1、网络安全网络安全报告报告20242CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告YOU DESERVE THE BEST SECURITY3CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告第第 1 1 章章 2024 年网络安全报告引言2024 年网络安全报告引言 研究副总裁 MAYA HOROWITZ第第 2 2 章章 2023 年重大网络事件时间表2023 年重大网络事件时间表第第 3 3 章章 网络安全趋势网络安全趋势26 勒索软件零日攻击和大型攻击30 攻击面不断扩大：边缘设备的新风险34 政府背景的黑客行动主义和

2、Wiper 成为新常态38 令牌遭受攻击：云计算的致命弱点41 PIP 安装恶意软件：软件存储库遭受攻击第第 4 4 章章 全球分析全球分析 第第 5 5 章章 引人注目的全球性漏洞引人注目的全球性漏洞第第 6 6 章章 CHECK POINT 事件响应相关见解CHECK POINT 事件响应相关见解第第 7 7 章章 为首席信息安全官提供独到洞察 预测为首席信息安全官提供独到洞察 预测 第第 8 8 章章 人工智能：当今网络安全战中的前沿防御者人工智能：当今网络安全战中的前沿防御者第第 9 9 章章 恶意软件系列说明恶意软件系列说明第第 10 10 章章 结语结语04072546707581

3、8593101目录目录4CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告102024 年 网络安全报告引言第第 1 1 章章MAYA HOROWITZ Check Point 研究副总裁5CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告欢迎查看Check Point 2024 年安全报告。2023 年，网络安全世界发生重大变化，网络攻击的性质和规模都在迅速演变。这一年，我们看到网络威胁从隐形匿迹于虚拟世界，到明目张胆登上现实舞台，吸引了从政府机构到普罗大众的无数关注目光。这些攻击使用的方法花样百出，背后的原因同样五花八门。勒索

4、软件仍然是主要威胁之一，攻击者不只索要钱财，还想寻求“赏识”。勒索软件利用零日漏洞发起攻击，同时利用羞辱性网站来披露受害者身份，攻击者对这种攻击方式越发趋之若鹜，勒索软件也因此成为网络犯罪分子之间攀比的筹码。遭受这些攻击的代价不仅仅是支付赎金，有些公司和组织，比如米高梅(MGM)、迪拜环球港务集团(DP World)和大英图书馆(British Library)等还要面对重建系统的巨额开支。此外我们看到，黑客行动主义（即因政治或社会原因而产生的黑客行为）有所增加。这类黑客行为曾是个体行动者的工具，现在则由政府用作间接攻击对手的方式。在俄乌冲突和巴以冲突等事件发生后，这一点尤为明显。攻击者找到了

5、侵入系统的新方法，路由器和交换机等设备便成为容易攻击的目标。包括 Okta 和 23AndMe 在内的一些大型组织都遭到过利用窃取的登录信息或恶意软件发动的攻击。人工智能(AI)在本年度网络攻击中扮演了更重要的角色。攻击者开始使用人工智能工具来更有效地实施钓鱼活动。不过好消息是，网络防御者同样也在使用人工智能来更好地防范这些威胁。第 1 章6CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告网络犯罪分子阻击战亦有捷报传来。包括美国联邦调查局(FBI)在内的多个执法机构在消除 Hive 勒索软件网络和 Qbot 基础设施等主要威胁方面，取得了进展。但其中一些组织卷

6、土重来，也在提醒着我们，与网络犯罪的斗争任重而道远。本报告将回顾 2023 年发生的重大网络安全事件，提供独到洞察和分析，帮助大家了解并提前筹备，应对未来挑战。我们的目标是为组织、政策制定者和网络安全专业人员提供有价值的信息，协助他们在日益数字化的世界中构筑更强大的防御体系。希望本报告能为您提供丰富、翔实的信息，对您保障数字环境安全有所助益。Maya HorowitzCheck Point Software Technologies 研究副总裁第 1 章7CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告202023 年 重大网络事件 时间表第第 2 2 章章8

7、CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告一月一月在某暗网论坛发现一个包含逾 1400 万用户名和密码的数据库，该数据库中有超过 10 万条澳大利亚政府机构门户网站的登录信息。Vice Society 勒索软件组织针对英国和美国的学校发动了一系列大范围攻击。作为对这些事态发展的回应，美国联邦调查局(FBI)已就该组织的活动发布官方警报。Check Point Threat Emulation Check Point Threat Emulation 提供针对此威胁的防护提供针对此威胁的防护(Trojan.Wins.(Trojan.Wins.ViceSoc

8、iety.*)ViceSociety.*)Check Point Research 报告称，黑客论坛上的威胁执行者已开始利用 ChatGPT 等人工智能工具来创建恶意软件和攻击工具，例如信息窃取程序和加密程序。英国皇家邮政集团的国际邮件服务 Royal Mail 因网络攻击而中断运营。由于无法将包裹派送至目的地，该服务已告知用户暂停寄件。经证实，LockBit 勒索软件团伙是此次攻击的实施者，他们威胁称，如果赎金要求得不到满足，他们将泄露窃取的数据。Check Point Harmony Endpoint Check Point Harmony Endpoint 和和 Threat Emula

9、tion Threat Emulation 提供针对此威胁的防提供针对此威胁的防护护(Ransomware.Win.Lockbit)(Ransomware.Win.Lockbit)Check Point Research 发现，俄罗斯网络犯罪分子试图绕过 OpenAI 的限制，将 ChatGPT 用于恶意目的。在地下黑客论坛上，黑客们正在讨论如何绕过 IP 地址、支付卡和电话号码控件，而所有这些都是从俄罗斯访问 ChatGPT 所必需的流程。第第 2 2 章章9CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告二月二月Check Point Research 将

10、市值为 1094.1525 万美元的 Dingoo 加密代币标记为骗局。该代币背后的威胁执行者在其智能合约中添加了后门功能，用于操纵费用。具体而言，他们使用代币智能合约代码中的“setTaxFeePercent”函数来操纵买卖费用，将其提升至交易额 99%的惊人比例。该函数已被使用 47 次，Dingo 代币的投资者有可能面临损失全部资金的风险。亲俄黑客组织 KillNet 针对美国医疗行业发起大规模行动，实施了多次 DDoS 攻击。英国运动服饰零售商 JD Sports 宣布发生数据泄露事件，约 1000 万客户受到影响。所称泄露的数据涵盖了客户在 2018 年 11 月至 2020 年 1

11、0 月期间提交的在线订单，其中包括全名、电子邮件、电话号码、账单详情、送货地址等信息。Check Point Research 曝光了两个恶意代码包 Python-drgn 和 Bloxflip，它们由威胁执行者分发，利用程序包存储库作为可靠、可扩展的恶意软件分发渠道。大规模“ESXiArgs”勒索软件活动影响数千台 VMware ESXi 主机，幕后组织已更新其恶意软件的加密流程。更新后的恶意软件版本现在还对原先可能用于触发恢复流程的文件进行加密，因此，用户无法通过研究人员推荐的可行方法进行恢复。Check Point IPS Check Point IPS 提供针对此威胁的防护提供针对此威

12、胁的防护 VMWare OpenSLP VMWare OpenSLP 堆缓冲区溢出堆缓冲区溢出（CVE-2019-5544CVE-2019-5544；CVE-2021-21974CVE-2021-21974）社交媒体平台 Reddit 遭受安全漏洞攻击，此前他们的一名员工不幸落入网络钓鱼圈套。根据该公司的声明，虽然内部文件和源代码失窃，但用户信息和凭据并未受到影响。第第 2 2 章章10CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告以色列顶尖大学之一以色列理工学院(Technion)成为勒索软件攻击的目标，被迫关闭学院网络并将期末考试推迟到下学期。有人怀疑此

13、次攻击可能出于政治或个人动机，因为作案者是以前不为人知的组织，而且勒索凭证中包含非常规信息。Check Point 研究人员发现，威胁执行者正绕过 ChatGPT 的限制创建恶意内容，并企图改进最早出现于 2019 年的初级信息窃取恶意软件的代码。研究人员分析了多个使用恶意软件包试图进行供应链攻击的活动。其中一项 Pypi(Python)活动创建了 450 余个与加密货币相关的程序包，这些程序包将替换加密货币钱包地址，另一项活动则注册了 5 个用于传播凭据窃取恶意软件的程序包。此外还观察到一项传播远程访问木马程序的 npm(Java)活动。新西兰奥克兰市宣布当地进入紧急状态，需全力应对导致城市

14、 IT 系统离线的勒索软件攻击。大规模 ESXiArgs 勒索软件活动愈演愈烈，近日影响了 500 余台主机，其中大多数位于法国、德国、荷兰、英国和乌克兰。随着 OpenAI 推出名为 ChatGPT Plus 的付费 ChatGPT 服务，威胁执行者现以提供所谓的免费平台访问权限为名，诱使用户下载恶意应用程序或访问钓鱼网站。三月三月日客运量约为 1.8 万人的美国华盛顿州公共交通运营商 Pierce Transit 成为 LockBit 团伙实施的勒索软件攻击的受害者。该勒索软件组织声称其窃取了往来信件、保密协议、客户数据、合同等资料。Check Point Threat Emulation

15、 Check Point Threat Emulation 和和 Harmony Endpoint Harmony Endpoint 提供针对此威胁的防护提供针对此威胁的防护 (Ransomware.Win.Lockbit)(Ransomware.Win.Lockbit)第第 2 2 章章11CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告Check Point 研究人员发现了中国大陆高级持续性威胁(APT)组织 SharpPanda 的网络间谍活动。该活动针对东南亚政府实体，利用 Soul 框架建立对受害者网络的访问通道并窃取信息。Check Point T

16、hreat Emulation Check Point Threat Emulation 和和 Anti-bot Anti-bot 提供针对此威胁的防护提供针对此威胁的防护(Trojan.(Trojan.WIN32.SharpPanda)WIN32.SharpPanda)Check Point Research 披露了名为 FakeCalls 的 Android 木马，它可以模仿 20 多种金融应用程序，并通过模拟与银行员工的对话来进行语音钓鱼。这种针对韩国市场设计的恶意软件还可以从受害者的设备中提取私人数据。Check Point Check Point Harmony Mobile Har

17、mony Mobile 和和 Threat Emulation Threat Emulation 提供针对此威胁的防提供针对此威胁的防护。护。Check Point Research 发现，国际象棋对弈平台 存在安全漏洞，可能导致用户操纵对局结果。利用该漏洞，研究人员可以缩短对手的可用时间，从而赢得棋局。Check Point Research 对 ChatGPT4 进行了分析，确定了五种允许威胁执行者绕过限制并利用 ChatGPT4 创建钓鱼电子邮件和恶意软件的场景。意大利豪华跑车制造商法拉利在公司 IT 系统遭到勒索攻击后宣布发生数据泄露。流出的数据包括公司客户的全名、地址、电子邮件地址和

18、电话号码等个人信息。Check Point Research 在 PyPI（Python 软件包索引）上检测到恶意软件包，它们使用网络钓鱼技术隐藏其恶意意图。这些恶意软件包在安装过程中偷偷下载并执行混淆代码，导致供应链出现风险。Check Point CloudGuard Spectral Check Point CloudGuard Spectral 提供针对此威胁的防护。提供针对此威胁的防护。第第 2 2 章章12CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告四月四月3CX 通信公司 VoIP 应用程序 3CXDesktopApp 的 Windows 和

19、 macOS 版本双双遭到入侵，被用于在大规模供应链攻击中分发木马化版本。该大范围攻击称为 SmoothOperator，其中威胁执行者使用 3CXDesktopApp 来加载恶意文件，并向攻击者的基础设施发送信标，对 3CX 的应用程序进行滥用。全球有超过 60 万家使用 3CX 的公司可能受到此次攻击的影响。该攻击与朝鲜 Lazarus 组织有关，追踪编号为 CVE-2023-29059。Check Point Threat Emulation Check Point Threat Emulation 和和 Harmony Endpoint Harmony Endpoint 提供针对此威提

20、供针对此威胁的防护（胁的防护（Trojan-Downloader.Win.SmoothOperatorTrojan-Downloader.Win.SmoothOperator；Trojan.Wins.Trojan.Wins.SmoothOperatorSmoothOperator）澳大利亚最大的博彩娱乐公司皇冠度假集团(Crown Resorts)透露，其遭到 CL0P 勒索软件组织的勒索。此次勒索攻击也是 CL0P 组织利用 Fortra GoAnywhere 漏洞的结果。Check Point Threat Emulation Check Point Threat Emulation 和和

21、 Harmony Endpoint Harmony Endpoint 提供针对此威胁的防提供针对此威胁的防护（护（Ransomware.Wins.ClopRansomware.Wins.Clop；Ransomware.Win.ClopRansomware.Win.Clop；Ransomware_Ransomware_Linux_ClopLinux_Clop）研究人员一直在追踪黑客组织 Anonymous Sudan，该组织向欧洲、澳大利亚、以色列等地的组织发动了多次 DDoS 攻击，针对的通常是视为反穆斯林的活动。业界认为该组织隶属于与俄罗斯有关的黑客组织 Killnet 并支持其秘密计划。C

22、heck Point Research 发现了名为 Rorschach 的新型勒索软件，该软件通过 DLL 旁加载合法签名安全产品进行部署。该勒索软件高度可定制，具有前所未见的独特技术功能，并且就加密速度而言，它是目前观察到的速度最快的勒索软件之一。Check Point Harmony Endpoint Check Point Harmony Endpoint 提供针对此威胁的防护。提供针对此威胁的防护。第第 2 2 章章13CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告Check Point Research 在 Microsoft Message Qu

23、euing 服务（通常简称为 MSMQ）中发现了三个漏洞（CVE-2023-28302、CVE-2023-21769 和 CVE-2023-21554）。CPR 将其中最严重的漏洞称为 QueueJumper(CVE-2023-21554)，该漏洞为超危级别，可能允许未经身份验证的攻击者在 Windows 服务进程 mqsvc.exe 的情景中远程执行任意代码。Check Point IPS Check Point IPS 提供针对此威胁的防护提供针对此威胁的防护 Microsoft Message Queuing Microsoft Message Queuing 远程远程代码执行代码执行(

24、CVE-2023-21554)(CVE-2023-21554)Check Point Research 指出，针对物联网设备的网络攻击急剧增加，与 2022 年相比，2023 年前两个月各组织每周遭受攻击的平均次数增加了 41%。平均而言，每周有 54%的组织遭受针对物联网设备的网络攻击，主要集中在欧洲，其次是亚太地区和拉丁美洲。Check Point Quantum IoT Protect Check Point Quantum IoT Protect 提供针对此威胁的防护提供针对此威胁的防护Check Point Research 警告称，有关被盗 ChatGPT 帐户的讨论和交易有所增加

25、，尤其是高级帐户。网络犯罪分子会泄露 ChatGPT 帐户的凭据，交易高级 ChatGPT 帐户，并使用针对 ChatGPT 的暴力破解工具，这让网络犯罪分子能够绕过 OpenAI 的地理围栏限制，并获取现有 ChatGPT 帐户的历史查询信息。Check Point Research 团队发现了 Raspberry Robin 恶意软件所使用的新技术。这些方法包括若干种反躲避技术、混淆技术和反虚拟机措施。该恶意软件还利用 Win32k 中的两个漏洞（CVE-2020-1054 和 CVE-2021-1732）来提升其权限。Check Point Threat Emulation Check

26、Point Threat Emulation 和和 IPS IPS 提供针对此威胁的防护提供针对此威胁的防护 Trojan.Wins.Trojan.Wins.RaspberryRobinRaspberryRobin；Microsoft Win32k Microsoft Win32k 权限提升权限提升(CVE-2021-1732)(CVE-2021-1732)、Microsoft Win32k Microsoft Win32k 权限提升权限提升(CVE-2020-1054)(CVE-2020-1054)第第 2 2 章章14CHECK POINT SOFTWARE|2024 2024 年安全报告

27、年安全报告五月五月Check Point Research 公布了与 Educated Manticore 有关的新发现，该活动集群与出没于中东和北美地区的伊朗关联威胁执行者 Phosphorus 存在明显重合。Educated Manticore 紧随最新趋势，开始使用 ISO 映像（可能还有其他存档文件）来启动感染链。Check Point Harmony Endpoint Check Point Harmony Endpoint 和和 Threat Emulation Threat Emulation 提供针对此威胁的防提供针对此威胁的防护护(APT.Wins.APT35.ta)(APT

28、.Wins.APT35.ta)Check Point Research 披露了名为 FluHorse 的新型 Android 恶意软件。该恶意软件模仿多款合法应用程序，其中大部分应用程序的安装量均超过 100 万次。该恶意软件会窃取受害者的凭据和双因素身份验证(2FA)代码。FluHorse 针对东亚市场的不同行业，通过电子邮件进行分发。Check Point Harmony Mobile Check Point Harmony Mobile 提供针对此威胁的防护提供针对此威胁的防护(FLU_HORSE_STR)(FLU_HORSE_STR)Check Point Research 注意到，利

29、用 ChatGPT 品牌相关网站实施的网络攻击急剧增多。这些攻击包括通过与 ChatGPT 看似相关的网站分发恶意软件和实施网络钓鱼攻击，诱使用户下载恶意文件或泄露敏感信息。数据存储巨头 Western Digital 已证实发生数据泄露，公司客户的个人信息遭到曝光。流出的数据包括姓名、账单和送货地址、电子邮件地址和电话号码。威胁执行者声称他们与 ALPHV（又名 Black Cat）勒索软件团伙无关，但会利用该组织的泄密网站对上述公司实施恐吓与勒索。Check Point Research 发现了专为 TP-Link 路由器定制的固件植入程序，该植入程序与中国大陆政府支持的 APT 组织（名

30、为 Camaro Dragon）有关，该组织与 Mustang Panda 存在相似之处。该植入程序用于针对欧洲外交实体发起定向攻击，由多个恶意组件构成。其中包括名为“Horse Shell”的自定义后门程序，它使攻击者能够保持持续访问、构建匿名基础设施，并允许横向移动至已遭入侵的网络。第第 2 2 章章15CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告Check Point Quantum IoT Protect Check Point Quantum IoT Protect 和和 Threat Emulation Threat Emulation 提供针

31、对此威胁的提供针对此威胁的防护防护(APT.Wins.HorseShell)(APT.Wins.HorseShell)美国联邦调查局(FBI)、美国网络安全和基础设施安全局(CISA)和澳大利亚网络安全中心(ACSC)警告称，BianLian 勒索软件组织已将其策略转变为只进行勒索攻击。该组织现在不再加密文件及索要赎金，而是重点窃取敏感数据，并威胁称若不支付赎金便公开这些数据。Check Point Threat Emulation Check Point Threat Emulation 提供针对此威胁的防护提供针对此威胁的防护(Ransomware.Win.(Ransomware.Win.

