2023年度安全事件观察报告

关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于2000年4月，总部位于北京。公司于2014年1月29日在深圳证券交易所创业板上市，证券代码：300369。绿盟科技在国内设有50余个分支机构，为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处，深入开展全球业务，打造全球网络安全行业的中国品牌。 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 CONTENTS 01 2023年网络安全形势分析9 02 2023年安全事件数据观察5 2.1金融行业与运营商成为重点攻击目标6 2.2挖矿事件趋势持续放缓，勒索事件占比最高7 2.3社工钓鱼和漏洞攻击为边界突破主要手段8 03 网络安全趋势与典型事件分析11 3.1安全意识成演练对抗永恒主题，权限维持另辟蹊径12 3.2Java应用与ESXi成为勒索攻击热点16 3.3恶意软件技巧升级，社工钓鱼仍需防范19 3.4AI风潮下的网络安全风险与机遇27 3.5汽车电动化、网联化、智能化带来更多网络安全风险31 3.6K8S逐渐成为主流，云安全意识需要提升38 3.7地区冲突引发网络战，攻击手段简单粗暴43 04 安全漏洞变化趋势45 4.1安全漏洞趋势分析46 4.2重点漏洞盘点49 05 数据安全风险上升，监管面临新要求53 5.1企业和医疗领域成攻击焦点54 5.2API和文件传输应用漏洞成数据泄漏的主要威胁56 5.3数据安全管理法规趋于健全56 06 典型安全事件汇总58 6.1挖矿蠕虫案例59 6.2钓鱼邮件案例63 6.3勒索攻击案例67 07 安全建议74 08 附录一.GBT20986-2007信息安全事件分类分级指南77 09 附录二.绿盟科技事件分类方法79 TN TE N CO S 参考文献 5 2023 0年形网势络1分安全析 2023年度安全事件观察报告 2023年安全事件数据整体呈现出平稳趋势，没有出现明显的波动。绿盟科技2023年接 收安全事件376起，比去年减少33.2%，第一季度事件总量100起，比去年有所增长；从第 二季度起，每季度的事件量均低于去年同期。在2023年8月事件量达到本年度峰值，事件量为135起，较去年同期增长34.8%，较7月份增加了85.2%。 图1.1近三年事件发生趋势 绿盟科技在《GBT20986-2007信息安全事件分类分级指南》指导下，制定了信息安全事件分类方法。对处理的安全事件按照国标和绿盟安全事件分类标准分别进行统计，事件分布如图1.2、图1.3。 图1.2国标事件类型分布 本年度事件按照细分子类型排序，TOP5分别为钓鱼攻击事件、木马程序漏洞攻击、勒索软件和虚拟挖矿。 2 2023年网络安全形势分析 图1.3事件类型分布图 绿盟科技CERT团队2023年处理的应急响应事件遍布全国，覆盖了全国32个省级行政区，其中发生在北京，上海，四川的事件最多。 0-5 5-10 10-15 15-30 30+NA 3 2023年度安全事件观察报告 【适用性】 此报告适用于政府、运营商、金融、能源、交通、教育医疗、企业等行业客户。 【局限性】 此报告基于绿盟科技应急响应服务数据，具有一定局限性。 【特别声明】 本次报告中涉及的所有数据，均来源于绿盟科技自有产品和合作伙伴产品，所有数据在进行分析前都已经过脱敏处理，不会在中间环节出现泄露，且任何与客户有关的具体信息，也均不会出现在报告中。 4 20230年数安据全2观事察件 2.1金融行业与运营商成为重点攻击目标 根据最近两年行业事件数据统计分析，可以看到金融、企业、运营商一直都为黑客攻击的重点目标。