2022年度窃密木马攻击态势报告 -新华三主动安全系列报告- 目录 CONTENTS 1概述 3 2全年窃密木马攻击态势 4 2.1全年攻击事件 4 2.2地域分布 6 2.3家族统计 6 3窃密攻击技术特点 8 3.1入侵传播 8 3.2防御规避 12 3.3数据窃取 13 4窃密攻击发展趋势 16 4.1新家族不断涌现,产品和服务双向升级 16 4.2窃密功能更加模块化和定制化 17 4.3开发跨平台化,对抗程度加强 18 4.4多因素身份认证攻击日渐加剧 19 4.5攻击“多维度”叠加,威胁进一步加深 20 5总结 21 6附录1:典型窃密木马家族 22 6.1RedLine22 6.2FormBook26 6.3AgentTesla31 6.4Raccoon35 6.5Lokibot39 6.6Vidar41 1概述 自全球进入数字化转型阶段以来,数字驱动经济增长,机遇与风险并存,数字化转型带来的以数据为核心的威胁态势不断升级。随着网络犯罪即服务(CCaaS,CyphercrimeasaService)模式的兴起,网络攻击逐渐走向商业化、产业化,直至发展成如今成熟的网络犯罪生态圈。在这种模式下,攻击成本和技术门槛双双降低,以数据窃取、数据泄密和数据破坏为目的的攻击面持续扩大,全球网络空间面临的以数据为主的网络威胁不断泛化,时刻侵蚀网络安全壁垒。 新华三攻防实验室持续跟踪数据窃密等网络攻击活动,基于对全网窃密木马攻击活动的监测、分析与处置,结合国内外有关窃密木马的研究报告进行综合研判、梳理汇总为——2022年度窃密木马攻击态势报告。本报告围绕窃密木马全年攻击态势展开,分析介绍典型窃密木马家族,总结窃密木马技术特点,探索当前窃密木马的发展趋势,旨在帮助机构组织、企业、个人对窃密木马的传播方式、功能、目标以及危害性有更加全面的了解,降低窃密木马带来的风险。 2全年窃密木马攻击态势 2022年全球范围内,数据窃密类恶意软件活跃度持续走高,窃密攻击事件频频发生,网络数据资产安全正面临着日趋严峻的挑战。据Group-IB统计,仅在2022年上半年就有超30个网络犯罪团伙通过窃取即服务(SaaS,StealerasaService)模式分发窃密木马,共感染超过89万台主机,窃取超过5000万个账户凭据。由此可见,窃密木马作为一个“被低估”的网络威胁,尤其在大型企业等高价值目标中,其危害程度和影响范围在某种程度上堪比勒索软件。新华三攻防实验室从窃密攻击事件、窃密地域分布、流行窃密木马等方面进行统计分析,现总结流行窃密木马全年攻击态势如下: 2.1全年攻击事件 2022年窃密木马攻击事件不断发生,攻击方式多种多样,受害者遍布全球各地,下图列举了一些影响较为严重的窃密攻击事件。 图1全年窃密木马攻击事件案例 2022年2月初,在Microsoft宣布Windows11将完成最后升级的第二天,攻击者就伪造Microsoft官网向用户分发伪造的Windows11升级安装程序,诱使用户下载并执行RedLine窃密木马。尽管分发站点在较短时间内被关闭,但仍导致了RedLine的大范围传播,受害者大量数据遭受窃取。 2022年5月,CPR研究人员披露了一起对德国汽车制造商和经销商实施的窃密攻击活动。攻击者向特定目标发送多封钓鱼邮件,诱饵附件为汽车购买合同和转账收据,用户一旦打开附件就会后台下载运行Raccoon和AZORult窃密木马,导致各种登录凭证及其他重要商业数据遭窃取。 2022年9月,“魔盗”窃密木马伪装成CorelDraw、IDAPro、WinHex等多款实用工具软件在国内进行大规模传播,每日上线的受害者主机数量超过1.3万。该窃密木马会收集浏览器书签和历史数据、邮箱账户等重要数据,并且可更改后续攻击载荷,如勒索、挖矿、窃密等类型的恶意载荷,给受害者带来更为严重的危害。 2022年9月,科技公司Uber遭受了网络攻击导致严重的数据泄露。