32、GenRansom.glsf.A)GenRansom.glsf.A)Check Point Research 发布了关于 GuLoader 的报告。GuLoader 是基于 shellcode 的知名下载程序，已在大量攻击中用于传播一系列榜上有名的恶意软件。GuLoader 的有效负载完全加密，允许威胁执行者使用常见公有云服务存储有效负载，并绕过病毒防护机制。Check Point Threat Emulation Check Point Threat Emulation 提供针对此威胁的防护提供针对此威胁的防护(Dropper.Win.(Dropper.Win.CloudEyE.*)Clou

33、dEyE.*)Check Point Research 详细介绍了中国大陆政府支持的最新攻击及其对网络设备的使用。在此之前，美国和国际网络安全机构针对中国大陆政府支持的网络攻击者（也称为 Volt Typhoon）发布了联合网络安全公告。该攻击者对包括政府和通信组织在内的多个行业的“关键”网络基础设施实施了破坏。六月六月Progress 披露了 MOVEit Transfer 和 MOVEit Cloud 中的一个漏洞(CVE-2023-34362)，该漏洞可导致权限升级以及对环境的无授权访问。发现该漏洞后，Progress 立即着手开展调查，48 小时内便发布了缓解措施和安全补丁。然而与俄罗

34、斯有关联的勒索软件组织 Clop 网络犯罪分子还是趁虚而入，利用该漏洞对 MOVEit 用户发起了供应链攻击。作为受害者之一，薪资服务提供商 Zellis 率先披露了安全漏洞攻击，此外还有许多其他组织也都受到了影响。第第 2 2 章章16CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告Check Point IPS Blade Check Point IPS Blade 提供针对此威胁的防护提供针对此威胁的防护 MOVEit Transfer SQL MOVEit Transfer SQL 注入注入 (CVE-2023-34362)(CVE-2023-3436

35、2)Check Point Research 发布了对中国大陆 APT 组织 Camaro Dragon 所用后门工具的分析报告。该后门工具称为 TinyNote，使用 Go 语言编写，其中包含可绕过东南亚国家/地区常用的印度尼西亚防病毒软件 SmadAV 的功能。APT 组织的受害者可能包括东南亚国家/地区的大使馆。Check Point Threat Emulation Check Point Threat Emulation 提供针对此威胁的防护提供针对此威胁的防护(APT.Wins.(APT.Wins.MustangPanda.ta.*)MustangPanda.ta.*)美国伊利诺伊

36、州某医院因遭受勒索软件攻击而面临停业，成为首家因此类事件而关闭的医疗机构。SMP Health 曾在 2021 年遭受攻击，医院长达数月之久无法向保险公司提交理赔申请（包括 Medicare 和 Medicaid）。这一情形导致医院财务状况急剧恶化。美国路易斯安那州机动车辆办公室(OMV)和俄勒冈州机动车辆管理处(DMV Services)发表声明警告美国公民，有数百万驾照数据遭到泄露。在此之前，Clop 勒索软件团伙入侵了上述机构的 MOVEit Transfer 安全文件传输系统，并窃取了其中存储的数据。Check Point IPS BladeCheck Point IPS Blade、

37、Harmony Endpoint Harmony Endpoint 和和 Threat Emulation Threat Emulation 提供针提供针对此威胁的防护对此威胁的防护 （Progress MOVEit Transfer Progress MOVEit Transfer 的多个漏洞）；的多个漏洞）；Webshell.Webshell.Win.MoveitWin.Moveit，Ransomware.Win.ClopRansomware.Win.Clop，Ransomware_Linux_ClopRansomware_Linux_Clop；Exploit.Exploit.Wins.M

38、OVEitWins.MOVEitCheck Point 研究人员发现，欧洲一家医疗机构受到复杂恶意软件影响。攻击由中国大陆政府支持的 APT 组织 Camaro Dragon(Mustang Panda)发起。威胁执行者使用恶意 U 盘作为初始访问向量，对受限网络进行攻击，其有效负载包含的模块可对插入受感染主机的任何其他 U 盘实施进一步感染。据信，该恶意软件的传播已超出攻击者原本的目标，有可能悄然之间感染全球数十家组织。第第 2 2 章章17CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告Check Point Harmony Endpoint Check

39、Point Harmony Endpoint 和和 Threat Emulation Threat Emulation 提供针对此威胁的防提供针对此威胁的防护（护（APT.Wins.MustangPandaAPT.Wins.MustangPanda；APT.Wins.MustangPanda.taAPT.Wins.MustangPanda.ta）七月七月Check Point Research 发现了热门消息应用程序 Telegram 的恶意修改版本。该恶意应用程序会安装 Triada 木马，可为受害者注册各种付费订阅，执行应用内购买并窃取登录凭据。美国电视频道 Nickelodeon 疑似发

40、生数据泄露，致使 500 GB 数据外流。这些数据包括脚本、动画文件和完整剧集，经该电视频道证实为合法内容，但都是几十年前的旧数据。上述泄露事件发生在 1 月，起因是信息反馈门户网站存在身份验证漏洞。Check Point Research 发布了对 Google 生成式人工智能平台 Bard 的分析报告，介绍了该平台允许会生成恶意内容的几种场景。威胁执行者可以利用 Bard 生成网络钓鱼电子邮件、恶意软件键盘记录程序和初级勒索软件代码。由中国大陆威胁执行者“Storm-0558”发起的 Microsoft Exchange 电子邮件帐户间谍活动据传访问了美国驻华大使的电子邮件帐户，泄露了数十

41、万封美国政府的个人电子邮件。研究人员警告称，该活动中使用的方法也可能已经攻击了其他 Microsoft 服务的用户帐户，例如 OneDrive 和 Azure 环境。挪威政府报告称，由 12 个主要部门使用的软件平台遭到网络攻击。黑客在此之前利用了 Ivanti Endpoint Manager Mobile(EPMM)中的零日身份验证来绕过漏洞。第第 2 2 章章18CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告八月八月Prospect Medical Holdings 是一家大型医疗服务提供商，在美国经营着 16 家医院和 166 家专科诊所及服务中心，

42、日前遭受了严重的勒索软件攻击。攻击至少扰乱了公司在三个州的运营，迫使医院将患者转移到其他设施。目前还未有勒索软件团伙公开宣称对此次攻击负责。Check Point 研究人员就基于 NPM 的漏洞分享了最新调查结果，表示在 50 多个热门软件包中都发现了这类漏洞，令无数项目和组织面临风险。Check Point CloudGuard CNAPP Check Point CloudGuard CNAPP 提供针对此威胁的防护提供针对此威胁的防护Discord.io 已证实公司正在处理一起数据泄露事件，该事件曝光了 76 万名会员的信息，导致服务暂时中止。此前，名为 Akihirah 的网络犯罪分子

43、在某地下论坛公开了 Discord 的数据库。研究人员发现了一项针对台湾地区数十个组织的持续间谍活动。研究人员认为该活动系由名为 Flax Typhoon 的中国大陆 APT 组织实施，该组织与 Ethereal Panda 有所重合。该威胁组织会最大限度避开自定义恶意软件，改用受害者操作系统中的合法工具来开展间谍活动。亲俄黑客侵入波兰铁路网络指定频率，扰乱了波兰西北部的列车服务。黑客在攻击过程中播放了俄罗斯国歌以及俄罗斯总统普京的讲话。第第 2 2 章章19CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告九月九月FBI 宣布，“猎鸭行动”(Duck Hunt

44、)成功瓦解了至少从 2008 年开始活跃的 Qakbot 恶意软件组织。据了解，Qakbot 通过带有恶意附件和链接的垃圾邮件来感染受害者，同时还充当勒索软件操纵者的平台。全球有超过 70 万台计算机受到影响，其中包括金融机构、政府承包商和医疗设备制造商等。Check Point Research 分享了对 Qakbot 恶意软件及其多年来运作情况的分析。Check Point Harmony Endpoint Check Point Harmony Endpoint 和和 Threat Emulation Threat Emulation 提供针对此威胁的提供针对此威胁的防护（防护（Troj

45、an.Wins.QbotTrojan.Wins.Qbot；Trojan.Win.QbotTrojan.Win.Qbot；Trojan.Downloader.Win.Trojan.Downloader.Win.QbotQbot；Trojan-PSW.Win32.QakbotTrojan-PSW.Win32.Qakbot；Trojan.WIN32.QakbotTrojan.WIN32.Qakbot）Check Point 警告称，最近发生了一起滥用数据可视化工具 Google Looker Studio 的电子邮件网络钓鱼活动。攻击者使用该工具从官方 Google 帐户向受害者发送幻灯片电子邮件，

46、指示他们访问第三方网站领取加密货币。这些网站随后会提示受害者输入凭据，继而窃取这些凭据。Check Point Harmony Email Check Point Harmony Email 提供针对此威胁的防护。提供针对此威胁的防护。Check Point 研究人员分析了新兴的生成式人工智能技术对选举造势活动的潜在影响。生成式人工智能可以针对选民大规模构建单独定制的视听宣传内容，使民主选举的公正性面临更大的风险。为应对这一问题，Google 将要求披露涉及人工智能的政治广告。美国度假村、赌场和连锁酒店集团米高梅(MGM)遭遇网络攻击，公司旗下酒店和赌场由此发生大面积业务中断，为谨慎起见，该公

47、司已关闭其内部网络。此次网络攻击导致该公司的自动取款机、老虎机、客房数字钥匙卡和电子支付系统陷入瘫痪。ALPHV 勒索软件关联组织已声称对此次攻击负责。Check Point Research 分享了对 ALPHV 组织过去 12 个月活动的分析洞察。第第 2 2 章章20CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告Monti 勒索软件团伙已声称对新西兰第三大高校奥克兰理工大学遭受的网络攻击负责。威胁执行者声称窃取了 60 GB 数据，要求受害者在 10 月 9 日最后期限之前支付赎金。Check Point Threat Emulation Check

48、Point Threat Emulation 提供针对此威胁的防护提供针对此威胁的防护(Ransomware.Wins.(Ransomware.Wins.Monti)Monti)Check Point Research 发现了 BBTok 银行恶意软件的新版本，其攻击目标是 40 多家墨西哥和巴西银行的众多客户。研究团队重点介绍了新发现的感染链，其中使用了独特的离地攻击二进制文件(LOLBins)组合，因此检出率很低。研究团队还披露了威胁执行者在攻击中使用的一些服务器端资源，其攻击目标是巴西和墨西哥的数百名用户。Check Point Threat Emulation Check Point

49、Threat Emulation 和和 Harmony Endpoint Harmony Endpoint 提供针对此威胁提供针对此威胁的防护（的防护（Banker.Wins.BBTokBanker.Wins.BBTok；Banker.Win.BBTokBanker.Win.BBTok；Technique.Wins.Technique.Wins.SuxXllSuxXll；Trojan.Win.XllAddingsTrojan.Win.XllAddings）十月十月Check Point 研究人员检测到利用主流文件共享程序 Dropbox 的网络钓鱼活动。威胁执行者使用合法的 Dropbox 页

50、面向受害者发送官方电子邮件，这些邮件随后会将收件人重定向至凭据窃取页面。Check Point 研究人员发现了影响 WEB3 社交媒体平台 Friend.tech 的多个严重漏洞。这组漏洞可能会允许攻击者访问和修改属于该公司的数据库值，并获得对付费功能的访问权限。服务于美国威斯康星地区逾 16 万人口的洛克县公共卫生局成为勒索软件攻击的受害者，攻击导致工作人员被迫下线了部分系统。古巴勒索软件团伙已声称对此次攻击负责，并宣布财务文件、税务信息等已落入其手中。第第 2 2 章章21CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告Check Point Harmon

51、y Endpoint Check Point Harmony Endpoint 和和 Threat Emulation Threat Emulation 提供针对此威胁的防提供针对此威胁的防护（护（Ransomware.Win.CubaRansomware.Win.Cuba、Ransomware.Wins.Cuba.ta.*Ransomware.Wins.Cuba.ta.*）市值数十亿美元的 IT 产品和服务经销商 CDW 据称遭受攻击，LockBit 勒索软件团伙声称对此次攻击负责。该团伙索要 8000 万美元赎金，并威胁要公布窃取的数据，据说其中包括员工通行卡、审计、佣金支付数据等等。该公

52、司已隔离受影响的服务器，据称这些服务器并非面向客户。Check Point Harmony Endpoint Check Point Harmony Endpoint 和和 Threat Emulation Threat Emulation 提供针对此威胁的防提供针对此威胁的防护（护（Ransomware.Win.LockbitRansomware.Win.Lockbit；Gen.Win.Crypter.LockbitGen.Win.Crypter.Lockbit；Ransomware.Ransomware.Wins.LockBit.taWins.LockBit.ta；Ransomware_L

53、inux_LockbitRansomware_Linux_Lockbit）FBI 与 CISA 在其#StopRansomware 活动中发布了一份联合网络安全咨询报告，就 AvosLocker 勒索软件发出警告并对其进行了深入研究，该勒索软件以勒索软件即服务(RaaS)模式运作。两大机构重点介绍了相关技术细节及该组织的 TTP，以协助采取缓解和防御措施。Check Point Harmony Endpoint Check Point Harmony Endpoint 和和 Threat Emulation Threat Emulation 提供针对此威提供针对此威胁的防护（胁的防护（Rans

54、omware.Wins.Avoslocker.ta.ARansomware.Wins.Avoslocker.ta.A、Gen.Win.Crypter.Gen.Win.Crypter.AvosLocker.BAvosLocker.B、Ransomware.Win.AvosLocker.BRansomware.Win.AvosLocker.B、Ransomware_Linux_Ransomware_Linux_AvosLockerAvosLocker）攻击者已获得云身份认证巨头 Okta 部分网络的访问权限。黑客已成功潜入该公司的支持部门至少两周，他们试图使用从支持票证复制的令牌来访问该公司的客户

55、网络。据称，该公司是在一名客户报告称支持票证令牌遭到滥用后才意识到这一事件。Check Point Research 分析了与巴以冲突前十日局势相关的网络活动。与中东、伊斯兰和俄罗斯有关的多个黑客组织加大了针对以色列的攻击力度。研究人员已观察到多种攻击向量，包括 DDoS、篡改和一些以色列网站的信息泄露，其中大多数产生的影响都非常有限。第第 2 2 章章22CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告斯坦福大学成为一起网络攻击的受害者，攻击对该校公共安全部(SUDPS)的系统造成了影响。Akira 勒索软件团伙声称对此次攻击负责，据称攻击导致该校 430

56、GB 数据发生外泄。Check Point Harmony Endpoint Check Point Harmony Endpoint 和和 Threat Emulation Threat Emulation 提供针对此威胁的防提供针对此威胁的防护（护（Ransomware_Linux_AkiraRansomware_Linux_Akira；Ransomware.Wins.AkiraRansomware.Wins.Akira）十一月十一月波音公司承认网络攻击影响了其零部件和分销业务，公司正配合执法部门展开调查。本周早些时候，勒索软件组织 LockBit 将波音公司添加到其受害者页面，并声称已窃

57、取大量数据。Check Point Harmony Endpoint Check Point Harmony Endpoint 和和 Threat Emulation Threat Emulation 提供针对此威胁的防提供针对此威胁的防护（护（Ransomware.Win.LockbitRansomware.Win.Lockbit、Ransomware_Linux_LockbitRansomware_Linux_Lockbit）Check Point Research 披露了与伊朗情报和安全部(MOIS)有关的威胁组织 Scarred Manticore 进行的持续间谍活动。这些攻击依赖于安

58、装在 Windows 服务器上的高级被动恶意软件框架 LIONTAIL。当前活动的攻击目标是中东地区高知名度的组织，重点针对政府、军事和电信部门。Check Point IPSCheck Point IPS、Threat Emulation Threat Emulation 和和 Harmony Endpoint Harmony Endpoint 提供针对此威胁提供针对此威胁的防护（的防护（Backdoor.WIN32.Liontail.A/BBackdoor.WIN32.Liontail.A/B、APT.Wins.Liontail.C/DAPT.Wins.Liontail.C/D）Check

59、 Point Research 近日发布了关于巴以冲突中不断演变的网络事件的述评。最近几周的情况表明，亲巴勒斯坦黑客组织已将其活动范围扩大到以色列以外，主要针对被视为以色列盟友的国家/地区。这些网络行动旨在发挥情报和反击作用，但据悉造成的破坏有限。值得注意的是，攻击目标选择的决定因素除了不断演变的地缘政治事件，还有这些组织先前确立的利益。第第 2 2 章章23CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告中国大陆最大的商业银行中国工商银行(ICBC)美国子公司遭受勒索软件攻击，导致其部分金融服务系统瘫痪，据悉影响了美国国债的流动性。据报道，LockBit 勒

60、索软件团伙是此次攻击的幕后黑手。Check Point Threat Emulation Check Point Threat Emulation 和和 Harmony Endpoint Harmony Endpoint 提供针对此威胁的防提供针对此威胁的防护（护（Ransomware.Wins.LockBit.ta*Ransomware.Wins.LockBit.ta*；Ransomware.Win.LockbitRansomware.Win.Lockbit；Gen.Win.Gen.Win.Crypter.Lockbit.AICrypter.Lockbit.AI；Ransomware_Lin

