2023上半年全球威胁态势研究报告

2全023年8球月 威胁态势研究报告 FortiGuardLabs半年度报告 目录 摘要3 2023年上半年全球威胁态势概览3 近五年威胁态势发展趋势回顾5 红区解读6 从漏洞利用预测到威胁爆发8 全球ATT&CK热图9 源自终端遥测的技术洞察11 保护您的企业免受不断演进的威胁攻击 ................................12 未来展望14 摘随着要整体威胁态势和组织的攻击面在不断变化，不法分子快速设计和调整攻击技术的能力也在不断提升，并伺机利用不稳定的网络环境， 持续对各行各业及不同地理位置的不同规模企业构成重大威胁。 重新审视2023年上半年威胁活动趋势时，我们不难发现，网络犯罪组织和攻击组织纷纷掀起新技术武装潮流。值得关注的是，其中一些参与者的运作方式与传统企业运营模式非常相似，具有明确的岗位职责、可交付成果和业务目标。凭借以往漏洞利用手段或竞争性集团支持，此类组织架构能够进一步试验和整合颠覆性新技术，如利用新一轮的GenerativeAI（生成式人工智能）技术，令攻击技术更为复 杂，更难以察觉。 恶意行为者的攻击技术复杂性显著提升，攻击频次和复杂程度均有所升级，这一趋势在网络安全领域尤为明显。显著特点是，针对各行各业的高针对性攻击数量均有所增加，如复杂的勒索软件攻击、大量敏感数据泄露及MITREATT&CK战术的显著转变，这些均与Fortinet全球人工智能（AI）增强检测技术所监测到的内容一致。 2023年上半年全球威胁态势概览 APT组织 勒索软件 2M.3a%r 4A.0p%r 8a%y 4M. 6%%ofallmalwaredetections 4% 0.7F2e%b 0.3J0a%n 12.6xincrease 2% 0% J3u.7n% ICS和OT攻击 AP我T们组检织测中到，，41在个M组IT织R（E识30别%的）1处38于个活跃性状，态且。进这展些快攻速击。更已具归针类对的性AT和P组计织划中，三分之一处于担活忧跃。状态，令人倍感 进入红区 8.3% 截不止减2，0与23年年初上相半比年，，攻勒击索数软量件超攻1势3倍勒。索目软前件仅，有以1往3这%一的比组例织为成2功2检%测。到再次表明，勒索软针件对攻性击。更具复杂性和 327倍 漏洞利用倍数 （针O对T）工的业攻控击制数系量统未（出ICS现）大和规运模营增技长术，组但织20已23能年够上成半功年检仍测呈IC上S或升O趋T势漏。洞半，数其中能源和公用事业首领。域组织位列攻击榜 ATT&CK观测 自以0来.6下%年降 中，三分之二（67%）处于活跃状态。 91.7% 33.3% ATT&CK 观测 66.7% 稳定（约8%）。 相者比针去对年终同端期漏，洞2发02起3的年攻上击半比年率，趋攻于击 别Fo的rt最in易et被La利bs用分的析漏表洞明，，其经在EP一S周S识内遭受攻击的次数32是7倍其。他已检测漏洞的 基半于年F，or所tin有et已检知测M技IT术R发E现AT，T&2C02K3技年术上 据观察，2023年上半年出现以下攻击趋势：高级持续性威胁（APT）组织频繁发起攻击活动、勒索软件攻击频次及复杂性均有所升级、僵尸网络活动数量增加、攻击者使用的MITREATT&CK技术快速转变等等。 然而，尽管威胁态势不断变化，但不意味着防御者只能坐以待毙。在本报告中，我们对漏洞进行了深入剖析，并基于漏洞严重程度提出了补丁修复优先级建议。此外，我们发现许多威胁活动采用的攻击战术和技术似曾相识，这一观察为实施针对性策略以有效防范不良行为者创造了先机。最后，我们还为您介绍了充分利用威胁情报等其他当前可采取的诸多可行举措，全方位保护您的组织。 2023年上半年所有归类的APT组织中三分之一处于活跃状态 接架。下来1监，控我这们些将A重PT点组介织绍的当整前体攻活击动趋趋势势背是后绘的制威和胁分参析与当者前。