗技术表征分类不够细化,无法很好地描述现网实战中白热化发展的新型技术特点的局限性。绿盟科技天元实验室依据 A.B.E 技
19、术定义与现网攻击中的出现频率综合研判,总结出 2022 年度高频 A.B.E 技术清单:007技术观察 图 1.2年度热点 A.B.E 技术年度攻击 技术详解 02009年度攻击技术详解 2.1社会工程学与网络钓鱼随着云服务的广泛应用,利用云服务的网络钓鱼攻击也日益猖獗。许多高信誉、广受欢迎的云服务正沦为网络钓鱼攻击的温床。例如,在某些特定场景下,云服务厂商为了提供更好的用户体验而内置了发送电子邮件的辅助功能。这使得黑客可以利用云服务厂商发出的高可信度电子邮件,在没有被有效拦截的情况下轻松地将大量钓鱼邮件投递到受害者的邮箱中;还有一种例子是攻击者利用 Google Docs 编辑并托管展示其精
20、心制作的钓鱼页面,然后借用Google Docs的官方分享链接通过邮件进行传播。由于Google Docs链接具备很高的信誉度,因此这些钓鱼邮件将轻松地抵达受害者的收件箱;现今日常办公越来越依赖于可靠的在线存储服务(如 DropBox 和 GoogleDrive)。然而,攻击者也在通过流行的云服务投递恶意文件来绕过静态的安全防御规则,从而增加企业被攻击的风险。面对严峻的网络钓鱼威胁,大多数企业都为邮箱安全建立起了层层防护,例如部署邮件防护产品、终端防护产品等,随着安全产品检测能力日益提高,大部分的恶意邮件和木马病毒能被精准拦截,经过安全意识培训的员工也能轻易识别常规手段的网络钓鱼。然而道高一尺
21、魔高一丈,在 CallBack 网络钓鱼攻击中,攻击者通过一封钓鱼邮件通知受害者某个媒体服务、软件产品或医疗服务需要续费,并在邮件中附带一个电话号码。攻击者会通过诱导那些并未订阅这些服务的受害者回拨该号码,借机引导受害者打开恶意文件或者进入钓鱼网站,以达到窃取个人信息或资金盈利等目的。Deepfake 钓鱼,本质是一种利用 AI 深度学习模型在网络钓鱼上的利用。攻击者利用Deepfake技术制作虚假的资讯、视频或图片,或是伪造名人、政治家或高管等人物的音频信息来掩饰真实意图,最终达到窃取个人敏感信息或者非法牟利的目的。为了增加系统的安全性,企业开始采用 MFA 策略来保护信息系统。相较于传统的
22、身份验证模式,MFA 可以通过二次验证来避免用户因密码泄露直接导致账户被接管。但是显然人们对 MFA 机制的期望太高了,即使部署了严格的 MFA,恶意攻击者依然可以利用社会工程学的手段来诱导受害者通过多因素认证,或者是骗取受害者的二次验证信息。而随着越来越多的组织应用 MFA 策略,攻击者也不断创新他们的工具和技术,以规避 MFA 策略的防护。总的来说,随着网络技术的快速发展和普及,网络钓鱼攻击已成为当前互联网安全领域面临的重要挑战之一。恶意攻击者借助不断发展的云服务、新技术和对人性弱点的利用,精心制定他们的策略、技术和程序(TTPs),屡屡攻破安全防线。在不断完善安全机制的同时,2022 攻
23、击技术发展趋势报告精华版010我们不得不承认“人性的漏洞”难以修补。为了有效应对网络钓鱼攻击,个人和企业都需要加强安全防护意识,提升相应的技术防御措施。关于社会工程学与网络钓鱼年度趋势的更多观点和细节,推荐您阅读2022 年共计技术发展趋势报告-完整版。2.2AD 域安全AD域是微软提供的一套内网主机管理方案,为加入域内的计算和用户提供统一认证管理、集权管理、身份认证管理等服务,通常是企业普遍选择的办公网主机管理方案。AD 域中的架构和技术经过多年的迭代更新,目前已趋于成熟和稳定,但其核心的安全问题仍围绕 AD 域中的角色和身份认证。近几年来针对 NTLM 协议的中继攻击层出不穷,NTLM R