61、ux_LockbitRansomware_Linux_Lockbit）据报道，与俄罗斯有关的军事情报组织 SandWorm 对丹麦 22 家关键基础设施公司发动了攻击。这是丹麦有史以来最严重的网络攻击，多个工业控制系统遭到入侵，多家能源企业被迫离网运营。Check Point Research 进行了一次实验性深度解析，旨在测试 ChatGPT 的恶意软件分析功能。研究结果重点关注人工智能系统需要哪些指导才能扩展其功能并做出裁决。总部位于美国内华达州的医疗转录公司 Perry Johnson&Associates(PJ&A)披露了一起数据泄露事件，美国多家医疗机构的超过 900 万名患者在该事

62、件中受到影响。外泄数据包括患者的姓名、地址、出生日期、社会安全号码和医疗记录。这起攻击被认为是近年来最严重的医疗数据泄露事件之一。Check Point Research 使用 Threat Intel Blockchain 系统发现了一场正在进行的复杂 Rug Pull 骗局，该计划已顺利窃走近 100 万美元。研究人员已追踪到骗局的幕后主使，曝光了犯罪分子利用围绕不正当收入的群体炒作，诱骗毫无防备的受害者进行投资。第第 2 2 章章24CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告十二月十二月Check Point Research 重点介绍了 Cybe

63、r Av3ngers 组织的活动，该组织表示对破坏美国宾夕法尼亚州 Aliquippa 市水务局工作站的行为负责。攻击发生后，CISA 发布了一份关于该黑客组织的公告，该组织与伊朗革命卫队(IRGC)有关。据报道，他们以 Unitronics 的 PLC 设备作为突破口，对美国多家水务公司实施了攻击。服务于数百万人的美国大里士满交通公司(GRTC)成为一起网络攻击的受害者，攻击影响了 GRTC 网络的某些应用程序和部分功能。Play 勒索软件团伙声称对此次攻击负责。Check Point Harmony Endpoint Check Point Harmony Endpoint 和和 Thre

64、at Emulation Threat Emulation 提供针对此威胁的防提供针对此威胁的防护（护（Ransomware.Win.PlayRansomware.Win.Play；Ransomware.Wins.PLAYRansomware.Wins.PLAY）Check Point Research 揭示了加密货币领域一项令人担忧的趋势。欺诈攻击者通过操纵代币池流动性，使代币价格暴涨 22000%。操纵代币池流动性的行为导致毫无戒心的代币持有者被有计划地迅速窃走 8 万美元。这一事件揭示了诈骗者为利用去中心化金融平台所采取的不断演变的策略。乌克兰最大的移动运营商 Kyivstar 遭受了“

65、针对全球电信基础设施的最大规模网络攻击”，导致数百万人在至少 48 小时内无法使用移动和互联网服务。据报道，此次攻击还影响了空袭警报、自动取款机和销售点终端。与俄罗斯有关的组织 Solntsepek（此前与俄罗斯军事黑客组织 Sandworm 有关联）声称对此次攻击负责。另一个与俄罗斯关联的组织 Killnet 也声称对此次攻击负责，但其参与情况尚未得到证实。Kyivstar 拥有 2430 万移动用户和超过 110 万家庭互联网用户。第第 2 2 章章25CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告30网络安全趋势第第 3 3 章章26CHECK POI

66、NT SOFTWARE|2024 2024 年安全报告年安全报告就当前状态而言，“勒索软件”一词不仅指加密数据，还用于描述网络攻击，在这类攻击中，受经济利益驱使的执行者获得对受害者资产的重大控制权，并通过向受害者施压来勒索钱财。这一犯罪生态系统由不断变化的团体和个人组成，他们小心翼翼地把握着平衡，一边寻求公众关注和“名声”以吸引潜在关联方，并维护自己的信誉，一边避免自己引来执法部门的过多关注。这些执行者频频改名换姓，导致归因变得很困难。在分析勒索软件生态系统内的攻击趋势时，我们经常会研究勒索软件即服务(RaaS)提供商为增强其操纵能力而推出的新功能。这些包括中间加密机制或安全模式重启等躲避技术

67、，以及加密速度的提升。其他增强包括扩展勒索策略，例如数据窃取和数据暴露威胁，以及实现被盗数据索引并与其他操作系统兼容。我们在 2023 年发现的另一个重要变化是，针对 Linux 的勒索软件版本已成为标配。2023 年的几起重大勒索软件攻击均利用了零日漏洞。与我们之前介绍的其他勒索软件趋势不同，其他攻击者是否采用此策略完全取决于经济层面的考虑：多受害者勒索软件攻击的收益是否能证明用于实现该攻击的零日漏洞的时价具有合理性？为了回答这个问题，我们仔细研究了这些攻击以及为这些攻击创造条件的生态系统。勒索软件零日攻击和大型攻击第第 3 3 章章27CHECK POINT SOFTWARE|2024 2

68、024 年安全报告年安全报告值得注意的是，CL0P 选择不对受害者数据进行加密，而是威胁要公开或出售这些数据。这种勒索策略甚至会对那些定期维护备份和采用数据恢复程序的受害者造成不利影响。它还降低了在攻击的“嘈杂”加密阶段被发现的几率，并减轻了网络犯罪分子管理解密密钥的负担以及与多个文件解密相关的“客户服务”责任。零日漏洞攻击受到高度追捧，市场交易十分活跃。零日漏洞的价格取决于目标系统和漏洞的性质，从几千美元到 250 万美元不等（移动平台）。Zerodium 等合法平台公开宣布的价格反映了平行地下犯罪市场的情况。卖方在这些市场上的可信度取决于先前交易建立的信誉以及用作抵押的存款。在下面的截图中

69、，拥有大量交易记录和存款的某地下卖家以 15 万美元的价格（谈判前）出售 Windows 本地权限升级(LPE)漏洞。相比之下，买方则可在 Zerodium 上以 8 万美元的价格购买 Windows LPE 漏洞。勒索软件对业务运营的影响不断升级，并在 2023 年达到顶峰，这一点从 ALPHV 入侵米高梅国际酒店集团等多起备受瞩目的攻击事件中即可见一斑。这种特定攻击导致大量数据失窃，业务运营遭到严重干扰，米高梅公司蒙受的损失据估算高达 1 亿美元。此外，澳大利亚港口运营商 DP World 遭遇了严重的勒索软件攻击，导致澳大利亚 40%的集装箱贸易中断数日。据称，此次攻击不涉及加密，这也体

70、现了威胁不断演化的性质。过去一年中，殃及多个受害者的大规模勒索软件网络攻击显著增加，其中有些事件影响了数百甚至数千个组织。CL0P RaaS 组织利用 GoAnywhere 安全文件传输工具中的零日漏洞，致使受影响的 130 余个组织发生数据泄露。6 月初，CL0P 利用零日漏洞访问了 MOVEit 文件传输软件，导致超过 2600 家组织受到攻击。CL0P 早在 2021 年就进行过类似的攻击，当时它利用 Accellion 旧有文件传输设备中的零日漏洞入侵了多个客户端的数据库。在所有这些案例中，攻击目标都经过精心挑选，考虑了庞大的客户数量、数据质量以及将攻击扩散到更多受害者的能力。第第 3

71、 3 章章28CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告MOVEit 攻击过后，利用零日漏洞进行勒索软件攻击的情形仍在继续。研究人员观察到，与 CL0P 相关的威胁执行者利用了 SysAid IT 支持软件中的零日漏洞，有 5000 多名客户可能因此受到影响。该公司在一份公告中披露，发现这一新漏洞(CVE-2023-47246)的时间为 11 月 2 日，但最早报告漏洞利用的时间则要追溯到 10 月。除了 CL0p，Akira 和 Lockbit 这两大高产勒索软件执行者也一直在利用 Cisco 设备中的零日漏洞(CVE-2023-20269)，使攻击者

72、能够对现有帐户进行暴力攻击。零日漏洞的有效期较短，因为利用次数越多，就越可能被发现，需要随后进行修补。与对恶意软件添加功能不同，对零日漏洞的投资无论是采取购买还是开发的方式，都意味着每次活动必须重复投入经常性成本，因此，只能以相对短期的攻击所产生的收入来弥补。利用零日漏洞是否会成为普遍做法，取决于每次攻击的直接收益。有关方面估计，CL0P 仅从 MOVEit 攻击中便可获利 7500 万至 1 亿美元。实际支付的赎金可能不好估算，但可以肯定，至少在某些情况下，支付金额足以覆盖零日攻击成本。图 1：地下论坛提供的零日 Windows LPE 漏洞。第第 3 3 章章29CHECK POINT S

73、OFTWARE|2024 2024 年安全报告年安全报告高成本零日漏洞的利用能否呈现增长趋势，主要取决于经济考虑因素。如果威胁执行者确信潜在回报超过投资，我们可以预见此类攻击将会增加。对勒索行为让步能够在短期内解决眼前的危机，但长远来看只会让攻击者更加胆大妄为。有效防范零日攻击是一项复杂的挑战，凸显了实施终端反勒索软件解决方案、采用数据丢失防护(DLP)机制和推出扩展检测与响应(XDR)产品等有力措施的重要性。其他意在牟利的高级组织（例如 DarkCasino）利用 WinRAR 漏洞(CVE-2023-38831)从网上交易者手中窃取资金。Zerodium 为 WinRAR RCE 漏洞开出

74、了 8 万美元的价码。在另一起事件中，贪图钱财的执行者在利用 Windows 通用日志文件系统(CLFS)中的零日漏洞提升权限后，部署了 Nokoyawa 勒索软件。在勒索软件部署领域，黑客会根据预计获得的潜在回报来决定是否使用高成本零日漏洞。我们必须确保他们的回报不会超过投资。为了应对这类攻击日益增长的风险，需要实施高级安全工具，包括反勒索软件解决方案、DLP 和 XDR。SERGEY SHYKEVICHCheck Point Software Technologies 威胁情报团队经理第第 3 3 章章30CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告路

75、由器、交换机、VPN 硬件和安全设备等边缘设备在安全分析中常常不受重视。这类设备难以被记录和监控，缺乏 EDR 保护，加上本身就是安全设备，因此经常遭到忽视，而且使用的是默认密码，也并未得到充分的修补，或是未打补丁便结束生命周期。这些面向互联网的设备容易遭受攻击，经常被用来构建僵尸网络。例如，Mirai 恶意软件及众多衍生品恶劣地使用默认密码感染 Linux 路由器，然后利用它们进行 DDoS 攻击和垃圾邮件活动。这些攻击未必直接影响网络，因而几乎没有引起任何关注。对边缘设备的利用近来发生明显变化，现在由民族国家 APT 组织主导，用于为秘密行动构建隐形通信和渗透基础设施。Check Poin

76、t 最近的研究报告披露了中国大陆一项利用专门的固件恶意软件针对 TP-Link 路由器开展的行动。政府支持的 APT 组织 Camaro Dragon 部署了名为“Horse Shell”的自定义后门程序，用来维持持久化并用于文件传输和网络隧道，从而通过受感染节点链实现匿名通信。该组织将入侵的路由器作为 C&C 混淆的隐蔽网络，这种方法在以往的报告中称为 RedRelay 和 ZuoRAT，在 2023 年继续得到普遍采用。边缘设备在安全策略中往往并未得到足够的重视，很久以来一直被网络犯罪分子用于设置僵尸网络以进行 DDoS 攻击，并用于策划垃圾邮件活动。而从眼下的趋势来看，边缘设备已成为民族

77、国家 APT 组织与受经济利益驱使的高级威胁执行者的攻击目标，执行者将这些设备用作复杂的外渗基础设施的一部分，或是作为切入点，用于对仔细挑选出的实体和设备的网络系统进行渗透，这一趋势在本年度达到顶峰。这种策略最初由国家执行者利用昂贵的零日漏洞和定制恶意软件来实施，之后被一些以敛财为目的的老练组织所采用，他们利用未修补系统中的错误配置和已知漏洞进行勒索软件攻击。攻击面不断扩大：边缘设备的新风险第第 3 3 章章31CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告与 Camaro Dragon 不同的是，此案中使用的并不是专门的固件恶意软件，而是由生命周期结束的

78、Cisco 和 DrayTec 路由器以及 NETGEAR 防火墙组成的 KV-botnet。美国关键基础设施中的 Fortinet FortiGuard 设备也被分别攻破，成为用于间谍活动和潜在破坏的网关，通过 KV-botnet 进行隐蔽通信。用来攻击边缘设备的不仅仅是生命周期结束的未修补已知漏洞。Mandiant 研究人员报告称，UNC3886 和 UNC4841 等中国大陆 APT 组织大量利用零日漏洞并使用定制恶意软件向边缘和网络设备发起攻击。UNC3886 使用专门的定制恶意软件向未部署 EDR 解决方案的 Fortinet 安全设备以及 VMware 服务器和设备发起攻击。边缘设

79、备在攻击中不仅用作通信基础设施的组成部分，同时也是网络的初始入口点。在 Microsoft 5 月报告的一次复杂行动中，中国大陆政府支持的 APT 组织 Volt Typhoon 采用了双重策略。该组织利用 SOHO（小型办公室/家庭办公室）边缘设备，将其集成到后来称为 KV-botnet 的通信基础设施中。该僵尸网络随后被用于伪装来自美国关键基础设施组织内其他遭入侵边缘设备的命令和控制(C&C)通信。第第 3 3 章章32CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告2023 年末，俄罗斯 APT 组织 Sandworm 将其网络攻击范围扩大到乌克兰以外，

80、目标锁定丹麦的基础设施和能源部门。该组织利用 Zyxel 防火墙中的两个零日漏洞对 22 个丹麦实体实施了攻击，标志着攻击行动大幅升级。这一战略举措意图破坏丹麦的关键设施，针对易受攻击的边缘设备，为攻击者在已入侵平台上提供远程代码执行(RCE)功能。多家公司因此被迫停止正常运营，暂时采取“孤岛模式”运作。这一转变体现了 Sandworm 广泛利用漏洞和协调大规模攻击的能力。利欲熏心的勒索软件组织同样将边缘设备作为目标。CACTUS、Akira 和 LockBit 在其攻击中利用了配置错误或易受攻击的 Citrix 和 Fortinet VPN 设备。FIN8、LockBit 和 Medusa

81、等组织利用 Citrix NetScaler 设备中未修补的严重漏洞对大型公司实施入侵。这些攻击已发展到部署持久化 webhell，此类脚本甚至在设备打补丁并重启后也仍然保持活动状态。利用边缘设备实施入侵的最终目的常常是在已入侵网络上部署勒索软件攻击。UNC4841 利用另外一种边缘设备 Barracuda Email Security Gateway(ESG)的零日漏洞开展全球间谍活动。在本年度报告的一次更为严重的攻击中，攻击者以全球公共和私营部门实体为目标，重点针对美洲地区的实体。在已确认的受影响组织中，有近三分之一为政府机构。为应对检测和缓解措施，攻击者还部署了额外的恶意软件，目的是对部

82、分已入侵实体维持持久化。鉴于此次持续性攻击来势汹汹，供应商强烈建议更换所有 ESG 设备，以消除安全隐患。边缘设备并非只被中国大陆攻击者利用。俄乌冲突期间，与俄罗斯军事情报机构有关的 APT 组织广泛使用这一策略来对付乌克兰目标实体。冲突爆发以来，一连串的网络攻击严重破坏了乌克兰的能源、媒体、电信和金融行业以及政府机构。这些攻击的强度和量级随着对边缘设备的入侵而增加，使俄罗斯威胁执行者能够持续访问目标网络，并在一段时间内发动多次攻击。研究人员观察到与俄罗斯有关的 APT28 组织部署了 JaguarTooth 恶意软件，专门利用 CISCO IOS 路由器中的漏洞。这些漏洞早在 2017 年就

83、已被报告过，但事实证明如今仍然有效。第第 3 3 章章33CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告边缘设备以往主要是类似 Mirai 的僵尸网络进行垃圾邮件和 DDoS 攻击的目标，现在则由更老练的执行者用来进行精确操作。这类设备被用作其他活动的通信基础设施、初始接入点或破坏其原始网络的手段。民族国家执行者最初将其作为高级方法用于获取隐蔽的访问权限，后来则成为图谋钱财的攻击者在使用现有工具包时所采取的手段。事实证明，这种针对边缘设备的集中攻击可以有效攻破重点目标，同时长时间规避检测。如果没有及时的补丁、足够的监控和检测系统（特别是针对边缘设备），面向公

84、众的网络设备将继续成为巨大盲点。随着威胁形势不断演变，我们的安全解决方案和监控能力也应发展进化。边缘设备面临的漏洞利用威胁不断升级，要求我们重新调整安全策略。我们必须强化网络安全基础设施。防范复杂的边缘设备攻击对于 2024 年的企业至关重要，本节为此提供了非常实用的建议。ELI SMADJACheck Point Software Technologies 安全研究团队经理第第 3 3 章章34CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告这种新型作案手法还有一个特点，即越来越多地使用 Wiper，旨在最大限度减少运营中断。值得注意的是，这些趋势在俄乌冲突

85、期间成型，与当前的巴以冲突存在相似之处。不过，尽管这些活动保持高强度并且资源投入巨大，它们对冲突态势的实际影响却值得怀疑。Anonymous Sudan 是 2023 年初出现的实体，通常认为与俄罗斯有关，该组织一直假借支持伊斯兰事业的名义频繁对西方实体出手。该组织在全球范围内实施了多次分布式拒绝服务(DDoS)攻击，对关键基础设施和众多其他行业造成影响。Anonymous Sudan 的主要攻击目标包括 Microsoft、Twitter(X)、Telegram 和北欧航空等公司的基础设施和网站。Anonymous Sudan 组织成立仅一年，就已发动多起有记录以来最成功的 DDoS 攻击，