威M胁ITR态E势追的踪关了键1举38措个。网2络02威3年胁组1月织至，并6月将，其我攻们击观战察术到和其技中术纳41入个A团TT体&CK框 （的3黑0客%团）体处。于活跃状态。根据恶意软件遗传代码分析，Turla、StrongPity、Winnti、OceanLotus和WildNeutron等组织是目前最活跃 Turla可能是目前现有黑客团体中技能最娴熟的威胁组织之一。近二十年来，Turla曾以多种别名（Snake、VenomousBear、或BlurPython等）展开活动，并与超45起备受瞩目的攻击活动有关，给全球各地的政府机构、媒体、能源部门组织和大使馆造成不同程度的负面影响。多年来，即便受到严密监控和高度重视，Turla成员仍能成功躲避防御技术并成功入侵组织网络，当前局部地区冲突态势升级，该组织的活跃度出现上升趋势。 然而，令人感到些许宽慰的是：过去半年间，APT组织的攻击活动仅对小部分组织造成负面影响。这表明至少目前APT活动仍具有高针对性，不会采取撒网式攻击，浪费网络武器。 勒索软件攻势不减 2 勒索软件已盘踞网络长达数十年之久。但近年来，我们观察到，威胁行为者日渐采用更复杂、更具针对性的攻击战术和技术渗透网络。这一趋势的发展很大程度上归功于勒索软件即服务（RaaS）模式的大肆兴起。随着勒索软件活动的日益猖獗，全球商业领导者对于此类威胁的关注度日渐提高。据Fortinet近期一项调查显示，78%的受访企业领导声称已做好应对此类攻击的准备，但不幸的是，仍有半数受访企业遭受勒索软件攻击。3 勒索软件攻击的迅猛势头未出现放缓迹象。相比2023年初，勒索软件攻击事件数量超13倍，在所有恶意软件总体检测中遥遥领先。然而，我们观察到受影响组织数量仍处于较低点。五年前，近四分之一（22%）受访企业在其网络上检测到勒索软件活动。而2023年上半年，这一比例已降至13%。然而令人担忧的是，当前攻击活动显著减少并不意味着勒索软件活动正逐渐消退。相反，这可能是勒索软件攻击更为集中的信号。因为勒索软件团伙正试图采用适用性更强、更复杂的Playbook发起更具针对性的攻击，以助推其商业运营模式的进一步发展。 下图为2023年上半年通过遥测观察到的当前最流行的恶意软件家族信息，有助于了解加密矿工、信息窃取者（infostealers）、勒索软件和远程访问木马（RAT）四大类关键家族成员。 加密矿工 信息窃取者 勒索软件 远程访问木马 雨刷攻击态势放缓 图1：恶意软件关键家族（按类型划分） XMRigMiner CoinMiner Tofsee PurpleFox Monero LemonDuck PhotoMiner IntelRapid MyKings H2Miner RedLineLoki Formbook Glupteba stealer SmokeLoader Amadey SnakeKRBanker AVE_MARIA Keylogger Dridex Conti STOPRansomware Lockbit TargetCompanyRansomware DarkSide BlackMatterGandCrab Ransomware Sodinokibi TeslaCrypt CubaRansomware Mira AgentTesla AVE_MARIA REMCOS Emotet NanoCoreRAT NetWireRAT CobaltStrike Phorpiex OceanLotus AutoKMS Indexsinas Neshta 5 上图未列出的一类勒索软件为Wiper（雨刷）恶意软件。4雨刷之所以得名，是因为其破坏性攻击技术可从受感染系统中“擦除”数据。我们观察到，2022年初，雨刷使用量的激增主要与局部冲突有关。虽然这一增长趋势在今年下半年将持续存在，但2023年上半年的增长趋势有所放缓。 