24、elay 在域提权中被大量使用。NTLM Relay 攻击是攻击者处于中间人的位置,触发客户端与攻击者机器的连接,提取信息后转发至服务端,从而使攻击者获得客户端对服务的认证能力。NTLM Relay 攻击在经历了在不同协议之间的发展阶段,最常见的情况是 Relay 到 SMB 协议,PrinterBug 是这方面的代表性漏洞。但随后 SMB 签名有效的阻止了 SMB Relay,研究人员开始将目标转向其他协议,PrivExchange 实现了 HTTP 到 LDAP 的中继,CVE-2019-1040 则绕过了 NTLM 签名,实现了 SMB 到 LDAP 的中继,随后安全研究人员更是将中继攻
25、击扩展到了 RPC 协议。另一方面,利用中继攻击的服务也在不断变化,中继攻击的目标通常是高权限的机器和用户,比如域控服务器的 PrintSpooler 服务,Exchange 服务器的推送通知服务,ADCS 服务器的认证服务等。今年以来,SCCM 服务器逐渐被研究人员关注,Exchange 则因其庞大和复杂的架构被发掘出更多的利用面。AD 域的身份认证主要围绕 NTLM 和 Kerberos 两种协议。两种协议在 Windows 系统中不断扩展升级,导致两种协议越发复杂,虽然提高了安全性和实用性,但同时也给攻击者带来更多攻击的可能。与 QUIC 的结合和 LDAP StartTLS 扩展的使用
26、为 NTLM 攻击提供了新的思路。Kerberos 协议相对 NTLM 更为安全,但是依然没能避免被中继的可能,同时 RC4 加密的 Kerberos 协议仍然危害 Kerberos 协议的安全性。AD CS 吸引了更多安全研究者,涌现了多种绕过攻击局限的方法,同时其特性也带来新的哈希转储方式。在 AD 域环境中,LDAP 服务保存了整个域中几乎所有对象的结构化信息,通过 LDAP 协议查询的方式,可以获取到所有对象的信息。并且 AD 域中对象的存储本身就是对象和属性011年度攻击技术详解 的方式,对象间有明确的关系,这些数据,对知识图谱来说,是没有噪声的数据,非常有利于构建知识图谱。现阶段,
27、已经有较为成熟的系统利用知识图谱辅助攻击者发现攻击路径,例如 BloodHound 通过构建知识图谱的方式,已经可以快速的帮助攻击者分析出 AD 域中常见的安全风险及隐藏(超过六度关系链)的安全风险,并且可以构建出一些基础的攻击路径。而且利用知识图谱相关图计算的能力,可以进一步发现知识图谱分析攻击路径的能力。利用知识图谱是一个充满挑战的过程,应用知识图谱来完成在 AD 域中风险发现的任务,相对于使用常规手法能更深入、更快速地发现安全风险,并且基于图构建出可视化的攻击路径。未来在人工智能技术的帮助下,可实现对安全风险和攻击路径进行更多维度的分析,实现智能化攻击推演能力。关于 AD 安全年度趋势的
28、更多观点和细节,推荐您阅读2022 年共计技术发展趋势报告-完整版。2.3云安全随着云计算技术的快速发展,企业在应用开发、生产运行和协同办公等方面越来越离不开云计算的支持。在加快企业快速完成数字化转型的同时,业务架构环境的变化也让攻防两方来到了新战场,攻击者利用云上身份许可链、云产品特性和操作方式对云平台和云租户发起攻击,进而接管云产品的管理能力。而可信云环境具有高可信性、强匿名性和多出口等特点,有效提升攻击过程中的隐蔽性与迷惑性,成为攻击者优质的基础设施资源,对企业来说,如何应对可信云环境下的攻击是一个新的挑战。云产品的广泛应用范围导致云上应用的攻击也日益增多。云环境独有的用户操作方式、云产
29、品特性和众多 API 为攻击者提供了新的利用可能性。用户在使用和管理云产品时的多重身份特性可能带来新的风险;传统漏洞如任意文件读取和服务器请求伪造在云场景中可能造成更大的危害;许多云产品都高度依赖 API,因此 API 安全问题在云时代变得更加突出。在复杂开放的云环境中,信任关系是服务交互的关键。基于威胁威胁追踪和长期研究,发现可信云环境下的攻击已经涵盖了初始访问、载荷投递、命令控制、数据渗出等多个阶段。攻击者通过滥用合法的可信云服务和云产品功能对目标可信钓鱼、C2 前置保护、弹性代理节点部署等攻击行为,甚至利用云平台中的可信子域关系攻击云平台和云租户,获取对整个云平台资源的控制权限。这种攻击