据Group-IB发布的报告,事件起始于Uber在巴西和印度尼西亚的至少两名员工个人设备感染了Raccoon和Vidar窃密木马,登录凭据被窃取并泄漏到暗网。攻击者在暗网上购买到这些凭据,对Uber员工发起窃密攻击,最终成功入侵并窃取到了Uber公司内部数据。 2022年12月,Python存储库PyPI平台受到一波新的窃密木马投毒攻击,以窃取其他开发人员的信息数据。攻击者上传了近百个恶意Python包,用户使用后会释放W4SPStealer窃密木马,这些恶意包下载次数攻击过万次。 2.2地域分布 新华三攻防实验室统计窃密木马受害者在全球范围的地域分布情况,如下图所示。 图22022窃密木马受害者地域分布 经分析,北美洲、欧洲和亚洲是窃密木马受害者的“重灾区”,其他地区也受到不同程度的影响。其中,北美地区受到的窃密木马攻击最为严重,美国以受害者数量占比33.47%占据全球首位,加拿大以占比12.02%排在第二。欧洲区域的受害者主要集中在法国、俄罗斯、捷克、德国和西班牙等地区,亚洲区域以中国和韩国较为严重。 总体而言,全球范围内互联网和经济发达地区的受害程度普遍较高,正是由于这些地区数据资产价值更高,网络用户基数更大,窃密木马更加有利可图。 2.3家族统计 2022年度全球范围内流行的窃密木马超过60种,相比2021年增加了十余个新型窃密木马家族。流行窃密木马家族TOP10统计如下图。 图32022年窃密木马家族TOP10 其他 21.38% Vidar 3.58% Lokibot 4.54% Qakbot4.65% Pony11.77% SnakeKeylogger4.42% AZORult3.69% Raccoon3.21% FormBook12.57% AgentTesla 14.75% RedLine15.42% 窃密木马的流行度离不开其背后的运营团伙大肆宣传,其中,商业窃密木马曝光率更高。RedLine作为商业窃密木马的代表,因其窃取数据类型多、操作便捷、售价低而被广泛传播,在野样本超过10万,跃居为2022年度最活跃的窃密家族。排名第二的AgentTesla家族是从2014年来一直活跃至今的老牌窃密家族,在经过多次版本迭代后,已经具备较强的数据窃取能力,支持定制化、界面友好等一系列特点使其比同类商业窃密木马更胜一筹。擅长利用钓鱼邮件传播的FormBook窃密木马在本年度持续猖獗,据CPR报告,截止10月份,FormBook已感染全球3%的机构。此外,Lokibot、Raccoon等商业窃密木马也各具特点,本年度活跃度只增不减。 3窃密攻击技术特点 全球数字化转型背景下网络资产加速扩张,数据呈多样性、分散性、复杂性。窃密木马攻击者为了成功入侵并尽可能地获取更多信息数据,在入侵传播方式、防御规避技术、窃密数据类型上都做了诸多尝试。在入侵传播方式上,攻击者除了积极利用传统的钓鱼邮件、虚假破解/激活软件、远程代码执行漏洞外,还 会利用更加高级的手段,如供应链攻击方式投放恶意载荷。在防御规避技术上,窃密木马渐倾向于将多种 技术结合起来,层层嵌套最终形成“套娃式”载荷,不仅能够躲避防护软件的检测,一定程度上也会给专家研究分析增加难度。从窃密数据类型上来看,窃密的内容已发展为无所不窃,普通用户使用最频繁的浏览器数据仍然是数据窃取的主要目标,同时,为达到快速变现,针对加密数字货币的窃取也愈发受到攻击者“青睐”。 3.1入侵传播 窃密木马的入侵方式多种多样。统计显示,排名TOP3的入侵方式分别为网络钓鱼、破解/激活软件以及远程代码执行漏洞。这些方式由于效果较好而被广泛使用。 图42022年窃密木马入侵方式统计 25.00% 11.54% 13.46% 3.85% 46.15% 网络钓鱼破解/激活软件远程代码执行漏洞供应链攻击其它 网络钓鱼 窃密木马使用最多的入侵方式是发送钓鱼邮件或短信,攻击者会精心构造邮件或短信内容以引诱目标上钩,载荷可能是恶意文档、包含可执行程序的压缩包或者是用于下载恶意载荷的链接,被攻击者一旦打开文档或执行相关程序,窃密木马就会被植入。 