我们同样观察到，网络犯罪分子使用此类恶意软件针对特定行业组织发起攻击，如技术、制造、电信、医疗保健业及政府机构。 近五年威胁态势发展趋势回顾 作为安全从业者，谈及网络安全，我们中的许多人通常谈虎色变，倾向于预先假设负面结果。 但这种假设是事实还是虚言？有时回首审视长期发展趋势至关重要，我们将因此获取观察当前威胁态势的有利视角。接下来，让我们共同回顾一下漏洞利用、恶意软件和僵尸网络的近五年发展趋势。 . 10,042 检测到次漏洞利用 54 过去5年+68% 每个组织检测到次漏洞利用 69% 过去5年+75% 的组织曾遭受严重攻击 过去5年-10% 漏洞利用变体数量呈上升趋势 个特定恶意软件变体 7,063 44,886 过去5年+172% 个不同家族 18 过去5年+135% 个恶意软件家族波及≥1/10的组织 过去5年+100% 检测到330个特定僵尸网络 僵尸网络 恶意软件 漏洞利用 过去5年+27% 每个传感器平均检测4.3个活跃僵尸网络 83 过去5年+126% 遭受入侵平均天数为天 过去5年+1,085% 过去五年间，特定漏洞检测数量增加了68%。这一数据表明，相比以往，目前我们已有更多有效方法成功检测恶意攻击活动。此外，还表明攻击者数量正成倍增加，并采用多样化战术发起漏洞利用活动。但与此同时，我们观察到针对每个组织的漏洞利用尝试攻击下降75%，严重漏洞利用率下降10%。 漏洞利用尝试攻击数量的下降令威胁态势看似好转，但这一数据从另一方面表明，攻击者正伺机发动更具针对性的攻击行为。网络武器若频繁使用，其杀伤力势必减退，因为组织机构的检测能力将日渐增强，届时有效载荷将失去用武之地。 有组织的网络犯罪驱动的恶意软件活动持续增加 过软去件五家年族间数，量恶（意关软键件流家行族阈和值变）体翻呈倍爆。发毫式无增疑长问，这速一分结别果高源达于网13络5%犯罪和的17日5%益。猖更獗值以得及关目注前的活是跃，团成体功攻渗击透范至围少的持1/续10扩全大球。组织的恶意 随着这些对手的攻击手段变得越来越具有针对性、精确性和破坏性，意味着威胁态势逐渐升级，与犯罪分子的对抗将长期持续。借助近几年新兴技术和重大技术的进步，敌人规模迅速发展壮大，其攻击技术变得更强、更狡诈且更具隐蔽性。 僵尸网络攻击更具持久化 多数现代恶意软件家族均已创建针对命令和控制（C2）通信的僵尸网络。随着恶意软件家族和变体的激增，僵尸网络活动也随之更为频繁。如今，组织中的僵尸网络攻击更加活跃（+27%），僵尸网络感染率更高（+126%）。 僵尸网络攻击趋势持续上升，其真正的幕后推手离不开“活跃天数”的显著增加，即首次检测到僵尸网络活动到最后一个传感器“成功捕获”之间的时间。该指标衡量的是在前次入侵尝试失败后改变攻击路线前检测并拦截僵尸网络通信的平均天数。在某种意义上，通过该指标可得出成功检测此类活动的传感器所需的“成功检测和消除”威胁的平均时间。过去半年间，平均而言，检测天数为183天（我们测量的最后一天），而威胁入侵天数为83天，几乎占检测周期的一半。相比2018年初，这一测量数据增加了1000多倍。充分表明，过去五年中僵尸网络攻击变得更具持久化。纳入“僵尸网络武器带”的漏洞和漏洞利用的可用性总体增加，这一现状令人担忧，因其能够快速适应并增加自动破坏和控制的设备范围。 红区解读 6 在《2022年下半年全球威胁态势研究报告》中，我们引入了“红区”概念，以便更深入地探究威胁参与者利用特定漏洞的可能性（或不可能性）。 虽然终端上常见漏洞和披露（CVE）与攻击者目标CVE之间的关系受到部分因素影响，如组织之间的漏洞管理实践或对手工具的开发，但这也能为我们提供极具参考价值的快照，使我们快速了解攻击面状态，安全管理者可使用此类快照快速确定修复工作优先级。 已观察到终端上约0.7%的CVE处于受攻击状态。 未在终端上观察到已在终端上观察到已在终端上观察到且处于受攻击状态图2：终端上的所有CVE和受攻击CVE现状 2