30、利用了云环境下的可信关系,使得攻击更加难以防御和检测,合法利用云资源将攻击隐藏在可信云环境下成为了必然的发展趋势。2022 攻击技术发展趋势报告精华版012云原生环境包括 DevOps、CI/CD、容器化编排与部署等多种开发和运行环境。在推进云化战略前进的同时,也为云环境引入了新的攻击面,攻击者也在不断研究新型环境下的攻击利用技术。以 Kubernetes(K8S)为代表的容器编排框架具有独特的权限管理机制和集群环境特性,攻击者利用它实现集群内部的横向移动成为一种新趋势,以获取更高的集群管理权限。同样,云原生下开发环境的利用手法也在快速发展,如 CI/CD 和 DevOps 开发体系,虽然加快
31、了应用迭代升级的同时,也为云上应用带来了新的问题,甚至可能引发供应链攻击,造成更广泛的攻击影响范围。综上所述,随着云计算的快速发展,企业在数字化转型过程中面临着新的挑战。云环境下的攻击越来越多样化,攻击者利用云产品特性和操作方式进行攻击,可信云环境成为攻击者的理想基础设施资源。云原生环境下的开发和运行环境也带来了新的攻击面和风险。在这样的复杂环境中,建立信任关系和应对云安全威胁变得至关重要。企业需要加强对云环境的监控和防御能力,采取合适的安全措施来应对可信云环境下的攻击,确保云计算的安全和稳定运行。关于云安全年度趋势的更多观点和细节,推荐您阅读2022 年共计技术发展趋势报告-完整版。2.4终
32、端对抗日益完善的系统安全机制与 EDR 安防产品给攻击者带来持续的进化选择压力,端侧战线的白热化博弈催生各类新型对抗技术,并在现网实战中发展完善。根植于不同实战环境对抗需求,A.B.E 技术的迭代发展也是审视端侧对抗技术发展趋势的一条贯穿始终的线索。在攻击链的不同阶段,攻击者也会应用不同的 A.B.E 对抗策略。BYOVD 是将带漏洞的合法驱动投递至目标终端,借助其完成恶意操作的攻击技术,也是主动式“Anti”对抗技术的代表。藉由合法驱动存在的安全缺陷,BYOVD 为攻击者打通一条重返 Ring 0 的捷径,成为攻击者权限提升、防御削弱阶段的重要手段。除了 BYOVD 技术这类直击核心的“An
33、ti”对抗技术,攻击者在命令控制与攻击潜伏长期阶段也会利用各种“Bypass”类技术绕过现有终端防线。围绕内存的攻防对抗愈发激烈,各类睡眠混淆技术作为对抗内存扫描的有效方法持续迭代。013年度攻击技术详解 图 2.1图 典型 BYOVD 利用过程Linux 侧 A.B.E 技术发展也呈现出新的变化。传统攻防场景下 Linux 终端对抗技术博弈不及 Windows 激烈与成熟,但云原生与容器技术的广泛应用所带来的新的攻防场景带来了新的契机。Rootkit 等经典的隐匿利用技术借助 eBPF 等新型隐匿攻击面继续发挥其在隐蔽潜伏上“多”而“全”的重要作用。无文件攻击技术与内存执行、持久化等技术的发
34、展,也为Linux 端侧对抗这个古老战场冲刷出新的风景。A.B.E 技术的发展迭代也会受到系统与应用安全机制的影响,旧有技术在实战场景中的消亡也蕴含着新兴攻击技术的发展空间。“WEB标记”机制的完善与“宏”的默认禁用使得“VBA宏文档攻击”这一拥有悠久历史的攻击手段“盖棺定论”,在野利用中 LNK/SLK/XLL 等文件类型接棒文档攻击成为初始访问主力。关于终端对抗年度趋势的更多观点和细节,推荐您阅读2022 年共计技术发展趋势报告-完整版。2.5供应链安全2022 年,开源软件供应链攻击当中已经出现了许多值得关注的技战法。攻击者正在利用开源软件之间复杂的供需关系以及平台特性发起攻击,主流的