86、包括对 Microsoft 服务的重大攻击。该组织在行动中与 Killnet 等与俄罗斯有关的攻击组织合作，在实施与俄乌冲突和反西方实体相关的网络活动时尤其如此。与其他黑客组织不同的是，Anonymous Sudan 据信利用租用的服务器基础设施进行攻击，这表明该组织拥有雄厚的资金支持。根据这些特征，加上该组织主要使用英语和俄语而极少使用阿拉伯语黑客行动主义通常利用网络攻击来促成政治或社会目标，其性质近年来已发生显著变化。它最初以草根个人和组织松散的集体为特征，如今则转向政府的实质性参与。就目前形式而言，大部分网络活动的实施者都是具有政府背景的黑客组织。这些实体充当先锋，为民族国家高级持续性威

87、胁(APT)组织所实施活动的收益摇唇鼓舌。民族国家隐藏在黑客组织的幌子背后，营造一种民众支持的假象，同时与攻击撇清干系，以免招致打击报复。政府背景的黑客行动主义和 Wiper 成为新常态第第 3 3 章章35CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告与伊朗有关的黑客组织 KarMa 于 10 月 8 日开通其英语 Telegram 频道，迅速获得广泛关注，订阅者过万。KarMa 充当网络角色，是伊朗情报与安全部(MOIS)的网络前线，该部门操纵着“Scarred Manticore”APT、Dev-0842 和其他几个组织。KarMa 通过其 Teleg

88、ram 频道传播从 Scarred Manticore 潜入以色列实体的间谍行动中获取的信息。其中一些入侵行动还伴随着 Wiper 攻击，对受影响公司的基础设施造成破坏。所部署的 Linux 和 Windows 专用擦除恶意软件名为“BiBi-Wiper”（源自以色列总理本雅明内塔尼亚胡的昵称），被认为是 Dev-0842 的手笔。随着破坏性恶意软件日益盛行，这种典型现象已成为黑客行动的新常态。与伊朗有关的执行者曾在 2022 年对阿尔巴尼亚政府实体使用过同样的行动模式。在一系列攻击中，名为“Homeland Justice”的网络角色通过其所运营的专用 Telegram 频道和网站，在阿尔巴

89、尼亚政府实体的系统被攻破并遭受 Wiper 攻击后，将这些实体的材料予以外泄。这些攻击由与 MOIS 有关的执行者实施，Scarred Manticore 和 Dev-0842 均位列其中。这些与伊朗有关的组织使用网络角色来操作专用通信渠道，将取得的材料外泄并实施 Wiper 攻击，这种模式反映了组织所采用的一贯策略。2023 年 12 月，伊朗“Homeland Justice”恢复活动，对阿尔巴尼亚主要实体发动了另一波破坏性网络攻击。（尽管阿拉伯语是苏丹的官方语言），研究人员推测其与俄罗斯存在明确联系，或是得到俄罗斯政府的支持。2023 年 12 月，乌克兰最大的移动网络运营商 Kyivs

90、tar 遭受了自俄乌冲突爆发以来最大规模的破坏性攻击。此前低调行事的黑客组织 Solntsepyok 表示对此次攻击负责。乌克兰认为这次黑客行动主义活动与俄罗斯军事情报机构操纵的 APT 组织 Sandworm 有关联。据报道，此次攻击彻底摧毁了该电信运营商的核心网络。近年来，伊朗也大力发展和利用其网络能力，同时非常注重网络造势行动。在巴以冲突期间，这一趋势有所升级。与背靠俄罗斯政府的黑客行动主义主要侧重分布式拒绝服务(DDoS)攻击不同，有伊朗背景的黑客组织采用更为激进、技术更成熟的方法，重点实施破坏性的破解和泄露(hack-and-leak)行动。长期以来，伊朗一直都在资金援助和军事操练方

91、面为哈马斯提供强有力的支持，自 2023 年 10 月 7 日冲突爆发以来更是进一步加大了支持力度。伊朗采取了与俄罗斯类似的战略，部署网络“黑客”势力，参与到数字战争中。第第 3 3 章章36CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告与 MOIS 有关的 APT 组织 Agrius（或称 DEV-0227）于 2023 年 11 月下旬对以色列 Ziv 医院发动了单独攻击。Agrius 以往曾部署过有时伪装成勒索软件的 Wiper，不过据称，虽然此次对 Ziv 的攻击窃取了敏感信息，但并未破坏该医院的网络。与 KarMa 的运作方式类似，被盗数据随后在另

92、一个名为 Malek Team 的网络角色的 Telegram 频道和网站上被发布，该角色在战事初起时也曾露面过。Cyber Toufan Operations 是近来被推到前台的又一个与伊朗有关的网络角色，于 2023 年 11 月登场，承担阿拉伯语和英语 Telegram 频道的运营。在以色列一家托管服务提供商遭到入侵后，该组织披露了从以色列多家企业获得的信息。与之前的事件类似，这次攻击先是窃取数据，随后部署了破坏性恶意软件。另有一些与伊朗有关的黑客组织一度蛰伏，但在当前冲突期间重新活跃，其中包括 AlToufan 和 Moses Staff，这些组织被认为由伊朗革命卫队(IRGC)所控制

93、。这些网络行动很大一部分侧重于信息战和心理战，其主要目标是披露所谓的成功网络攻击，突出目标受害者如何不堪一击。这些威胁执行者通常会夸大实际发生的破坏性行动的影响，还会发布虚构攻击的新闻或数据。Cyber Av3ngers 是一家为与伊朗相关的活动充当掩护的组织，该组织公布了可追溯到 2022 年的攻击细节，其中一些此前早已由其他组织报告过。其他几个网络组织也采用了这种将真实漏洞报告与杜撰报告嫁接糅合的策略，其中名为 Soldiers of Solomon 的组织与 Cyber Av3ngers 关系密切。这些组织的主要关注点是可编程逻辑控制器(PLC)和物联网摄像头。舆论认为，Cyber Av

94、3ngers 和 Soldier of Solomon 都听命于 IRGC。俄乌冲突期间，俄罗斯的网络行动在冲突爆发后几个月扩大到了其他西方国家，特别是北约成员国，与此类似，伊朗的网络活动也将其触角向西延伸。例如，Cyber Av3ngers 通过攻击以色列制造的数字控制面板入侵了美国和爱尔兰的几处供水设施。从乌克兰冲突中观察到的模式来看，最近的冲突中发生的网络活动并不仅仅属于政府背景黑客组织的范畴。在巴以冲突最初几周，网络战格局中出现了众多地区性黑客组织，绝大多数与伊斯兰教有关，他们加强了活动，并形成数百个新的反以色列黑客组织。第第 3 3 章章37CHECK POINT SOFTWARE|

95、2024 2024 年安全报告年安全报告黑客行动主义已经发展到一定程度，政府支持团体如今主导了大部分有影响力的网络活动。尽管敌对政府的参与程度越来越高，破坏性和扰乱性活动也日益受到重视，但这些网络行动的实际效果仍有待商榷。这些活动很大一部分常常不为主流媒体所注意，与常规战事报道相比显得无足轻重。因此，这些网络行动给公众舆论留下的印象往往微乎其微。考虑到此类网络行动的现实影响有限，不禁让人怀疑是否已为其分配了合理的资源。持续评估这些由政府支持的网络行动的有效性，对于确定其在未来的现代战争战略中扮演何种角色具有重要意义。这些组织主要在 Telegram 上出没。这些有机关联的黑客实体开展的行动主要

96、涉及小规模 DDoS 攻击和网站篡改。这些活动通常影响较小，其作用很大程度上仅限于在 Telegram 频道上分享的屏幕截图。不过，大量 DDoS 攻击出现在冲突早期阶段，以色列网站则是其密集攻击的目标。在此期间，与俄罗斯有关的黑客组织并未保持中立。值得注意的是，Anonymous Sudan 声称对数起针对以色列的网络攻击负责。其中包括对用于向平民发出导弹来袭警报的以色列官方应用程序的攻击，以及对以色列主要英文报刊耶路撒冷邮报数字域名的攻击。在网络战争中很难做到“知己知彼”，敌情比以往更为复杂，黑客组织背后常常隐藏着不为人知的利益。公共和私营部门实体都容易受到黑客攻击，而攻击的频率和规模主要

97、取决于地缘政治事件。OMER DEMBINSKYCheck Point Software Technologies 数据研究团队经理第第 3 3 章章38CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告历经 COVID-19 疫情以及随后向远程办公模式的转变，本地资产和云端资产之间的区别已显著缩小。用户需要远程访问系统时，组织必须借助强大的身份验证服务来确保登录安全。第三方应用程序单点登录(SSO)机制的普及进一步增加了潜在的风险，因为单点故障可能导致对多个服务开放权限。为了防范或缓解凭据盗窃和凭据填充攻击，企业已经升级了安全协议，强制使用多因素身份验证(MF

98、A)等更强大的身份验证方法。道高一尺，魔高一丈，威胁执行者也制定了躲避这些强化安全措施的策略，主要是利用从已通过身份验证的会话中窃取的访问令牌。民族国家执行者以及受经济利益驱使的网络犯罪分子都采用了这些策略。此前记录的中间人攻击通常利用 Evilginx 等框架拦截受害者与服务提供商之间的通信以破解用户凭据和令牌，最近的这些攻击则与之相反，大多数是直接从第三方或云服务提供商处恢复令牌。敏感数据的访问管理和清理是极具挑战性的任务，尤其是在需要处理大量数据的情况下。这一过程可能导致访问令牌不慎暴露，甚至在专业组织中也是如此。2023 年 9 月，Microsoft 不恰当地使用了不受限制的 Azu

99、re SAS 令牌来共享开源人工智能训练数据存储桶，造成 38 TB 数据意外泄露，其中包括敏感信息、私钥和密码。通常情况下，攻击者需要付出更多努力才能攻破网络系统。在 7 月发现的一次复杂网络攻击中，名为 Storm-0558 的中国大陆 APT 组织成功入侵了至少 25 个组织的大量电子邮件帐户，其中包括多个美国联邦机构。实施入侵期间利用了窃取的 Microsoft 帐户(MSA)用户签名密钥。该密钥用于在用户登录 Microsoft 帐户过程中对令牌进行数字签名和身份验证，对于 Microsoft 安全基础设施不可或缺。根据 Microsoft 的调查结果，这次攻击的源头很可能是 Mic

100、rosoft 某个工程师帐户遭到入侵，攻击者由此进令牌遭受攻击：云计算的致命 弱点第第 3 3 章章39CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告入该工程师的调试环境。在该环境中，攻击者找到了无意间遗留在未经清理的崩溃转储中的 MSA 密钥。随后，攻击者利用该密钥为 Outlook Web Access 和 O 生成欺诈性身份验证令牌，得以在未经授权的情况下访问了多个客户帐户。值得注意的是，泄露的密钥可以追溯到 2021 年 4 月。此类攻击并不局限于针对云服务提供商。托管服务提供商、身份验证公司以及任何可能拥有访问令牌和相关敏感信息的实体也会成为攻击目

101、标。在 2023 年 10 月发生的一起引人注目的事件中，身份和验证供应链的重要组成部分 Okta 经历了严重的安全漏洞攻击，整个客户支持用户群都受到了影响。此次攻击通过窃取的凭据发起，允许未经授权用户访问 Okta 的客户支持管理系统。这种访问进一步导致客户上传文件外泄，其中包括含有 Cookie 和会话令牌等关键数据的 HTTP 存档(HAR)文件。如果在上传之前未进行清理，这些受损工件可能被用于登录或劫持系统会话。客户后来报告称，有攻击者试图利用窃取的工件对其系统进行未经授权的访问。Okta 在 2022 年就已遭受过一次严重攻击。在某些情况下，网络犯罪分子会利用对基于云的协作服务（例如

102、 Microsoft Teams）的访问来发起社会工程学攻击。Microsoft 在 2023 年 8 月报告了一起重大案例，涉案者是名为 Midnight Blizzard 的俄罗斯 APT 组织。该组织利用 MS Teams 躲避多因素身份验证(MFA)程序并获取用户令牌。最初，Midnight Blizzard 只是渗透到小型企业的 Microsoft 365 租户中，以技术支持实体的名义在这些租户中创建新域。随后，攻击者就利用这些域，通过 Microsoft Teams 发起网络钓鱼攻击，试图从外部公司的用户那里获取 MFA 代码。攻击方法包括由攻击者冒充技术支持或安全团队，通过 Te

103、ams 发送聊天请求和消息。这些请求和消息会说服用户在其 Microsoft Authenticator 应用程序中输入特定代码，这样攻击者便能访问用户的 Microsoft 365 帐户并从事其他未经授权的活动。第第 3 3 章章40CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告使用窃取的令牌进行网络攻击可能采取自上而下的方式，比如在对 Microsoft 和 Okta 的攻击中，攻击者可在入侵服务提供商系统后访问其客户的系统。攻击过程也可能采用自下而上的方式，从入侵客户系统开始。在这种情况下，攻击者可在找到令牌和敏感数据后渗入云服务，并在受害者的整个网络

104、中进行横向移动。以色列一所知名大学就曾发生过此类攻击。在报告的破坏性攻击中，与伊朗政府有关的执行者向一流大学以色列理工学院实施了渗透。攻击者利用未修补的漏洞获得内部访问权限，最终进入有权访问 Azure AD 代理的特权帐户。他们随后提取了 Azure AD 特权帐户的明文凭据，进而对 Azure 环境进行大肆破坏，删除了服务器群、虚拟机、存储帐户等等。云基础设施管理的远程性质为身份验证和安全带来独特的挑战。最近的攻击趋势表明，云安全比以前认为的要更容易受到影响。高级威胁执行者愈发趋向于绕过终端用户，直接以云服务提供商为攻击目标。这种转变令人担忧，需要所有相关利益方合力应对。除了传统的配置管理

105、和多因素身份验证(MFA)以外，纳入全面的数据清理方法对于确保在云环境中建立强大的安全防护至关重要。随着云服务领域的发展，新的安全风险不断出现。上一年发生的事件表明，化解最新云安全问题并非易事，需要采用具有创新性的方法。目前亟待制定强有力的方案，阻止威胁执行者将最终用户和服务提供商作为攻击目标。LOTEM FINKELSTEENCheck Point Software Technologies 威胁情报与研究主管第第 3 3 章章41CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告数十年来，软件开发人员一直使用第三方软件包和程序库来为开发周期提速。随着 PyP

106、i、NPM、NuGet 和 RubyGems 等开源软件包管理平台的出现，根据任何需要和目的获取丰富的软件包变得前所未有地简单。遗憾的是，与所有流行事物一样，威胁执行者也会想方设法滥用它们来谋取私利。恶意软件包一直是一大安全顾虑，特别是在企业环境中。过去一年中，通过开源软件包平台传播的恶意软件数量大幅增加，仅在 2023 年第一季度就发现了约 6800 个恶意软件包。全年有数十万用户下载了这些恶意软件包。仅年度排名前五的恶意软件包活动就导致了 30 万次下载和潜在感染。Python 的.py 文件在从互联网下载的恶意文件中占到 7%的比例，这一数字在我们上一份年度报告中仅为 3%。所有这些都来

107、自几种常见的攻击向量，例如软件包名称误植、软件包品牌劫持和依赖项混淆攻击。这些风险无不凸显了代码合法性验证的重要性，对于由未知软件开发人员编写的代码尤其如此。在软件开发过程中，程序员通常会使用既有软件包，其中包含来自代码共享源的所需功能。这种普遍做法有几个优点，比如可以减少编写代码和提出复杂问题解决方案所需的时间。在大多数情况下，既有代码可以高效执行，并且已针对错误和边缘情况进行了测试。因此，每种编程语言都有大量开源库和软件包。PIP 安装恶意 软件：软件存储库遭受攻击第第 3 3 章章42CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告创建恶意开源软件包通常

108、简单易行，但其产生的影响可能举足轻重。在这类攻击中，威胁执行者的目标不仅包括下载恶意软件包的开发者，还包括这些开发者的客户（使用他们信任的软件），由此引发软件供应链攻击。过去数年中，威胁执行者开发了若干针对开源软件包平台的主要攻击向量，安全研究人员已证明这些攻击向量具有可行性。其中最常见的是误植域名。在这类攻击中，威胁执行者发布的恶意软件包会采用带有轻微拼写错误的名称，或是属于流行的合法软件包的变体，希望用户无意中下载恶意版本。安装软件包时通常会使用“package_manager_name install package_name”（例如“npm install async”）这样的命令。因

109、此，软件包名称中的小错误可能会让用户在不知情的情况下安装恶意软件包。2023 年 6 月，研究人员发现了一项包含 160 多个恶意 Python 软件包的活动，下载量超过 4.5 万次。威胁执行者上传了与一些最流行的软件包类似的 Python 软件包。其中名为“reaquests”的恶意软件包意图模仿被数百万用户广泛用于 HTTP 请求操作的 Python 软件包“requests”。使用开源库和软件包会引发一些可能被威胁执行者利用的安全问题。由于开源库的性质，任何人都可以贡献和上传自己的代码，因此很难跟踪和验证共享代码。PyPI（Python 软件包索引）就是典型的例子，它是 Python

110、编程语言软件包的主要存储库。尽管 PyPI 最近试图减轻这些威胁，但它仍然严重依赖用户报告来确保软件包安全。在相关人员接到报告再执行删除时，恶意软件包往往可能已被下载数百次。大多数程序员在将开源代码添加到自己的代码中之前，并不会检查其完整性。理解他人编写的代码流程并不容易，更不必说包含数千行代码的情况。在很多情况下，程序员并不了解一段代码中所有可能的内在安全风险，即使他们对代码进行了审查，也仍然可能遗漏恶意工件。这些恶意组件可能感染目标网络，窃取及外泄敏感信息（例如密码和信用卡信息），并下载其他恶意软件组件。第第 3 3 章章43CHECK POINT SOFTWARE|2024 2024 年

111、安全报告年安全报告在近期针对 Mac 计算机的攻击中，威胁执行者创建了加密库 Cobo Custody Restful 的恶意版本用来部署恶意软件。恶意版本与合法版本同名，并存储在 PyPI 注册表中。威胁执行者利用了该软件包没有通过 PyPI 注册表进行正式分发而仅通过 GitHub 分发的实际情况。如果未明确指定安装目标位置，pip 安装管理器会优先安装恶意 PyPI 版本，而不是合法的 GitHub 版本。遭到利用的不只是软件包管理平台。威胁执行者还试图控制托管开源代码（例如 GitHub）的现有合法帐户，在合法软件包中添加恶意代码。研究人员演示了这种方法，他们通过获取与其中一名软件包维