但与2022年相比，2023年企业应急事件数量降低了近50%，而金融行业与运营商成为了首要攻击目标。这一定程度上反映了目前企业客户防御能力与安全意识的提升，和攻击者目标的转变。 160 140 120 100 80 60 40 20 0 20222023 图2.1行业事件数统计图 对2023年行业安全事件分布进行统计，发现网络钓鱼攻击仍为针对金融行业和运营商的主要攻击手段。由于金融和运营商行业安全体系建设较为健全，安全设备与安全产品较为丰富，而通过依赖社会工程学的网络钓鱼攻击进行边界突破，往往可以取得事半功倍的效果。 从事件类型分布图可以看出，木马程序占据了第二高的比例，这符合使用网络钓鱼进行木马投递的攻击特征。攻击者往往利用钓鱼邮件等社工手段，诱使受害者点击恶意链接或下载附件，从而投递木马程序。 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 企业 金融运营商政府综合交通 能源科教文卫 网络钓鱼攻击勒索软件木马程序后门事件 漏洞攻击虚拟挖矿蠕虫病毒信息安全事件 图2.22023年行业安全事件分布图 2.2挖矿事件趋势持续放缓，勒索事件占比最高 近年来随着终端及流量层安全防护产品能力的提升，挖矿程序越来越难以长期驻留，致使攻击者难以长期的获取有效收益。通过对挖矿事件的统计发现，近两年挖矿事件出现持续减少趋势，从2023年第一季度开始，挖矿事件数量已降至个位数。 30 25 20 15 10 5 0 2021Q42022Q12022Q22022Q32022Q42023Q12023Q22023Q3 图2.32022-2023年度挖矿事件数量统计 对于攻击者而言，勒索攻击对比挖矿则具有以下特点： ●收益更加直接，索要赎金获取的短期收益要远远大于挖矿攻击。 ●勒索病毒大部分不会产生网络流量，可有效躲避流量设备检测。 ●攻击门槛更低，攻击者可使用现成的勒索工具包，也可直接购买勒索软件服务。 2023年有害程序事件中，勒索软件相关事件占比达到43%，为有害程序事件占比最高的类型，其次为木马程序和虚拟挖矿事件。 6% 17% 7% 43% 27% 虚拟挖矿蠕虫病毒木马程序勒索软件僵尸网络 图2.4有害程序事件类型占比 2023年勒索攻击事件中勒索病毒家族TOP5分别为：Phobos、Lockbit、BeiJingCrypt、Mallox及TellYouThePass。 根据数据统计，目前90%以上的勒索软件均是Windows平台，但近年来勒索攻击目标正逐渐瞄向攻击价值更高的ESXi等Linux平台。为了实现攻击收益最大化，文件加密与数据泄露的双重勒索模式，已成为勒索攻击的主流手段，同时，我们在多个攻击案例中还发现，部分勒索家族甚至开始通过媒体舆论及监管单位向受害企业施加压力，以迫使他们缴纳赎金。 2.3社工钓鱼和漏洞攻击为边界突破主要手段 无论在真实安全事件还是攻防演练中，社工钓鱼一直都是网络边界突破的主力手。通过2023年的事件数据分析发现，在前三季度钓鱼事件数一直高于漏洞事件数，但在第三季度漏洞事件数实现了反超。 45 40 35 30 25 20 15 10 5 0 2022Q42023Q12023Q22023Q3 钓鱼漏洞 图2.52023年漏洞数量与钓鱼事件数 通过对漏洞类型占比进行分析，发现攻击者大部分使用的都是Web漏洞，其中占比最高的4种漏洞类型分别为文件上传，命令执行，SQL注入和反序列化。 框架漏洞10% 文件上传18% 系统漏洞5% 组件漏洞7% 软件漏洞 10% WEB漏洞68% 命令执行16% SQL注入12% 反序列化5% 未授权访问7% 其他10% 图2.6漏洞类型占比图 通过对漏洞利用相关事件进行统计分析发现，有近三分之一的漏洞攻击事件均与OA系统漏洞有关，OA作为企业通常部署于互联网边界的核心业务系统，一直是攻击者的重点关注对象。 