2K是众多流行游戏的发行商,旗下包括《NBA2K》、《无主之地》、《WWE2K》、《生化奇兵》、《文明》系列等游戏。2022年9月,黑客冒充2K官方邮箱向游戏玩家发送领取票据的钓鱼邮件,邮件内容包含一个指向“2KLauncher.zip”的网络链接,但实际下载的文件是经过伪装的RedLine窃密木马,如下图。 图5与RedLine相关的钓鱼邮件(图源Reddit) 破解/激活软件 通过虚假或捆绑破解/激活软件来传播窃密木马的方式也倍受攻击者欢迎。攻击者将窃密木马伪装成破解/激活工具或者将其进行捆绑,安全意识薄弱的受害者在需求急切的情况下很容易中招。 2022年9月,CNCERT监测到一批伪装成CorelDraw、IDAPro、WinHex等多款实用工具进行传播的“魔盗”窃密木马。该木马被安装后会收集浏览器历史记录、书签数据、邮箱账户等数据,并加密回传至攻击者服务器。由于破解/激活软件自身的特殊性,攻击者通过安装教程来诱导用户关闭安全软件,以此躲避检测。经跟踪发现,境内受感染主机每日上线数量破万,影响颇为严重。 远程代码执行漏洞 由于开发者的疏忽或架构本身的缺陷,攻击者可以构建特定的程序或数据,使软硬件以非预期方式运行,严重情况下可以达到任意代码执行的效果,最终控制受害者的机器。 随着数字化进程的推进,信息系统日渐复杂化,安全漏洞不可避免。同时,由于漏洞具有低交互性、持久性等特点,攻击者始终热衷于利用漏洞进行入侵传播。除了对影响广泛的老漏洞持续利用,当新的漏洞被披露,攻击者也会第一时间对其进行分析研究并迅速武器化。 表1窃密木马常用漏洞 CVE 漏洞名称 相关家族 CVE-2017-0199 MicrosoftOfficeRTF文档远程代码执行漏洞 AgentTesla CVE-2017-8570 MicrosoftOffice远程代码执行漏洞 AgentTeslaFormBook CVE-2017-8759 Microsoft.NETFramework远程代码执行漏洞 javaKeyLogger CVE-2017-11882 MicrosoftOffice内存损坏漏洞 AgentTeslaRaccoon CVE-2021-26411 MicrosoftInternetExplorer内存损坏漏洞 RedLine CVE-2021-40444 MicrosoftMSHTML代码执行漏洞 FormBook CVE-2022-1096 ChromeV8JavaScript引擎远程代码执行漏洞 RedLine CVE-2022-30190 ms-msdt远程命令执行漏洞 QakbotXFiles CVE-2022-1096是由匿名安全研究人员报告的ChromeV8JavaScript引擎中的高严重性类型混淆漏洞,攻击者利用该漏洞可以执行任意代码,所有使用Chromium的浏览器如Chrome、Edge都受该漏洞影响。2022年5月,RedLine窃密木马利用CVE-2022-1096漏洞进行入侵,最终窃取了数百万用户的信息。 供应链攻击 供应链攻击又称为第三方攻击,在供应关系中,攻击者主要针对上游提供服务或软件的供应商发起攻击,从而影响到下游用户。作为一种新型威胁,供应链攻击具有突破口多、破坏力强、波及面广、隐蔽性高等特点,已成为最难以防御的攻击手段之一。 2022年12月,攻击者将W4SPStealer开源窃密程序打包成各种模块和工具,上传到Python软件存储库PyPI上。Python开发者安装并加载相应的恶意库后,W4SPStealer窃密木马就会窃取PayPal、加密货币以及MFA令牌等数据。经统计,在PyPI网站中,2022年攻击者已上传100个以上恶意库,累计下载量破万。 图6PyPI恶意库下载量(部分示例