112、护者相关的过期域名，接管了每周下载量超过 350 万次的流行 NPM 软件包。恢复后的域名允许他们重置 GitHub 密码，从而可以发布 NPM 软件包的木马化版本。不止 Python 库，所有使用开源代码共享的资源库都成为了攻击的目标。NuGet 存储库是一种开源软件包管理器兼.NET 库的软件分发系统，被用来发起大规模误植域名活动。这些欺诈性软件包在一个月内被下载超过 15 万次，之后才被从 NuGet 存储库中删除。恶意软件包中包含的 PowerShell 脚本会在安装后执行，并触发下载第二阶段有效负载。最后的有效负载是名为“Impala Stealer”的自定义加密货币窃取程序，可以窃

113、取加密货币交易平台的用户凭据。网络犯罪分子并不只是利用拼写错误来传递恶意软件包。在软件包品牌劫持中，威胁执行者会创建与合法软件包同名的恶意软件包，希望以此欺骗用户下载。第第 3 3 章章44CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告图 2：在地下论坛上分发的 PyPI 恶意软件。混淆。这次攻击影响了数千台机器，导致信息遭到窃取。恶意开源软件包的使用者包括高产威胁执行者和政府支持的执行者。后续攻击被认为是由臭名昭著的朝鲜组织 Lazarus 所为。2023 年 8 月，该组织向 PyPI 存储库上传多个恶意软件包。他们将其中一个软件包伪装成名为“vConn

114、ector”的 VMware vSphere 连接器模块，另有一个软件包则模仿的是“prettytable”，该热门 Python 工具可用于以美观的 ASCII 格式打印表格。合法软件包“prettytable”每月下载量超过 900 万次，恶意版本“tablediter”则获得 736 次下载。与软件包品牌劫持不同，依赖项混淆攻击欺骗的是软件包管理器而不是用户。许多软件包管理器会在软件构建过程中下载依赖项，威胁执行者利用这种方式来实施漏洞攻击。攻击者在公共存储库中发布与流行软件包同名的软件包，而原始软件包位于私有存储库中。这会诱骗软件安装程序脚本提取恶意代码文件。2023 年 4 月的一份

115、研究报告指出，有 49%的组织容易受到这种攻击向量的攻击。安全研究人员在年初发现，由 Meta Platforms 开发的应用广泛的机器学习框架 PyTorch 遭到入侵。攻击的起因是威胁执行者向 PyPI 存储库上传了与合法软件包同名而版本号更高的恶意软件包，造成依赖项第第 3 3 章章45CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告牌劫持和依赖项混淆等攻击一波未平一波又起，也暴露了这些平台的局限性。PyPi、NPM 和 NuGet 等软件包管理平台很容易遭到利用，凸显了对增强型安全协议和全面代码审查实践的迫切需求。开发人员必须优先考虑安全问题，以保护最

116、终用户免受这些恶意渗透的影响。此外，在俄语地下论坛上，Check Point 研究人员还观察到有人在分发针对 PyPI 注册表定制的恶意软件。这种恶意软件可以让攻击者毫无征兆地轻松发起恶意攻击。恶意软件包在开源软件存储库中的传播日益引发担忧，需要开发人员和用户高度关注并采取积极措施。虽然开源软件的优势毋庸置疑，但诸如误植域名、品PyPi 和 NPM 等软件存储库面临的恶意攻击激增，仅 2023 年第一季度就已发现 6800 起攻击。威胁包括误植域名、品牌劫持和依赖项混淆，表明需要实施增强型安全协议和全面代码审查实践来保障用户安全。ORI ABRAMOVSKYCheck Point Softwa

117、re Technologies 数据科学主管第第 3 3 章章46CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告40全局分析第第 4 4 章章47CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告全球全球美洲美洲不同地区网络攻击类别不同地区网络攻击类别图 3：2023 年全球受影响组织所占的百分比（按恶意软件类型）。图 4：2023 年美洲受影响组织所占的百分比（按恶意软件类型）。多用途恶意软件信息窃取程序勒索软件加密货币挖矿软件移动终端31%12%10%9%6%多用途恶意软件信息窃取程序勒索软件加密货币挖矿软件移动终端27%

118、9%9%8%7%第第 4 4 章章48CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告不同地区网络攻击类别不同地区网络攻击类别欧洲、中东和非洲欧洲、中东和非洲亚太地区亚太地区图 5：2023 年欧洲、中东和非洲受影响组织所占的百分比（按恶意软件类型）。图 6：2023 年亚太地区受影响组织所占的百分比（按恶意软件类型）。多用途恶意软件信息窃取程序勒索软件加密货币挖矿软件移动终端32%12%10%8%5%多用途恶意软件信息窃取程序勒索软件加密货币挖矿软件移动终端35%15%13%11%8%第第 4 4 章章49CHECK POINT SOFTWARE|2024

119、2024 年安全报告年安全报告全球威胁指数地图全球威胁指数地图图 7：全球威胁指数地图以下全球网络威胁风险指数地图显示了全球主要风险区域。*颜色越深=风险越高*灰色=数据不足第第 4 4 章章50CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告教育/科研政府/军队医疗保健通信ISP/MSP金融/银行公用事业零售/批发娱乐/酒店制造业顾问SI/VAR/分销商交通保险/法律软件供应商硬件供应商2046(-12%)3837802748740652506(-4%)(+3%)(+8%)(-6%)(+3%)

120、(+1%)(+22%)(+1%)(-3%)(+21%)(-11%)(-0.3%)(-23%)(-13%)(+13%)图 8：2023 年按行业划分每个组织每周遭受的攻击次数全球平均值 与 2022 年相比的变化幅度%。教育、政府和医疗行业仍然是网络攻击的主要目标。由于公众意识在过去几年中有所提高，加上发生了大量有影响力的攻击事件，教育行业对其安全协议进行了大幅升级，可能得益于此，近期针对教育行业的攻击事件数量略有下降。但平均而言，教育机构每周仍会遭受 2000 多次攻击。有些攻击是大型活动的一部分，例如针对约翰-霍普金斯大学和佐治亚大学系统的攻击，CL0P 勒索软件通过 MOVEit 托管文件

121、传输软件入侵了这两所高校。第第 4 4 章章51CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告学校尤其容易受到网络攻击，因为它们的系统中存在大量敏感个人信息，网络安全方面也并未投入足够的资金。与公共部门相比，私营部门（包括零售、批发、制造和金融机构）组织更有可能屈从于赎金要求，遭受的攻击数量也较上一年度有所增加。这些机构的访问权限常常成为地下市场中交易的商品。2023 年，网络安全形势令人担忧，各行各业遭受的勒索软件攻击激增。勒索软件攻击目前在 Check Point 侦测网络所检测到的各类恶意软件中占到 10%的比例。CPIRT（Check Point 事

122、件响应团队）给出的数据以及在勒索软件“羞辱性网站”发布受害者进一步凸显了这一趋势。根据 CPIRT 的数据，他们处理的所有事件中，有近半数涉及勒索软件，报告的勒索软件受害者数量已达到近 5000 人，明显多于 2022 年报告的 2600 人。图 9：地下论坛上的零售公司访问权限出售帖。第第 4 4 章章52CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告图 10：传输协议 电子邮件与 Web 攻击向量（2018-2023 年）。电子邮件 WEB201964%36%201833%67%202083%17%202184%16%202286%14%202388%1

123、2%第第 4 4 章章53CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告主要恶意文件类型：主要恶意文件类型：WEB VS WEB VS 电子邮件电子邮件图 11：Web 2023 年主要恶意文件类型。图 12：电子邮件 2023 年主要恶意文件类型。exeshpdfpydlljarmsips1doc*vbs56%15%8%7%4%2%1%1%1%1%htmlpdfexelnkdoc*jsxls*jarrtfmsi69%20%3%2%1%1%1%1%1%0.1%xls*包括.xls、.xlsx、.xlsm 等常见 Office Excel 文件doc*包括.d

124、oc、.docx、docm 和.dot 等常见 Office Word 文件第第 4 4 章章54CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告rarzip7zgzimgzcabisoarjxz35%25%9%8%5%4%3%2%2%2%图 13：2023 年通过电子邮件传递的主要恶意存档文件类型。基于电子邮件的攻击仍然是主要的初始感染向量。88%的恶意文件是通过电子邮件发送，其余则直接从互联网下载。威胁执行者已适应电子邮件防护策略，并且还在探索创新的传播技术。在 Microsoft 对以 Web 标记(MotW)表示的外部源文件中的 Office VBA

125、宏进行限制后，恶意 Office 文件的热门程度急剧下降，从 2022 年的近 50%降至 2023 年的 2%。值得注意的其他攻击向量包括 HTML 文件和各种存档文件类型，其中对 HTML 文件的利用尤其显著增加，HTML 文件占到所有恶意文件附件的 69%。威胁执行者以多种方式使用 HTML 文件，将它们用于在网络钓鱼计划中模仿合法网站登录页面并窃取用户凭据。这些文件中可能包括恶意 JavaScript 或针对未修补浏览器和浏览器插件的漏洞。CP 最近的研究表明，这些策略的使用者并不局限于低级别犯罪分子，还包括高级 APT 执行者。HTML 的其他用途包括 HTML 走私、自动下载可执行

126、文件以及重定向到其他恶意 URL。通过电子邮件传递 HTML 的合法用例并不常见，因此组织应考虑实施限制。第第 4 4 章章55CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告各种存档文件的使用也呈上升趋势。许多安全服务都无法看到受密码保护的存档内容，由此形成了有效攻击向量。其他格式（例如.img 和.iso）依赖其提取软件来传播 MotW 功能，借此阻止恶意攻击。虽然 Microsoft 已修复此功能，但 7-zip 等其他提供商却采取选择性加入策略，导致 MotW 保护机制的有效性降低。恶意.py 文件的检出率有所上升，在最常见的网络传播恶意文件类型中排名

127、第四，表明恶意代码包的使用率正在增加。我们将在另一章节中详细探讨这一趋势。使用可执行文件作为恶意电子邮件附件的比例继续下降，从 2022 年的 26%降至上一年度的仅 3%，原因可以归结为企业采取限制性策略、Google 和 Microsoft 等主流电子邮件服务提供商整合安全机制以及用户意识有所增强。第第 4 4 章章56CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告图 14：2023 年全球最流行的恶意软件图 15：2023 年美洲最流行的恶意软件FakeUpdatesQbotAgentTeslaFormBookCloudEyEXMRigEmotetNa

128、nocoreLokiBotRemcos11%9%8%7%5%4%4%4%4%3%全球全球FakeUpdatesQbotAgentTeslaFormBookEmotetCloudEyEXMRigNanocoreNJRatRemcos10%8%4%4%3%3%3%3%3%2%美洲美洲主要恶意软件系列全球恶意软件统计信息全球恶意软件统计信息以下章节列出的数据比较是基于 Check Point Threat Cloud 2023 年 1 月至 12 月的数据。我们将在下方说明各地区 2023 年最流行的恶意软件，以及受每种恶意软件系列影响的企业网络的百分比。第第 4 4 章章57CHECK POINT

129、 SOFTWARE|2024 2024 年安全报告年安全报告图 16：2023 年欧洲、中东和非洲最流行的恶意软件欧洲、中东和非洲欧洲、中东和非洲(EMEA)(EMEA)图 17：2023 年亚太地区最流行的恶意软件亚太地区亚太地区(APAC)(APAC)FakeUpdatesQbotFormBookAgentTeslaCloudEyENanocoreEmotetLokiBotXMRigRemcos11%9%9%8%6%5%4%4%4%4%AgentTeslaFakeUpdatesFormBookQbotXMRigCloudEyELokiBotNJRatRemcosNanocore12%12%

130、9%9%7%7%6%5%5%5%第第 4 4 章章58CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告主要恶意软件全局分析主要恶意软件全局分析在 Check Point 列出的 2023 年全球最流行恶意软件名单中，排名第一的是名为 FakeUpdates 的恶意软件（也称为 SocGholish），其依靠入侵后的网站网络将用户重定向至虚假的软件和浏览器更新。这些虚假更新接着会诱骗用户下载并执行充当初始接入点的 JavaScript 下载器，从而通过 GootLoader、NetSupport 和 DoppelPaymer 等其他恶意软件实施进一步攻击。遭入侵

131、的网站网络与 TA569 相关，后者是充当初始访问代理(IAB)的高产威胁执行者。TA569 涉嫌以按安装付费(PPI)的定价模式向其他网络犯罪分子出售恶意软件受害者的初始访问权限，这些网络犯罪分子随后可利用已遭入侵的系统来部署勒索软件。感染链从受害者访问遭入侵网站开始，无论受害者是受网络钓鱼邮件诱骗还是直接访问该网站。受害者可能会在该网站上看到虚假的浏览器更新请求、虚假的验证码拼图和安全软件更新，之后会遭到恶意软件感染。Qbot（又称 QakBot 或 PinkslipBot）在我们的列表中排名第二。Qbot 是一种 Windows 恶意软件，最早于 2008 年作为银行木马程序被发现。经过

132、多次更新和演进，它已成为最广为人知、存在时间最长的恶意软件植入程序之一。从事实来看，Qbot 通过窃取数据和实施勒索造成了巨大破坏，FBI 和美国司法部为此在 2023 年 8 月发起的国际行动中摧毁了该僵尸网络，将其从受感染的服务器上清除，并没收了 800 多万美元的非法利润。12 月，研究人员又在新的网络钓鱼活动中观察到 Qbot 的行踪。Emotet 在 Check Point 的最流行恶意软件榜单上盘踞已久。尽管运作模式已趋弱化，但它仍然影响了全球 4%的企业网络，主要集中在本年度第一季度。Emotet 于 2021 年 11 月在由欧洲刑警组织牵头的全球行动中遭到取缔，但之后又在网络

133、犯罪组织 Mealybug（又名 TA542）的蓄意策划下，通过多次垃圾邮件活动与长时间静默交替的方式于 2022 年谨慎回归。由于 Microsoft 对利用下载文档中的 VBA 宏（Emotet 活动中使用的主要方法）加以限制，Mealybug 随后继续探索其他感染方法。2023 年，Mealybug 被观察到在尝试多种不同技术，并于 3 月开始在其活动中使用嵌入 VBScript 的 OneNote 文件。受害者在下载文件后会被诱骗点击“查看”按钮查看文档内容，然后下载 Emotet DLL。按照计划，这一活动与美国报税季截止日期相吻合。第第 4 4 章章59CHECK POINT SO

134、FTWARE|2024 2024 年安全报告年安全报告23%19%8%4%3%23%19%9%5%4%3%21%17%8%4%44%FakeUpdatesQbotEmotetUrsnifMiraiPhorpiex其他FakeUpdatesQbotRamnitEmotetDarkGatePhorpiex其他3%3%17%13%6%6%5%48%3%FakeUpdatesQbotEmotetMiraiUrsnifRamnit其他FakeUpdatesQbotEmotetMiraiGluptebaRaspberry Robin其他40%38%5%图 18：2023 年全球最流行的多用途恶意软件图 2

135、0：2023 年欧洲、中东和非洲最流行的多用途恶意软件全球全球图 19：2023 年美洲最流行的多用途恶意软件图 21：2023 年亚太地区最流行的多用途恶意软件美洲美洲欧洲、中东和非洲欧洲、中东和非洲(EMEA)(EMEA)亚太地区亚太地区(APAC)(APAC)主要多用途恶意软件主要多用途恶意软件第第 4 4 章章60CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告多用途恶意软件全局分析多用途恶意软件全局分析与之前的报告一样，我们合并了银行木马程序和僵尸网络这两个恶意软件类别，并引入名为“多用途恶意软件”的新统一类别。这一改动反映了许多银行木马程序的演变，

136、即，它们已加入更多新功能。除了上一节讨论的 FakeUpdates、Qbot 和 Emotet 之外，DarkGate（一种在 Delphi 中开发的 Windows RAT）的热度也日渐上升，在针对亚太地区实体的活动中，表现尤其突出。2023 年下半年，DarkGate 因其躲避安全系统检测的能力而招来大量声讨。Emotet 和 Qbot 会在执行自己的感染活动后出售访问权限和感染设备，相比之下，DarkGate 则采取更加直接的销售策略，以恶意软件即服务(MaaS)模式进行运作。该恶意软件直接在地下论坛向特定客户群投放广告，重点宣传其新功能，并声称数量有限、欲购从速。传播 DarkGate

137、 的活动由众多执行者实施，利用了包括网络钓鱼和 Teams 消息在内的多种技术。图 22：2023 年地下论坛上的 DarkGate 开价和出价。第第 4 4 章章61CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告20%19%8%5%4%21%19%19%10%4%3%20%19%10%5%37%FormBookAgentTeslaLokiBotVidarRaccoonRamnit其他AgentTeslaFormBookLokiBotRamnitRaccoonVidar其他5%5%22%16%11%8%6%33%4%AgentTeslaFormBookLok

138、iBotRaccoonRamnitVidar其他AgentTeslaFormBookLokiBotVidarRaccoonRamnit其他40%23%4%图 23：2023 年全球主要信息窃取恶意软件图 25：2023 年欧洲、中东和非洲主要信息窃取恶意软件图 24：2023 年美洲主要信息窃取恶意软件图 26：2023 年亚太地区主要信息窃取恶意软件全球全球美洲美洲欧洲、中东和非洲欧洲、中东和非洲(EMEA)(EMEA)亚太地区亚太地区(APAC)(APAC)主要信息窃取恶意软件主要信息窃取恶意软件第第 4 4 章章62CHECK POINT SOFTWARE|2024 2024 年安全报告