OA漏洞事件 29% 其他漏洞事件 71% 图2.7OA漏洞占比 网典络安型0事趋件3势分与析 3.1安全意识成演练对抗永恒主题，权限维持另辟蹊径 2023年攻防演练期间，绿盟科技CERT共处置安全事件129起，由于参演单位的安全防护能力和人员安全意识的不断提升，安全事件数较往年有所下降。从事件类型分布来看，钓鱼攻击仍是演练期间最主要的攻击手段，漏洞攻击相关事件中，0day及1day漏洞所占比例持续增长，且针对性更强。此外首次参演的车联网、工业互联网等新兴行业，由于基础安全建设能力相对薄弱，成为了演练期间的重点攻击目标。 其他事件 20% 误报事件 14%未知类型 3% Nday19% 内网渗透 6% 漏洞攻击 31% 钓鱼攻击 26% 图3.1.1演练期间事件类型分布 0day/1day12% 3.1.1传统钓鱼攻击比例下降，漏洞攻击事件稳步增长 钓鱼攻击往往是参演单位最为关注的攻击手段，部分参演单位会通过定期培训来提升员工安全意识。此外，安全厂商近年来加强了邮件网关的研发投入，在产品防护规则和整体防护效果方面均有了明显提升，部分网关产品甚至还推出了演练专项的防护规则，导致传统类型的钓鱼事件呈现逐年下降趋势。 对于攻击者而言，由于邮件钓鱼收效逐年减弱，进而选择了更为隐蔽的钓鱼手段，包括微信等社交软件钓鱼、招聘类软件钓鱼、内网通信软件钓鱼、内网邮箱钓鱼等，在躲避相关防护设备的同时，还结合挖掘的办公软件相关漏洞，利用信任关系，对内部人员进行精确钓鱼、二次或多次钓鱼。 图3.1.2邮件网关防护规则 攻防演练期间，绿盟科技CERT共监测到有效漏洞182个，相较去年增长近20%，其中0day及1day漏洞占比达到24%，主要集中于办公软件及安全产品。办公软件漏洞主要为国产OA系统，以命令执行、文件上传、未授权访问等可获取权限或数据的高危漏洞为主，相较于往年频发的网络边界防护类安全设备漏洞，终端安全防护产品逐步成为漏洞挖掘的重点关注对象，包括端点检测与响应（EDR）产品、桌面管理类软件等，攻击者利用此类软件漏洞可进行本地权限提升、定向精准钓鱼或批量植入后门等。 框架组件 8% 终端软件 1% 网络设备 13% 操作系统 1% 安全产品 15% 办公软件 58% 其他 4% 办公软件其他安全产品操作系统网络设备框架组件终端软件 图3.1.3演练期间漏洞类型分布 3.1.2终端云安全产品遭滥用，权限维持手法升级 为了降低企业终端安全管理建设成本，部分安全厂商面向中小企业推出了SaaS架构的终端云安全产品，具备病毒防护、软件管理、补丁下发等终端管理常用功能，通过快速部署，可实现轻量化在线终端安全与运维管理。 图3.1.4终端云安全产品下载页面 此类产品大部分均集成了桌面控制、文件传输、命令执行等木马后门常用的远程控制功能，同时还具有命令行部署功能，可通过命令行参数进行静默安装，此外，由于是SaaS模式，部分安全厂商还对外提供了免费试用服务。 攻击者正是利用上述功能，首先注册为企业用户，申请试用并获取合法下载链接，然后通过钓鱼邮件、定向投递等方式，对目标参演单位主机进行远程控制，利用合法的安全软件作为掩护，逃过终端侧或流量层防护产品的检测。 图3.1.5终端云安全产品远程控制功能 3.2Java应用与ESXi成为勒索攻击热点 从2021年到2023年，勒索攻击逐渐扎根成为网络犯罪的一大分支，产业活跃度逐年攀升。同时2023年的勒索行业可能受到全球经济形势变化的影响而活跃度再升。 3.2.1Java应用成为国内勒索主要攻击面 2021年底Log4j漏洞出现公开POC时，TellYouThePass勒索家族即刻对其进行武器化，随后发起大规模攻击，攻击对象主要针对中国大陆。值得注意的是，TellYouThePass不作为RaaS（勒索软件即服务）运营，推测为固定攻击团伙。 根据绿