35、PyPI、NPM 包管理平台都出现了不同程度的供应链攻击事件;企业内部也面临来自设备漏洞带来的供应链安全风险,去年俄乌战争之始,高级供应链攻击技战法也开始涌现在国家之间的博弈当中,关基单位迎来了更大的安全挑战。现如今企业安全防御能力日渐完善,传统的攻击手段已经很难对目标造成有效的威胁,而供应链攻击与社工攻击、0day 攻击已经并称为当下企业网络突破的三大核心手段,供应链攻击已经开始趋于规模化、系统化、产业化,企业遭受的供应链攻击正在呈现快速增长的态势。2022 攻击技术发展趋势报告精华版014开源软件作为降低研发成本的重要方式,在现代化开发过程中不可或缺。然而,大多数开源软件缺乏对其代码安全的
36、保障能力,导致安全漏洞频发,将安全问题传递给下游企业,隐性的传播方式加大了漏洞的影响力,使得开源软件安全风险成为软件供应链安全的焦点问题。攻击者利用 Github、NPM 等平台托管经过精心构造的仓库和依赖包,利用新型欺诈手法针对特定开发人员进行供应链攻击。企业网络边界和高风险设备成为供应链攻击的热点目标,仅一个漏洞就足以使攻击者突破企业内网。针对企业网络边界设备和高风险设备进行了数据调查和统计,共覆盖了 126 个漏洞,涵盖了防火墙、VPN、路由器、堡垒机等常见的企业网络边界设备,以及运维监控系统、桌面软件、源代码管理等高风险设备和系统。关键基础设施单位作为支撑国家关键基础设施运行的重要组成
37、部分,一旦遭受供应链攻击,将严重危害国家安全、国计民生和公共利益。2022 年在热战背景下,关键基础单位也面临更具针对性的供应链攻击。供应链安全威胁在 2022 年持续增长,攻击者利用开源软件和设备漏洞进行攻击,企业安全防御能力不断提升。加强供应链安全的重要性日益凸显,企业需要采取有效和体系化的防御措施来保护自身免受供应链攻击的威胁。关于供应链安全年度趋势的更多观点和细节,推荐您阅读2022 年共计技术发展趋势报告-完整版。年度高可 利用漏洞 032022 攻击技术发展趋势报告精华版016根据 Google Project Zero 统计的在野 0day 漏洞列表,在 2022 年被检测到新出
38、现的在野0day 漏洞共有 37 个,平均每隔 10 天就会发现一个新的在野 0day 漏洞,而这仅是已被曝光的部分,意味着有更多的未公开 0day 漏洞。通过调查这些 0day 漏洞,可以发现攻击者集中使用漏洞在权限提升和打击突破这些攻击阶段中。在这些已被披露的在野 0day 漏洞影响的产品中,操作系统和浏览器是被攻击的主要目标。此外,在 2022 年上半年在野利用 0day 漏洞中,18 个漏洞中至少有 9 个漏洞为历史漏洞补丁的绕过。这些漏洞中一部分是由于厂商对其产品的漏洞修复不够完善导致的,另一部分则是由于厂商在产品更新迭代时将漏洞代码重新引入所导致的漏洞。厂商对此需要更加重视其产品的
39、漏洞修复,同时提高产品开发人员的安全编码规范。从 2022 年全年的 MSRC 漏洞看来。我们若是根据近年来披露的漏洞数量将协议分为“热门协议”和“冷门协议”,如将 SMB、DNS 等协议作为“热门协议”,将 SSTP、PPTP 等协议作为“冷门协议”。可以看到在 2021 年,冷门协议漏洞只有 10 个,仅占协议类漏洞总量的 13%左右。然而到了 2022 年,冷门协议漏洞数量激增至 60 个,占协议类漏洞总量的64%。我们分析冷门协议类漏洞在目前这个发展阶段具备了三个特点,一是冷门协议漏洞由于未被大量研究,很多漏洞相对简单、易于触发。二是协议使用量较大,大多发行版系统都内置协议功能。三是漏
40、洞利用难度大,从漏洞触发到实现远程代码执行还要攻破很多问题。冷门协议漏洞的大量出现仍然提醒人们需要关注此类漏洞未来可能的攻击趋势。及时跟进各种安全漏洞,并采取相应的防护措施,才能最大程度地减小其带来的危害。在 2022 年,漏洞利用和防御技术取得了显著进展。针对内存漏洞的防御,厂商投入更多资源,例如苹果公司在 iOS15 引入了新的内存分配器 kalloc_type,以缓解 UAF 漏洞的利用。苹果还在 iOS16 中推出了锁定模式,有效防止浏览器 JIT 漏洞的攻击。此外,微软在Windows 最新的预览版中引入了新的 Windows 事件追踪(ETW),用于报告可疑的 NT API调用,有