139、年安全报告信息窃取恶意软件全局分析信息窃取恶意软件全局分析 信息窃取恶意软件市场主要以恶意软件即服务(MaaS)模式运作，涉及多个关键角色。这一生态系统的核心是 MaaS 提供商，他们主要负责开发和维护恶意软件及其运行基础设施。信息窃取程序的操纵者以租用或购买方式取得恶意软件，将其部署到针对受害者平台的网络攻击活动中。地下市场在此扮演关键角色，用于交易从这些活动中获取的数据。过去一年中，该生态系统仅有细微变化，AgentTesla、FormBook 和 LokiBot 等恶意软件继续横行。这些信息窃取程序的热门程度从地下论坛的定价中可见一斑，每月订阅费用从 60 美元到 1000 美元不等。这

140、种分层定价结构可以满足从新手到老练黑客等各类威胁执行者的需求。此外，还存在初始访问代理，他们利用购买的数据来入侵网络，通常会导致大量勒索软件攻击。AgentTesla 于 2014 年首次发现，是一种具有键盘记录功能的 MaaS，也是 CP 经常检测到的信息窃取程序之一。其当前版本已进行过强化，可以窃取多种应用程序的凭据，包括 Web 浏览器、VPN 软件、FTP 服务和电子邮件客户端。除了窃取凭据，AgentTesla 还具有收集系统信息、禁用反恶意软件进程和捕获剪贴板内容的功能。AgentTesla 擅长从系统注册表和配置文件中提取凭据，并将窃取到的数据传输至其命令和控制(C&C)服务器。

141、值得注意的是，这种恶意软件通过低成本订阅模式在地下论坛出售，使得技术专业知识有限的网络犯罪分子也能对其加以利用。第第 4 4 章章63CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告75%11%1%1%69%8%5%2%1%65%8%8%3%XMRigRubyMinerLemonDuckLuciferWannamine其他XMRigLemonDuckLuciferWannamineRubyMiner其他4%4%55%13%9%7%10%12%XMRigRubyMinerLemonDuckLuciferWannamine其他XMRigRubyMinerLemon

142、DuckWannamineLucifer其他6%16%6%图 27：2023 年全球主要加密货币挖掘恶意软件图 29：2023 年欧洲、中东和非洲主要加密货币挖掘恶意软件图 28：2023 年美洲主要加密货币挖掘恶意软件图 30：2023 年亚太地区主要加密货币挖掘恶意软件全球全球美洲美洲欧洲、中东和非洲欧洲、中东和非洲(EMEA)(EMEA)亚太地区亚太地区(APAC)(APAC)主要加密货币挖掘恶意软件主要加密货币挖掘恶意软件第第 4 4 章章64CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告 加密货币挖矿软件全局分析加密货币挖矿软件全局分析由于比特币汇

143、率并未反弹到 2021 年的峰值，加之挖掘难度持续增加，非法加密货币挖掘在 2023 年有所减少。2023 年，全球只有 9%的企业实体受到加密货币挖掘的影响，2022 年这一比例则为 16%。随着 GPU（图形处理单元）价格上涨，一些威胁执行者现在专门瞄准图形设计师和工程平台，利用其增强的 GPU 功能作为挖掘程序。Monero 挖掘仍然利润丰厚，其常用开源挖掘工具 XMRig 在 2023 年被用于 65%的加密货币挖掘攻击。加密货币挖掘程序正在整合更多恶意功能，将其中一些功能（例如 LemonDuck）转变为加密货币挖掘核心功能之上的多层面威胁。在某些情况下，比如对于 StripedFl

144、y 恶意软件，加密货币挖掘活动可能只是为更复杂的间谍活动做掩护。云基础设施仍然是加密货币挖掘攻击的目标。10 月，研究人员报告称，一项长达数年的行动利用安全性较差的 IAM 密钥访问云环境来部署 Monero 挖掘程序。通常情况下，威胁执行者安装加密货币挖掘程序时所用的访问权限随后会被用于其他漏洞利用和入侵活动。这也让加密货币挖掘程序的存在成为更广泛安全问题的潜在先兆。第第 4 4 章章65CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告26%9%11%3%22%5%4%8%7%16%4%8%9%AnubisAhMythHiddadHydraJokerCerb

145、erus其他AhMythJokerAnubisHiddadCerberusHydra其他5%8%17%2%6%3%12%13%AnubisAhMythPandoraJokerHiddadHydra其他PandoraAhMythAnubisHiddadJokerCerberus其他12%8%38%42%34%46%21%图 31：2023 年全球主要移动终端恶意软件。图 33：2023 年欧洲、中东和非洲主要移动终端恶意软件。图 32：2023 年美洲主要移动终端恶意软件。图 34：2023 年亚太地区主要移动终端恶意软件。全球全球美洲美洲欧洲、中东和非洲欧洲、中东和非洲(EMEA)(EMEA)

146、亚太地区亚太地区(APAC)(APAC)主要移动终端恶意软件主要移动终端恶意软件第第 4 4 章章66CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告 移动终端恶意软件全局分析移动终端恶意软件全局分析 移动设备是网络攻击的主要目标，很大程度上是因为它们在我们日常生活中扮演着核心角色，并且包含大量有价值的数据。这些设备不仅能够存储个人和财务信息，还可作为有效的监控工具，因为它们具有位置跟踪、音频录制和图像采集功能。AhMyth Android 远程访问木马程序(RAT)是一种在 GitHub 上免费提供的开源恶意软件，经常被用作攻击活动的基础。它不出意料地在 C

147、heck Point 主要移动终端恶意软件排行榜上占据重要位置。研究人员在名为“iRecorderScreen Recorder”的武器化应用程序中发现了这种恶意软件的变体之一 AhRat，该应用程序可在 Google Play 商店下载，下载量已逾 5 万次。该应用程序的“干净”版本自 2021 年起即面向 Android 用户提供，后来才在其中添加了恶意特征。除了 iRecorder 一目了然的屏幕抓取功能以外，其恶意更新还包括录音和数据泄露功能，并且可对已保存的网页、图像、音频、视频、文档和存档格式进行检索。间谍软件功能可能暗示其与网络间谍活动有关，这在移动终端恶意软件领域并不鲜见，相关

148、的例子包括专门针对巴基斯坦乌尔都语受害者的 Kamran Android 恶意软件，以及由与中国大陆相关的 APT 组织操纵的 BadBazaar Android 间谍软件。与往常一样，这些类型的恶意软件也经常被网络犯罪分子用来获取经济利益。例如，新出现的 Chameleon Android 银行木马程序以澳大利亚和欧洲用户的移动银行和加密货币应用程序为目标。在印度也发现了类似的活动，攻击者通过社交媒体平台传播冒充银行和政府服务的恶意应用程序。勒索软件在 Android 生态系统中也被赋予新含义：SpyLoan 应用程序通过 Google Play 商店传播至亚洲、非洲和南美洲超过 1200

149、万用户。该恶意软件从受害者的移动设备中收集他们的个人和财务数据，利用这些数据对其进行骚扰和勒索，趁机大敲竹杠。第第 4 4 章章67CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告图 35：2023 年羞辱性网站上最活跃的勒索软件执行者（按受害者人数）。主要双重敲诈勒索软件执行者主要双重敲诈勒索软件执行者2023 年，共有 68 个活跃的勒索软件组织报告称其已入侵 5000 多名受害者的系统并公开实施勒索，这一数字较往年大幅增加。随着时间的推移，勒索软件事件在 2023 年愈演愈烈。下半年记录的受害者超过 2800 人，上半年则有 2200 人。Lockbit

150、 在此期间最为活跃，占报告事件的 21%，涉及逾 1050 起案件。通常情况下，威胁执行者会为受害者留出一到两周的宽限期来满足赎金要求。支付赎金的受害者不会被公开曝光，这表明受害者的实际数量可能要高得多。本节包含来自双重敲诈勒索软件组织操纵的近 200 个勒索软件“羞辱性网站”的信息，其中的 68 个网站上发布了 2023 年以来受害者的姓名和信息。网络犯罪分子利用这些网站向那些并未立即支付赎金的受害者施加压力。来自这些羞辱性网站的数据有其自身偏向，但仍能提供有价值的见解，帮助我们了解勒索软件生态系统这一企业目前面临的头号风险。下文的数据收集时间为 2023 年 1 月至 12 月期间。勒索软

151、件勒索软件21%5%5%7%6%9%LockbitALPHVCL0PPlay8baseBianlianAkiraMalasLockerNoescapeBlackbasta其他34%4%3%3%3%第第 4 4 章章68CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告美国英国加拿大德国意大利法国澳大利亚西班牙巴西印度俄罗斯1%2%2%2%2%3%4%4%4%7%45%CL0P 的活动并未充分反映在此次统计中。6 月初，CL0P 利用零日漏洞取得了 MOVEit 文件传输软件的访问权限，导致逾 2600 家组织受到攻击。大多数受害者的身份并未在 CL0P 的羞辱性

152、网站上被披露，因而没有包含在上述统计当中。CL0P 利用其他方法进一步对受害者实施勒索。CL0P 本年度的零日漏洞使用场景还包括对 GoAnywhere 的攻击，本报告将在另一部分对此进行详细介绍。ALPHV（也称为 BlackCat）在 2023 年攻击了超过 440 名受害者，也是执法行动重点打击的对象。12 月，由美国牵头开展的一次行动导致该组织关闭网站并发布解密工具。根据 CISA 的报告，该组织自开始运营以来已攻击了超过 1000 名受害者，收到的赎金总额高达近 3 亿美元。在这次行动过后，该组织继续从事犯罪活动并继续在暗网上作恶。图 36：2023 年羞辱性网站上报告的受害者人数（

153、按国家/地区）。第第 4 4 章章69CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告制造业零售/批发顾问医疗保健教育/科研软件供应商保险/法律金融/银行交通/物流政府/军队娱乐/酒店通信ISP/MSP/IT能源/公用事业0510152022%10%9%8%7%6%6%6%5%4%3%3%3%2%一番光景。制造业和零售业的受害者数量最多，而政府和教育实体处在较低攻击量级。仅在 2023 年 12 月，可口可乐新加坡公司(DragonForce)、日产汽车澳大利亚公司(Akira)、卡夫亨氏公司(Snatch)、施乐公司(Inc ransom)等知名企业相继成为

154、双重敲诈勒索软件组织的受害者。造成上述差异的原因可能是这些行业满足赎金要求的意愿不同，教育和政府组织通常不太愿意支付赎金。瞄准这些部门主要是为了利用他们的数据，包括个人和技术信息，而非实施基于勒索的攻击。从地域分布来看，受影响的公司有 45%位于美国，其次是英国，占 7%，加拿大、德国和意大利则各 占 4%。2023 年上图中存在俄罗斯受害者，这主要 可归咎于两个执行者：MalasLocker 和 Werewolves。针对前苏联实体的网络攻击仍然相对较少。MalasLocker 活跃于 2023 年上半年，采用了非常规的方法，将传统的勒索软件要求改为慈善捐款请求。在分析受勒索软件攻击影响的行

155、业部门时，Check Point Threat Cloud 的数据表明，首当其冲的是教育、政府和医疗行业。勒索软件受害者方面则是另外图 37：2023 年羞辱性网站上报告的勒索软件受害者的行业分布情况。第第 4 4 章章70CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告50引人注目的 全球性漏洞第第 5 5 章章71CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告下方的主要漏洞列表以 Check Point 入侵防护系统(IPS)侦测网络收集的数据为依据，并详细介绍了 2023 年 CP 发现的一些最流行和令人关注的攻击技术

156、及漏洞攻击。PAPERCUT(CVE-2023-27350)PAPERCUT(CVE-2023-27350)该漏洞为超危 RCE（远程代码执行）漏洞，CVSS 评分为 9.8，存在于用户数量超过 1 亿的打印管理软件 PaperCut 中。该漏洞随 2023 年 3 月发布的补丁一起披露，可能导致敏感信息暴露以及整个网络被攻破。该漏洞在披露之后很快被各种恶意执行者利用，包括用于传播 Lockbit 和 CL0P 勒索软件。一些政府支持的 APT 组织也利用了这一漏洞。Check Point 数据显示，2023 年有 9%的组织受到该漏洞影响。MOVEIT(CVE-2023-34362)MOVE

157、IT(CVE-2023-34362)该漏洞为超危 SQL 注入漏洞，存在于 MOVEit MFT（托管文件传输软件）中，在 2023 年最高产的勒索软件活动中遭到利用，影响了全球 2700 多家组织。该漏洞在公开披露之前已被 CL0P 勒索软件组织利用，他们部署了名为 LEMURLOOT 的 Web shell，之后将其用于从 MOVEit Transfer 数据库窃取数据。由于受害者众多，数据体量庞大，CL0P 改变了勒索技术，不再对窃取的数据进行加密以及将其发布在 Torrents 上，而是依靠数据实施勒索。Check Point 数据显示，2023 年有 7%的组织受到该漏洞影响。GOA

158、NYWHERE(CVE-2023-0669)GOANYWHERE(CVE-2023-0669)该漏洞为超危 RCE 漏洞，存在于 GoAnywhere MFT 软件（托管文件传输）中，披露时间为 2023 年 2 月。该漏洞在披露之前已被 CL0P 勒索软件团伙大肆利用，导致 130 多家机构发生重大数据泄露。这一事件表明勒索软件操纵者利用零日漏洞实施的攻击呈现不断增长的趋势。Check Point 数据显示，2023 年有 2.5%的组织受到该漏洞影响。第第 5 5 章章72CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告BARRACUDA(CVE-2023

159、-2868)BARRACUDA(CVE-2023-2868)该漏洞为超危远程命令注入漏洞，被发现存在于 Barracuda 电子邮件安全网关(ESG)设备中，可通过恶意文件附件进行利用。该漏洞早在 2022 年 10 月就被中国大陆 APT 执行者积极利用，其攻击活动对全球范围内多家组织造成了影响，政府机构尤甚。在相关方发布补丁并采取遏制措施后，攻击者调整了他们的技术，修改了他们的恶意软件，并采用额外的持久化机制来维持访问。因此，Barracuda 和 FBI 都建议客户立即更换受到攻击的 ESG 设备。MICROSOFT OUTLOOK(CVE-2023-23397)MICROSOFT OU

160、TLOOK(CVE-2023-23397)该漏洞为超危权限升级漏洞，存在于 Microsoft Outlook 中，于 2023 年 3 月发现，CVSS 评分为 9.8。该漏洞使攻击者能够通过经特殊设计的电子邮件来劫持用户的身份验证哈希值。该漏洞被众多组织积极利用，其中包括与俄罗斯有关的 APT28 组织。CITRIXBLEED(CVE-2023-4966)CITRIXBLEED(CVE-2023-4966)该漏洞为存在于 Citrix NetScaler 平台中的超危漏洞，允许未经身份验证的远程攻击者提取包括会话令牌在内的系统内存数据。攻击者随后使用这些数据来劫持合法会话，从而绕过密码和

161、MFA 程序。CitrixBleed 易于使用，并且可参考概念验证的利用场景，因而被包括 LockBit、Medusa 和 Akira 在内的多个勒索软件组织广泛利用。第第 5 5 章章73CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告图 38：2023 年披露的漏洞利用攻击百分比。2023202220201520142013更早0369126%14%10%7%6%10%6%6%9%8%3%14%2023 年，网络威胁格局发生明显变化，新披露的漏洞被攻击者迅速利用。数据显示，2023 年和 2022 年报告的漏洞分

162、别占所有利用尝试的 6%和 14%。这表明最近的漏洞更加严重并且易于利用，能够以远快于其他漏洞的速度由威胁执行者采用并予以武器化。相比之下，2021 年至 2023 年期间披露的相对较新的漏洞占利用尝试的 30%以上，显著高于 2021 年观察到的 2019 年至 2021 年期间所披露漏洞的比例（仅 17%）。这一趋势表明，利用较旧的未修补漏洞可以摆脱先前对于延迟更新做法的依赖，前几年出现的“长尾”分发模式就证明了这一点。第第 5 5 章章74CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告各各 TLD TLD（顶级域名）的恶意基础设施（顶级域名）的恶意基础

163、设施 本节重点介绍通过 Check Point 的 ThreatCloud AI 在 2023 年观察到的最常用的恶意顶级域名(TLD)。无论是用于伪装网络钓鱼站点，还是用作主要僵尸网络的命令和控制(C&C)中心，域名都是威胁执行者基础设施中的关键组成部分。了解与各种 TLD 相关的趋势可为防御者提供另一种用来评估潜在风险的工具。有几个因素可能会影响威胁执行者对特定 TLD 的偏好，包括他们打算冒充的目标组织、他们首选的域名注册商是否可以使用 TLD，以及与获取 TLD 相关的成本。新的恶意.RU 域名显著增加始于 2022 年初，在俄乌冲突爆发伊始占新的恶意域名的将近 40%，之后又恢复至冲

164、突前的水平，现在平均每月注册的新恶意域名只有不到 3%。在局势紧张时期，.RU 域名在所有恶意 TLD 中一直居于三、四名位置。具有俄罗斯政府背景的 Gamaredon APT 组织是恶意.RU 域名的高频用户，因近年来通过 REG.RU 注册商进行了数百个域名的注册而为人所知。图 39：2022-2023 年每月新的恶意域名百分比（按 TLD）。45%40%35%30%25%20%15%10%5%0%第第 5 5 章章75CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告60CHECK POINT 事件响应团队(CPIRT)相关见解第第 6 6 章章76CHE

165、CK POINT SOFTWARE|2024 2024 年安全报告年安全报告3%20%13%6%14%3%11%勒索软件安全警报行为异常可疑电子邮件DDoSCERT 警报欺诈交易其他30%本节内容基于大量 CPIRT 分析和缓解案例的经验和数据，并不局限于 Check Point 产品用户。CPIRT 通常在恶意活动明确显现后介入，例如文件被勒索软件加密、发现电子邮件泄露或检测到未经授权的恶意软件文件或进程。团队会对初始威胁指标或“触发因素”进行分析，从不同角度了解威胁形势。在客户环境中发出 EDR 安全警报后，我们联系了事件响应团队。臭名昭著的凭据窃取工具 Mimikatz 被 EDR 系统

166、当场抓获并拦截。这种异常活动立即引起了人们的关注，表明确实存在敌对分子，他们正试图以不引人注意的方式操纵网络。客户意识到情况可能非常严重，于是向 CPIRT 寻求帮助。了解事件触发因素我们将事件触发因素定义为发生入侵时促使客户寻求事件响应服务的初次提示。勒索软件是最为突出的主要因素，约占所有事件触发因素的 30%。勒索软件攻击通常引人瞩目并且破坏力巨大，需要立即采取行动。图 40：2023 年 CPIRT 案例分类（按不同事件触发因素）。第第 6 6 章章77CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告2023 年有 20%的 CIPRT 案例是由客户环境

167、中的安全产品发出的警报所触发。这些通常是严重性级别最高的警报，而严重性级别较低的警报通常不需要作出同等响应。值得关注的是，事件响应(IR)团队参与处理的事件有 13%是由行为异常引发，包括普通用户观察到的偏离既定模式的任何异常活动。如此高的比例反映了它们作为潜在严重安全问题的危险信号具有十分重要的意义。不过也请务必注意，行为异常报告往往不够可靠，并且还可能导致误报。在上图中，可疑电子邮件类别是指任何可疑的入站或出站电子邮件活动。应当高度关注可疑的出站电子邮件，因为它们通常表明组织中存在电子邮件泄露情形。如果未能及时发现，这些事件可能会导致未经授权的资金转移，这是另一个常见的事件响应触发因素，在

168、 2023 年的案例中占到 3%的比例。频率相对较低但仍然很重要的事件触发因素包括 CERT 警报和暗网监控，前者是由当地 CERT 针对入侵提供的初始提示，后者则是在地下论坛发现有关入侵的信息或购买初始访问权限的出价后发出的初始警报。尽管这些触发因素的出现几率较低，但它们往往表明存在复杂且严重的威胁，如果不及时处理，可能酿成大患。随着我们对事件展开深入调查，情况变得复杂起来。我们发现了数据外泄的迹象，同时在 Active Directory 服务器上发现了 RAT（远程访问工具）和加密二进制文件。这些元素已准备妥当，可用于在网络上进行大规模部署，这是勒索软件攻击的明确前兆，预示着攻击将在几分

169、钟后发动。主要攻击类型“主要攻击”指的是攻击类别，而非触发调查的指标。对主要攻击类型的分析表明，勒索软件是最为常见的威胁类型，占事件响应案例的 46%。商业电子邮件攻击(BEC)在案例中的占比为 19%，这些攻击通过可疑电子邮件活动或欺诈性转账等指标检测得出。2023 年，目的在于窃取特定用户身份的攻击（例如 BEC、浏览器劫持和帐户接管）更加猖獗，较上一年增加 20%以上。造成这种增长的原因是人们越来越依赖云基础设施，以及向组织出售凭据和访问权限的访问代理异军突起。第第 6 6 章章78CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告勒索软件商业电子邮件攻击

170、DDoS数据窃取钓鱼APT其他06%19%8%7%7%3%10%攻击中常用的工具CPIRT 分析显示，AnyDesk 和 TeamViewer 等工具通常是良性的远程桌面应用程序，但越来越多地被威胁执行者用于命令和控制。事实上，在我们分析的本年度事件中，就有 39%的事件使用了 AnyDesk。这种策略的重点是攻击者隐匿行踪，利用各种工具躲避传统的恶意软件检测。这些原本用于合法用途的工具越来越多地被威胁执行者使用，导致网络上的常规活动和恶意活动愈发难以区分。相比之下，使用 Mimikatz 和 CobaltStrike 等已知恶意工具的入侵事件分别占到 26%和 16%的

171、比例。对该事件的进一步调查显示，攻击者使用 AnyDesk 作为首选远程命令工具，让他们能够持续访问入侵后的系统。由于初始访问并未触发安全警报，威胁执行者得以在众目睽睽之下隐身。图 41：2023 年 CPIRT 案例分类（按不同攻击类型）。第第 6 6 章章79CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告勒索软件：主要威胁在 CPIRT 分析的 2023 年勒索软件威胁格局中，有几个勒索软件系列尤为突出。值得注意的是，“Royal”勒索软件已迅速发展成为强有力的威胁，出现在大量攻击事件中。大多数案例使用网络钓鱼作为初始访问向量，通常会部署恶意 PDF 或

172、采用回调网络钓鱼策略来安装远程桌面访问入口。此外，Royal 攻击者还为 Cobalt Strike、NSudo 和 PsExec 等工具赋予新用途，将其用于第二阶段攻击。ALPHV(BlackCat)勒索软件展现了其多面手的特质，被用来攻击包括 Windows、Linux 和 VMware 在内的各种系统实例。由于 ALPHV 以勒索软件即服务(RaaS)模式运作，由不同关联组织进行部署，可以看到在其部署之前使用了多种入口向量和 TTP，因而每起事件都具有独特性，很难做出预测和防御。并非所有漏洞都会立即遭到利用。威胁执行者一开始通常会使用大规模扫描程序，利用互联网设备中新发现的漏洞实施初始入

173、侵。即便受害者对系统进行了修补，威胁执行者利用漏洞部署的 webshell 和其他持久化机制也会保持完好无损。威胁执行者建立的这些据点随后会由初始访问代理(IAB)出售，并且可能在数月或数年后重新出现在后续攻击中。TIM OTISCheck Point Software Technologies 全球检测和响应主管第第 6 6 章章80CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告此类漏洞 特别是 ProxyShell 和 Citrix RCE(CVE-2023-3519)使威胁执行者可以在面向互联网的易受攻击设备上安装 webshell。这些漏洞所针对的设

174、备（例如 Exchange 服务器和 NetScaler Gateway）通常都面向互联网，因而成为主要攻击目标。这类设备一旦被攻破，便会由威胁执行者用作休眠中的据点，即使对设备进行了修补也无济于事。在深入调查该事件并尝试找到初始感染向量时，我们发现 Citrix NetScaler 系统中的远程代码执行漏洞 CVE-2023-3519 是最初的入侵点。攻击者利用该漏洞在设备上部署了 webshell，此类脚本在系统打补丁后也仍然不会被检出。这种疏忽令威胁执行者得以继续访问网络。漏洞暴露三个月后，该 webshell 由其他打算部署勒索软件的威胁执行者激活。幸运的是，由于客户的警觉性和 CPI

175、RT 的及时响应，勒索软件攻击在造成破坏之前就被成功挫败。这种情况为管理员带来错误的安全感，让他们认为打过补丁的设备牢不可破，而威胁执行者实际上可能早早便已建立据点。在本年度调查中，我们发现威胁的最长休眠期为 22 个月。在进行漏洞修补后执行的安全程序必须将安全扫描包括在内，以清除可能的后门、webshell 和其他持久化机制。各组织还必须继续监控任何可能表明网络基础设施内存在隐蔽威胁的异常情况。第第 6 6 章章81CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告70为首席信息安全官提供独到 洞察 预测第第 7 7 章章82CHECK POINT SOFTW

176、ARE|2024 2024 年安全报告年安全报告JOHATHAN(JONY)FISCHBEINCheck Point Software Technologies 欧洲、中东和非洲 全球首席信息安全官威胁形势纷繁复杂，网安技术也在持续进化，但组织受限于预算，可能需要对资源分配情况做出战略性规划。组织在思考本年度网络安全基础设施如何达到最佳成熟度时，不妨参考 Check Point 全球首席信息安全官(CISO)团队的真知灼见。勒索软件攻击会越来越多，也将继续影响各种规模的组织，动辄向受害者勒索数百万美元。最值得注意的是，这些威胁将变得越来越具有规避性。企业已采用大量安全工具，往往却依然左支右绌，

177、通常情况下，这些工具也并不具备互操作性。许多安全专业人员盲目自信，误以为他们的组织不会遇到勒索软件攻击，因此并未采取适当的行动。组织真正需要的是更好的预防和检测工具。采取整体性方法应对勒索软件并制定缓解策略对于组织非常重要。实施被动防御式解决方案并不足以应对勒索软件。勒索软件将继续存在并且 具有高度规避性规避性第第 7 7 章章83CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告DERYCK MITCHELSONCheck Point Software Technologies 欧洲、中东和非洲 区域首席信息安全官毫无疑问，组织对于这类诉讼逐渐习以为常。许多大

178、型企业都经历过数据泄露事件，并为此支付了巨额赔偿金。这一问题影响的不仅仅是大型组织，小型组织也同样会受到波及，可能需要拿出数百万美元来赔付给股东以及数据遭到外泄的个人。数据泄露引发的集体诉讼正在增多，确实是令人担忧的情况。从 2022 年到 2023 年，数据泄露集体诉讼增加了两倍。此外，最近的调查结果显示，有 62%的受访 首席信息安全官担心自己在外泄事件中会被追究个人责任。之所以出现这种担忧，是因为存在 Uber 首席信息安全官被定罪的前车之鉴。随着组织遭遇的网络攻击网络攻击和数据泄露持续激增，所引发的集体诉讼的数量也在不断飙升，首席信首席信息安全官息安全官可能因此受到负面影响第第 7 7

179、 章章84CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告PETE NICOLETTICheck Point Software Technologies 美洲地区首席信息安全官Check Point Research 最近刚刚指出，犯罪分子正在使用未经注册和不受保护的人工智能工具和引擎来达成不可告人的目的。这些工具不受法律法规约束。网络安全专业人员可能会发现在人工智能对抗中使用了所谓的“幽灵枪支”或“非序列化武器”。Check Point 的 ThreatCloud 和其他功能强大的产品可以帮助缓解这一问题，但要解决这一问题，未来还需付出更多努力。网络犯罪分子

180、将利用基于人工智能的工具来窃取财务资源资源第第 7 7 章章85CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告80人工智能：当今网络安全战中的 前沿防御者第第 8 8 章章86CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告在不断发展的网络安全领域，人工智能(AI)打破既有规则，彻底改变了我们防范、抵御和应对网络威胁的方式。人工智能搅弄风云，对这一领域产生深远影响，为识别、分析和化解网络风险带来前所未有的优势。通过利用复合算法和机器学习，人工智能系统能够迅速检测出带有恶意的活动模式，以远快于传统方法的速度识别威胁。在网络攻击

181、日趋复杂和频繁的时代，这种能力尤为重要。人工智能可以适应新威胁并从中学习，意味着它会不断改进防御策略，正因如此，在打击网络犯罪的持久战当中，人工智能已成为组织不可或缺的得力助手。将人工智能融入网络安全不仅能够提高安全措施的效率和成效，还能大幅减少应对这些数字危险所需的时间和资源，从而更精确、更智能地保护我们的数字世界。Infinity AI Copilot 借助智能 GenAI 的自动化和支持功能推动网络安全转型：更加安全、省时省力利用人工智能和云技术的这种融合，Infinity AI Copilot 得以提高安全团队的效率和成效，进而解决全球网络安全从业人员日益短缺的问题。通过利用自动化和协

182、作情报的生成式人工智能安全解决方案，执行常见管理任务所需的时间最多可减少 90%。与其他各自为战的人工智能模型不同，Infinity AI Copilot 提供针对各种用例的广泛平台支持，帮助管理整个 Infinity 平台的安全。Infinity AI Copilot 了解客户的策略、访问规则、对象、日志以及所有产品文档，因而能够提供情景化、成套化的解决方案。第第 8 8 章章87CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告关键功能：加速安全管理：加速安全管理：Infinity AI Copilot 可节约多达 90%的安全任务管理工作时间，包括事件分析

183、、实施和故障排除。由于更加省时，安全专业人员可将更多时间用于战略创新。管理和部署安全策略：管理和部署安全策略：管理、修改和自动部署对应于不同客户策略的访问规则和安全控制。改进事件缓解和响应：改进事件缓解和响应：在威胁搜寻、分析和解决过程中利用人工智能。监管所有解决方案和环境：监管所有解决方案和环境：AI Copilot 可监管整个 Check Point Infinity 平台上的所有产品（从网络到云再到工作空间），是真正全能的得力助手。简化自然语言处理：简化自然语言处理：与 Infinity AI Copilot GenAI 交互如同与人对话那样自然。它能理解以任何语言表述的意图，并通过聊天

184、做出回应，让用户更轻松地进行交流以及执行任务。这种自然语言能力有助于实现无缝交互，令任务执行过程卓有成效。ThreatCloud AI 是 Check Point 的大数据智能引擎。该服务使用 50 多项人工智能和机器学习技术，可以识别及拦截前所未见的新威胁。在 50 款基于人工智能的引擎中，有 11 款采用深度学习技术，38 款采用经典机器学习技术。2023 2023 年，我们新增了年，我们新增了 12 12 款引擎：款引擎：ThreatCloud AI 每天聚合并分析大数据遥测数据以及数百万项入侵威胁指标(IoC)。其威胁情报数据库来自 15 万个连接的网络和数百万台终端设备，以及 Che

185、ck Point Research 和数十个外部源。ThreatCloud AI 可在 Check Point 的整个安全堆栈中实时更新最新发现的威胁和相应的防护机制。2深度学习7经典机器学习3传统第第 8 8 章章88CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告大数据威胁情报大数据威胁情报2800000000个网站和文件接受检查146000000封完整 内容电子 邮件53000000次文件 仿真20000000台潜在物联网(IoT)设备2600000项恶意 指标1500000个新安装的移动终端应用程序1200000个在线 Web 表单每日 每日 统计！统

186、计！协作式安全协作式安全 THREATCLOUD AI THREATCLOUD AI人工智能与您的数据息息相关人工智能与您的数据息息相关以下是 ThreatCloud AI 防范新型网络威胁的一些方法：ThreatCloud Graph：网络安全的多维视角这是一项创新功能，在针对独立实体（例如 URL、IP 和域名）的传统分析之上更进一步。ThreatCloud Graph 深入研究这些实体之间的互联关系网络，以多维视角解读网络威胁。ThreatCloud Graph 采用创新方法分析网络威胁环境中的互联关系网络，提供可以实现前瞻式威胁防护、执行深入攻击检测以及有效防御零日威胁的强大工具。第第

187、 8 8 章章89CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告主要优势：整体性威胁防护整体性威胁防护 通过分析 URL、IP 和域名等各种实体之间的关系，ThreatCloud Graph 可提供网络威胁的全面视图。在对单独的威胁进行检查之余，这种方法还提供了注重主动预防的多维视角。这种整体视角可以让我们更深入地了解威胁如何互联，以及它们在更大的网络和活动中如何运作。图表模式和攻击洞察图表模式和攻击洞察 通过识别不同网络实体之间的独特关系模式，ThreatCloud Graph 可提供有关恶意活动的宝贵洞察。这一功能在检测和认识 DNS 投毒等复杂攻击时尤

188、其有用。对这些模式和常见实体之间的联系加以识别，有助于及早检测和防范复杂网络威胁，从而增强整体安全性。防范新出现的零日威胁防范新出现的零日威胁 利用 ThreatCloud AI 的知识，ThreatCloud Graph 能够游刃有余地防范零日攻击等新威胁。它在建立 URL、域和 IP 地址的信誉时以它们与先前已知恶意工件的关系为基础。这种先导式方法并不完全依赖于检测到的恶意内容，因而能够及早识别和阻止潜在威胁，确保针对最成熟和新出现的攻击提供强有力的 保护。123第第 8 8 章章90CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告人工智能驱动的品牌欺诈防

189、御 为了扩展零钓鱼解决方案，我们引入创新的人工智能引擎，用于防范网络钓鱼攻击中使用的本地和全球品牌仿冒行为，并跨网络、电子邮件、移动设备和终端进行协同保护，捕获率相比传统技术提升 40%。新开发的引擎可以拦截与本地和全球品牌相关的链接和浏览，这些品牌在涉及多种语言和多个国家/地区的网络钓鱼攻击中遭到仿冒，并且被用作吸引受害者上钩的诱饵。人工智能驱动的品牌欺诈防御人工智能驱动的品牌欺诈防御前瞻式实时防御前瞻式实时防御ThreatCloud AI ThreatCloud AI 协作式防护协作式防护保护您的组织免受 品牌仿冒网络钓鱼攻击实时拦截 对国际或本地品牌 仿冒链接的访问捕获率相比传统技术 高

190、出 40%利用创新的人工智能技术，系统可在新域名注册时 进行自动检查，以识别潜在的品牌欺诈攻击并予以拦截，阻止这些新域名用于攻击跨网络、终端、移动端和 SaaS 环境针对任何攻击向量（包括电子邮件、文件、短信等）立即应用零品牌欺诈 保护功能。第第 8 8 章章91CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告Deep PDF 人工智能驱动引擎，可精准无误地识别恶意 PDF，无需依赖静态签名“Deep PDF”是具有创新意义的人工智能模型，也是 ThreatCloud AI 的组成部分，它在识别和拦截大规模全球性网络钓鱼活动中所用的恶意 PDF 方面取得了巨大

191、的飞跃。这些攻击可通过各种向量实现，包括电子邮件、Web 下载、HTML 走私、SMS 消息等。Check Point Quantum 和 Harmony 系列产品可以保护这些向量，让我们的客户处于安全的网络环境中。“Deep PDFDeep PDF”的工作原理是什么？”的工作原理是什么？“Deep PDF”引擎通过检查 PDF 结构、嵌入式图像、URL 和原始内容，寻找网络钓鱼布局。该模型的过人之处不仅体现在能够检测的文件数量之庞大，还体现在检测的精确性，这使得它成为打击网络钓鱼活动和垃圾邮件的持久战中的宝贵资产。Check Point 研究人员发现 PDF 文件具有相似的结构。“Deep

192、PDF”搜索多项内容，其中包括：恶意链接。文档中 URL 的放置位置。页面中图像的放置位置。我们将这些抽象特点及更多其他方面编码为特征，并训练“Deep PDF”区分良性和恶意 PDF 文件。第第 8 8 章章92CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告LinkGuard：用于检测恶意 LNK 文件的新型机器学习引擎 LinkGuard 机器学习引擎可用于检测恶意 LNK 文件，现已集成到 ThreatCloud AI 人们普遍认为 LNK 文件是无害的快捷方式，但网络犯罪分子常常利用这类文件来传播恶意软件和实施社会工程学攻击。这个新引擎能够有效识别混