41、助于检测漏洞利用攻击。同时,新型漏洞利用技术也出现,如利用文件删除漏洞到特权提升和新的漏洞利用原语的开发。已有部分漏洞利用样本采用这些技术进行权限提升。这种新型漏洞利用技术的出现给系统安全带来了新的挑战,需要安全研究人员和开发者密切关注并及时采取相应的防护措施。本章的目的是提醒人们关注漏洞打击面的变化和趋势,加强对 0day 漏洞的防范和应对措施,警惕冷门协议漏洞带来的潜在威胁,并关注漏洞利用与防御技术的最新发展。只有不断017年度高可利用漏洞 加强漏洞研究、提高网络安全意识和加强安全防护措施,我们才能更好地应对不断变化的威胁环境,确保网络和系统的安全性。关于高可利用漏洞年度趋势的更多观点和细
42、节,推荐您阅读2022 年共计技术发展趋势报告-完整版。网络武器 04019网络武器 在过去的几十年里,网络武器经历了快速演变和发展。早期的网络武器主要是简单的计算机病毒和蠕虫,它们通过感染计算机系统来传播并造成破坏。然而,随着安全技术的进步,网络防御也逐渐加强,使得传统的网络武器变得不再有效。为了应对日益复杂的网络防御措施,黑客和攻击者开始使用更高级的网络武器。这些新一代网络武器具备更强大的攻击能力和更隐蔽的行动方式。远程命令和控制工具(C2)是攻击者的控制基础。近年来,新型 C2 如 Nighthawk、Brute Ratel 等不断涌现,相比于 Cobalt Strike 遵循的稳定性和
43、易用性,这些新一代 C2 在实现逃逸现代检测技术的选择方面更激进,技术更新更频繁。常常逆向分析系统机制和EDR 的实现原理与检测逻辑,利用 Windows 内置功能进行技术替换、滥用合法的函数回调以及隐蔽恶意的模块加载。它们还会加密运行时内存,重新实现新的攻击逻辑。2022 年的俄乌冲突,除了引发地区热战外,网络空间也爆发了规模空前的数字战争,多个国家级网络部队在其中较量,以破坏国家级核心关键基础设施为目标的战火波及全球。热战开始后的大规模网络战争中,以破坏性为主要目标的擦除器大量出现。除了覆盖原有数据以外,这些擦除器使用技术手段多种多样,如 HermeticWiper 便使用类似磁盘整理工具
44、的方式,利用了合法驱动绕过 Windows 安全机制直接对磁盘扇区进行写入。除了针对PC 终端的擦除器,针对路由器、调制解调器的网络硬件设备的擦除器同样能对网络造成巨大干扰。攻击者除了覆盖和删除文件系统中的文件,还会尝试使用一系列 ioctl 指令来销毁存储设备文件中的数据,导致设备瘫痪无法启动。为了绕过 IPS、WAF 类边缘防护设备产品对通讯流量的严格筛查,攻击者大量修改开源网络穿透工具如 frp 的网络协议的特征字段,或选择使用更冷门的协议追加防御产品的技术成本,使防守方疲于应对。同样如Domain Fronting等技术也被用于穿透工具的前置保护,CDN、云函数与 API 网关都能够提
45、供大量节点 IP 用以进行通信。在云加速发展的同时,品类繁多的云产品也满足了攻击者的需求,云环境所具备的高可信、强匿名、多出口等特点显著提高了攻击者基础设施的隐蔽性。网络空间战场虽不见硝烟弥漫,但激烈的对抗无时无刻在进行中。在大国背景下,比 CobaltStrike 更具攻击性的新兴 C2 可能会对现有安全防护造成巨大的挑战,在整个2022 年我们看到 Nighthawk 的不断开发迭代更新,BRC4 泄露被黑客用于 APT 攻击,CobaltStrike 则声明其将在稳定和灵活的基础上,增加更多关于检测逃逸的技术。在俄乌热战背景下,数据擦除器成为了网络致瘫攻击的热门武器,显现出对社会秩序、关键部门的2022 攻击技术发展趋势报告精华版020正常运转形成巨大威胁。同时攻击者在构建基础设置、穿透隧道时会更加注重隐蔽性,使用各种方式提高隐蔽能力使得通信过程中的特征会更加难以捕捉,而通过配合使用云产品保护基础设施使其具有高通信可信度与防溯源能力。关于网络武器年度趋势的更多观点和细节,推荐您阅读2022 年共计技术发展趋势报告-完整版。