193、淆技术，利用语言分析实现高达 90%以上的检测率LinkGuard 可用于应对互联网上最狡猾的威胁之一：恶意 LNK 文件。这些欺骗性文件通常伪装成无害的快捷方式，会对您的系统造成严重破坏。LinkGuard 的使命就是：通过识别恶意代码执行和分析命令行参数来检测这些恶意 LNK 文件。LinkGuard LinkGuard 的本质的本质LinkGuard 是又一个由人工智能驱动的引擎，可以深入 LNK 文件，对其进行核心剖析。该引擎采用巧妙的方法，如检查文件的本质，以确定这些文件是否存在恶意行为。通过仔细检查 LNK 文件中隐藏的命令行参数，LinkGuard 可以查明任何恶意痕迹。它就像一

194、个数字侦探，不知疲倦地搜寻威胁，让您对强化系统安全充满信心。LinkGuard LinkGuard 的工作原理的工作原理LinkGuard 使用三个基本原则：揭穿混淆：揭穿混淆：LinkGuard 擅长揭穿在 LNK 文件中用来隐藏恶意代码的混淆技术，即使是最狡猾的躲避技术，它也能成功揭穿。语言分析：语言分析：LinkGuard 利用自然语言处理(NLP)解密嵌入 LNK 文件的恶意主题，能够识别难以察觉的含有恶意的语言模式。辨别熟悉的策略：辨别熟悉的策略：LinkGuard 将有效识别网络威胁中与知名恶意代码执行的相似处，快速辨别网络攻击者使用的策略。通过结合以上三种强大的功能，LinkGu

195、ard 构建起固若金汤的安全屏障，可以有力抵御基于 LNK 的网络威胁。它不仅能够为您加强网络安全防御，还能够帮助打造更安全的数字环境。123第第 8 8 章章93CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告90恶意软件 系列说明第第 9 9 章章94CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告AgentTesla AgentTesla 是一种高级远程访问木马病毒(RAT)，用作键盘记录程序和信息窃取程序，能够监视并收集受害者的按键输入内容，执行屏幕截图，并窃取安装在受害者机器上的各类软件的凭据，包括 Google C

196、hrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端。Akira Akira 勒索软件于 2023 年首次报告，攻击目标为 Windows 和 Linux 系统。它使用 CryptGenRandom 和 Chacha 2008 的对称加密算法来进行文件加密，与之前泄露的 Conti v2 勒索软件类似。Akira 通过多种途径传播，包括受感染的电子邮件附件和 VPN 终端中的漏洞。它会在感染后加密数据，并在文件名后附加“.akira”扩展名，然后出示勒索凭证，要求支付解密费用。ALPHV BlackCat（又名 ALPHV）以勒索软件即服务(Raa

197、S)的业务模式运作。BlackCat 勒索软件具有高度可定制性，能够对各种企业环境发动攻击。它将 Linux 和 Windows 系统作为攻击对象，使用 Rust 进行编程。AZORult AZORult 是一种能够从受感染的系统中收集和窃取数据的木马病毒。系统安装了恶意软件之后，AZORult 就可以将保存的密码、本地文件、加密货币钱包数据和计算机配置文件信息发送到远程 C&C 服务器。BiBi Wiper BiBi Wiper 是一种针对 Windows 和 Linux 系统的数据擦除恶意软件。它最初在针对以色列目标的攻击中被发现，以破坏力而闻名，目的是用垃圾数据覆盖目标目录中的数据，并向

198、文件名附加“.BiBi”扩展名。CACTUS CACTUS 勒索软件是一种破坏性恶意软件，它会加密受害者计算机上的文件，并向每个加密文件添加唯一的“.CTS1”扩展名。该勒索软件以利用网络系统（尤其是 VPN 设备）中的漏洞来获取访问权限并在目标网络中传播而闻名。它采用 OpenSSL，通过 AES 和 RSA 进行加密。第第 9 9 章章95CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告CL0P CL0P 是最早于 2019 年初发现的一种勒索软件，主要针对大型企业。Cl0P 由俄语网络犯罪团伙操纵，采取“窃取、加密和泄露”策略。它近期的恶名源于利用 Ac

199、cellion FTA 和 MOVEit Transfer 等面向公众的基础设施中的漏洞，由此窃取受害组织的敏感数据并进行加密。Cl0P 参与了大量“大猎杀”式勒索软件攻击，这类攻击针对多个行业，但并无特定的区域重点，而且避开了独联体(CIS)内部组织。CloudEyE CloudEye 是针对 Windows 平台的下载程序，用于将恶意程序下载至受害者计算机并进行安装。DarkGate DarkGate 自 2017 年 12 月年活跃至今，是一种复杂的恶意软件即服务(MaaS)，以拥有广泛的功能而闻名，包括凭据窃取、键盘记录、屏幕捕获和远程访问等。DarkGate 是网络犯罪圈（主要是地下

200、论坛）中的突出威胁之一。该恶意软件已进行过改装，能够绕过安全防御，用于多种攻击策略，包括发送网络钓鱼电子邮件以及利用 Microsoft Teams 等通信平台。DoppelPaymer DoppelPaymer 首次发现于 2019 年，是一种复杂的勒索软件变种，由早期 BitPaymer 演变而来。它针对的领域十分广泛，没有特定的行业偏好，使用 Dridex 木马程序通过鱼叉式网络钓鱼电子邮件进行初步渗透。DoppelPaymer 以其双重勒索策略而闻名，参与了数起针对全球大型组织的重大攻击事件。Emotet Emotet 是一种高级模块化多用途恶意软件。曾被用作银行木马程序，现在则用于分

201、发其他恶意软件或恶意活动。它可以使用多种方法来维持持久性，并能采用躲避技术避开检测。另外，Emotet 也可通过包含恶意附件或链接的钓鱼垃圾电子邮件进行传播。FakeUpdates Fakeupdates（又名 SocGholish）是以 JavaScript 编写的下载程序。它在启动有效负载之前将其写入磁盘。Fakeupdates 会通过多种其他恶意软件（包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult）进一步入侵系统。第第 9 9 章章96CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告FormB

202、ook FormBook 是一种针对 Windows 操作系统的信息窃取程序，首次发现于 2016 年。它以强大的躲避技术与相对较低的价格为卖点，在地下黑客论坛上作为恶意软件即服务(MaaS)出售。FormBook 可通过各种 Web 浏览器窃取凭据、收集屏幕截图、进行监视并记录按键输入内容，还可根据其 C&C 的指令下载并执行文件。Glupteba Glupteba 是一种 Windows 后门程序，自 2011 年以来广为人知，其后逐渐发展成为僵尸网络。到 2019 年，它新增了通过公共比特币列表进行 C&C 地址更新的机制、完备的浏览器窃取程序功能以及路由器开发程序。GootLoader

203、 GootLoader 是一种隐蔽的恶意软件，主要用作攻击基于 Windows 的系统的第一阶段下载程序。它最初充当 GootKit 银行木马程序的下载程序，现已发展成为多有效负载恶意软件平台，能够提供复杂的第二阶段有效负载，例如 Cobalt Strike 信标和 REvil 勒索软件。GootLoader 利用 SEO 投毒将受害者重定向至遭入侵的网站，进行偷渡式下载活动，对多个国家/地区的各个行业都造成了影响。它采用反射加载和 PowerShell 命令等高级技术来实现持续渗透和有效躲避。Horse Shell Horse Shell 是由中国大陆政府支持的黑客组织“Camaro Dra

204、gon”用来攻击欧洲外交组织的定制恶意软件。该恶意软件于 2023 年 1 月发现，可感染民用 TP-Link 路由器，使攻击者能够完全控制这些设备。Horse Shell 作为后门程序运行，执行 shell 命令、传输文件并将路由器用作 SOCKS 代理进行通信。Impala Stealer Impala Stealer 是一种通过恶意 NuGet 软件包攻击.NET 开发人员的加密货币窃取恶意软件。它通过安装持久化后门程序来访问和窃取加密货币帐户的详细信息，利用误植域名伪装成合法的软件包。第第 9 9 章章97CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报

205、告JaguarTooth JaguarTooth 是一种 Cisco IOS 恶意软件，可锁定并修改路由器的身份验证机制，以允许未经身份验证的后门访问。它通过简单文件传输协议(TFTP)收集并窃取设备和网络信息，包括固件版本和网络配置。JaguarTooth 通过利用已知的简单网络管理协议(SNMP)漏洞 CVE-2017-6742 进行部署。KV-botnet KV-Botnet 和与中国大陆关联的威胁执行者 Volt Typhoon 有关，是一种主要针对小型办公室/家庭办公室(SOHO)路由器设备的复杂僵尸网络。它至少从 2022 年 2 月开始活跃，由名为 KV 和 JDY 的两个互补活

206、动集群组成。LemonDuck LemonDuck 是一种加密货币挖掘僵尸网络，通过攻击受害者的计算机资源来挖掘 Monero 虚拟货币。它采用各种方法在网络上传播，例如使用电子邮件、psexec、WMI 和 SMB 漏洞发送受感染的 RTF 文件，这些漏洞包括影响 Windows 10 计算机的臭名昭著的 Eternal Blue 和 SMBGhost 威胁。LEMURLOOT LEMURLOOT 是一种与 CL0P 勒索软件组织相关的 Web shell 恶意软件，其目的是利用 MOVEit Transfer 托管文件传输(MFT)应用程序中的关键 SQL 注入漏洞(CVE-2023-34

207、362)。LEMURLOOT 使用 C#语言编写，需要通过硬编码密码来进行身份验证。该恶意软件在 CL0P 组织的大量数据窃取和勒索攻击中发挥了重要作用。LockBit LockBit 是以 RaaS 模式运作的勒索软件，于 2019 年 9 月首次报告。LockBit 的目标并非俄罗斯或独联体的个人，而是其他国家/地区的大型企业和政府实体。LokiBot LokiBot 是一种针对 Windows 的商品信息窃取木马程序。它可以从各种不同的应用程序、Web 浏览器、电子邮件客户端以及 IT 管理工具（如 PuTTY）等收集凭据。LokiBot 曾在黑客论坛上售卖，据悉是因为其源代码遭泄露，才

208、导致各类变种层出不穷。该信息窃取木马于 2016 年 2 月被首度披露。第第 9 9 章章98CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告Lucifer Lucifer 是一种混合恶意软件，以能够实施加密货币劫持及发动分布式拒绝服务(DDoS)攻击而闻名。Lucifer 利用多个高危和超危漏洞，最初的目标是 Windows 系统，但最近演变成为针对 Linux 和物联网设备的多平台和多架构恶意软件，并且有独立的 ARM 和 MIPS 版本。Medusa Medusa 勒索软件自 2021 年 6 月开始活跃，以勒索软件即服务(RaaS)模式运作，采用双重勒

209、索策略（加密和泄露数据，威胁称若不支付赎金便外泄或出售数据。）Mirai Mirai 是一个声名狼藉的物联网(IoT)恶意软件，可以追踪易受攻击的 IoT 设备（例如网络摄像头、调制解调器和路由器），并将其变成僵尸设备。僵尸网络操纵者利用该恶意软件发起大规模分布式拒绝服务(DDoS)攻击。Mirai 僵尸网络首次发现于 2016 年 9 月，因其庞大的攻击规模迅速成为了当时的焦点话题。Mirai 发动的攻击包括造成利比里亚整个国家陷入停摆的一场大规模 DDoS 攻击，以及针对互联网基础设施公司 Dyn 的 DDoS 攻击，美国绝大多数的互联网基础设施均由 Dyn 提供。Nanocore Nan

210、oCore 是一种远程访问木马程序(RAT)，攻击目标是 Windows 操作系统用户，2013 年首次被发现。RAT 的所有版本都包含基本的插件和功能，如屏幕截图、加密货币挖矿、远程控制桌面和网络摄像头会话窃取。NetSupport NetSupport 恶意软件被认定为远程访问木马程序(RAT)，主要针对教育、政府和商业服务等行业。NetSupport 最初是一种合法的远程管理工具，后来被威胁执行者改变用途，用于监视行为、文件传输和渗透网络等恶意活动。njRAT njRAT 又名 Bladabindi，是由 M38dHhM 黑客组织开发的 RAT。于 2012 年首次报告，主要用于攻击中东

211、地区的目标。第第 9 9 章章99CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告Nokoyawa Nokoyawa 是基于 Windows 的勒索软件系列，于 2022 年 2 月首次发现，以双重勒索攻击而闻名。该勒索软件最初以 C 语言编写，后来使用 Rust 语言重写，与 Nemty 和 Karma 勒索软件系列在编码上存在相似之处。据悉该勒索软件会利用 CVE-2023-28252 等漏洞进行攻击。Phorpiex Phorpiex（又名 Trik）是自 2010 年活跃至今的僵尸网络，最猖獗时期一度操控逾百万台受感染主机。它通过垃圾邮件活动分发其他系

212、列的恶意软件，助长大规模垃圾邮件活动和性勒索攻击活动的气焰，并以此声名鹊起。Qbot Qbot 又名 Qakbot 是一种银行木马病毒，首次发现于 2008 年。其设计初衷是为了窃取用户的银行凭据和按键输入内容。Qbot 经常通过垃圾邮件进行分发，它采用了多种反虚拟机、反调试和反沙盒技术来阻碍分析和躲避检测。Raccoon Raccoon 信息窃取程序首次发现于 2019 年 4 月。该信息窃取程序以 Windows 系统为目标，在地下论坛中作为 MaaS（恶意软件即服务）出售。这种简单的信息窃取程序能够收集浏览器 Cookie、历史记录、登录凭据、加密货币钱包和信用卡信息。Ramnit Ra

213、mnit 模块化银行木马病毒首次发现于 2010 年。Ramnit 可以窃取 Web 会话信息，让操纵者能够窃取受害者使用的所有服务的凭据，包括银行账户、企业帐户和社交网络帐户。该木马病毒使用硬编码域以及由 DGA（域生成算法）生成的域来联系 C&C 服务器并下载额外的模块。Raspberry Robin Raspberry Robin 是一款多用途恶意软件，最初通过受感染 USB 设备进行分发，具有蠕虫功能。RedRelay RedRelay 是一个共享代理网络，由包括中国大陆网络间谍攻击者 Red Vulture 在内的多个威胁执行者利用。RedRelay 采用多跳代理和加密通信等功能来增

214、加分析和归因难度。该网络由威胁执行者操作的虚拟专用服务器(VPS)与遭入侵设备组合而成。第第 9 9 章章100CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告Remcos Remcos 是一种远程访问木马病毒(RAT)，于 2016 年首次被发现。Remcos 通过附加在垃圾邮件中的恶意 Microsoft Office 文档进行自我分发。它被设计成绕过 Microsoft Windows UAC 安全机制，以高级权限执行恶意软件。RubyMiner RubyMiner 于 2018 年 1 月首次被发现，其目标是 Windows 和 Linux 服务器。R

215、ubyMiner 搜寻易受攻击的 Web 服务器（例如 PHP、Microsoft IIS 和 Ruby on Rails），通过开源 Monero 挖掘软件 XMRig，将这些服务器用于加密货币挖掘活动。StripedFly StripedFly 最初被错误地归类为加密货币挖掘程序，是一种复杂多变的蠕虫式恶意软件框架。它的恶劣影响遍及世界各地，至少从 2017 年便开始出现，感染的受害者有百万之众。Ursnif Ursnif 是针对 Windows 的 Gozi 银行木马程序的变种，其源代码曾在网上流出。它具有浏览器中间人攻击(Man-in-the-Browser)功能，可以窃取流行在线服务

216、的银行信息和凭据。此外，它还可以从本地电子邮件客户端、浏览器和加密货币钱包中窃取信息。最后，该木马程序可以在受感染系统上下载和执行其他文件。WannaMine WannaMine 是一种利用永恒之蓝(EternalBlue)漏洞进行传播的复杂 Monero 加密货币挖矿蠕虫。WannaMine 利用 Windows 管理规范(Windows Management Instrumentation,WMI)永久事件订阅进行传播并维持持久化。XMRig XMRig 是一种用于 Monero 加密货币挖矿的开源 CPU 挖矿软件。威胁执行者经常滥用这种开源软件，将其集成到恶意软件中，在受害者的设备上进

217、行非法挖矿。ZuoRAT ZuoRAT 是一种远程访问木马程序(RAT)，主要针对小型办公室/家庭办公室(SOHO)路由器。它源于 Mirai 僵尸网络，至少从 2020 年已开始运作。ZuoRAT 采用广泛的网络侦察、数据收集和网络通信劫持手段。第第 9 9 章章101CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告01结语第第 10 10 章章102CHECK POINT SOFTWARE|2024 2024 年安全报告年安全报告在迈入新一年之际，我们应以上一年的模式和教训为基础，制定新的、有弹性的战略。积极主动地识别新趋势、认识漏洞并了解威胁执行者的手段

218、，对于制定有效、可持续的网络安全计划至关重要。本安全报告旨在为网络安全领导者提供必要的认知和预见，帮助其始终领先网络对手一步。从勒索软件零日攻击的兴起到黑客行动主义带来的新风险，组织迫切需要适应并采用新的安全措施。在技术日新月异的时代，本文分享的见解可作为 2024 年及未来驾驭网络安全格局的路线图。第第 10 10 章章联系我们全球总部5 Shlomo Kaplan Street,Tel Aviv 6789159,Israel 电话：972-3-753-4599 电子邮件：中国总部上海市黄浦区延安东路 550 号海洋大厦 1806-1808 室|邮编：200020|正遭受攻击？请联系 Check Point 事件响应团队：emergency-CHECK POINT RESEARCH 官方微信 欢迎访问我们的网站 https:/ 1994-2024 Check Point Software Technologies Ltd.保留所有权利。