2022攻击技术发展趋势年度报告

攻绿击盟技科术技发2展0趋2势2年报度告 ⸺精华版 关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于2000年4月，总部位于北京。公司于2014年1月29日在深圳证券交易所创业板上市，证券代码：300369。绿盟科技在国内设有50余个分支机构，为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处，深入开展全球业务，打造全球网络安全行业的中国品牌。 版权声明 为避免合作伙伴及客户数据泄露,所有数据在进行分析前都已经过匿名化处理,不会在中间环节出现泄露,任何与客户有关的具体信息，均不会出现在本报告中。 推荐语 在研究网络安全的二十余年中，我常常惊叹不断涌现的、充满了奇思妙想的新攻击技术。不同于漏洞研究，这些攻击技术、手法就像散落于网空安全领域的无数繁星，如此重要却缺少系统性的梳理，安全人员往往需要花费大量精力去收集和整理。去年，绿盟科技天元实验室进行了大量收集和整理工作，通过《2021攻击技术发展趋势年度报告》给关注于实战对抗的安全从业人员提供了便利。在今年的《2022攻击技术发展趋势年度报告》里，天元实验室带给我更多的惊喜：延续了去年的年度重点攻击技术精解和年度高可利用漏洞威胁解读，并进行了更深入的思考与技术展望，同时今年还加入了以新兴C2为代表的新式网络武器工具分析与预测，相信对实战安全感兴趣的从业人员都能有所收获。 —绿盟科技核心安全研究部总监左磊 《2022攻击技术发展趋势年度报告》中，我们对网络空间攻击与防御之间错综复杂的关系进行了梳理，并提出了A.B.E对抗能力模型。该模型是从攻击视角出发，表征攻击对抗技术的思考。我们希望在未来量化防御能力时，您能够用上这个模型，并期待获得您宝贵的意见。 —绿盟科技能力中心总经理范敦球 CONTENTS 执行摘要 001 01 技术观察003 1.1攻击生命周期0041.2对抗性攻击技术及A.B.E对抗能力006 02 年度攻击技术详解 2.1社会工程学与网络钓鱼2.2AD域安全2.3云安全2.4终端对抗 008009010011012 03 2.5供应链安全 年度高可利用漏洞 013 015 04 网络武器 018 执行摘要 执行摘要 2022年，全球网络空间安全形势依然复杂严峻。由美国引导的大国博弈和地缘政治趋势对全球网络空间安全持续形成威胁，网络空间安全也已成为全球战略竞争的一个重要方面，部分国家的政府和军方加强对网络攻击能力的建设，并积极开展网络攻击活动。特别是俄乌冲突的爆发改变了全球网络空间的游戏规则，网络攻击活动的目标变得更加广泛，涉及政府、军队、金融、能源、交通等重要领域，攻击目的也从原本的渗透潜伏、信息窃密转向系统瘫痪及数据损毁，同时夹杂对舆论的影响和争夺，全球网络安全威胁格局正在发生重大变化。 绿盟科技安全团队持续保持着对现网威胁和攻击活动的监测和分析，并剖析高级威胁组织的热点和新式攻击技战术，同时了解如何更好地应对和缓解相关威胁。去年我们首次发布了《2021攻击技术发展趋势年度报告》，以全新的蓝军视角研判了全球高级威胁和复杂攻击相关技术的最新趋势，以前瞻性观察向行业、客户和社区传递了可能出现的威胁形式和手段，为提前构建有针对性的防护措施提供了决策支撑。《2022攻击技术发展趋势年度报告》延续了这一理念，提供了有关新网络安全威胁格局下的攻击技术态势、热点和新式攻击、网络武器等内容的详细解读。 为了更好地理解新形势下网络空间进攻与防御之间的关系，以便更好地感知和应对复杂性网络空间威胁，我们在本次报告中重新梳理了网络攻击生命周期，并首次对外提出对抗性攻击技术及A.B.E对抗概念，这对于重新表征攻击技术以及进一步量化防御能力具有重要意义。 可以在本次报告中了解到的其他重要主题包括： ●社会工程学与网络钓鱼攻击与云、AI技术紧密结合。云文档、云存储等高可信云服务正在为高隐蔽性的网络钓鱼攻击提供便利；同时基于AI的深度伪造技术也极可能被用于生成强欺骗性内容。社工攻击是对人的攻击，MFA技术等增强身份认证安全技术可以缓解此类攻击，但却无法修补人性的漏洞。 ●ActiveDirectory域内的身份攻击安全风险愈演愈烈，呈现攻击面扩大、攻击手段智能化趋势。中继攻击作为AD域内最普遍的攻击方式之一，攻击面呈现出放大趋势，新型Kerberos中继攻击对AD域身份认证安全带来了新的挑战。围绕复杂认证协议和扩展机制的身份攻击手段成为主要威胁。攻击者善用知识图谱技术生成AD域攻击路径，AD域攻击呈现智能化趋势。 001 2022攻击技术发展趋势报告——精华版 ●身份攻击已成为云安全的主要威胁。云架构业务场景中复杂的功能、角色、权限关系已成为云产品的主要攻击面。云信任关系作为云服务交互活动的基础，攻击者滥用可信云环境完成初始访问、载荷投递、数据渗出等重要攻击阶段。K8S集群组件特性与身份认证体系成为云原生时代下攻击者横向移动的重要载体。 ●系统安全机制与EDR安防产品成为攻击者在终端侧的主要对抗目标。BYOVD合法驱动滥用技术成为攻击者权限提升、防御削弱的重要手段。睡眠混淆作为对抗内存扫描的有效方法持续迭代，围绕内存空间的攻防对抗愈发激烈。随着云原生和容器技术的发展，以eBPF滥用为代表的Linux系统隐匿攻击面逐步显现。WEB标记等安全机制收紧使文档攻击进入后宏时代，在野利用中以SLK/XLL文件等为载体的替代性攻击技术开始涌现。 ●开源生态与关基生态是供应链攻击的主要被攻击对象。今年涌现出大量围绕开源软件开发、使用过程的新攻击手法，其中不乏欺诈技术；被唤醒的老漏洞，与错综复杂的开源软件生态关系进一步加剧了开源软件漏洞的安全风险；与去年相比，今年被曝针对关基单位与其供应商的攻击事件目的性更强，供应链安全或成为影响未来国家安全的主要威胁之一。另一个值得注意的地方是，今年已经出现如LofyGang攻这样以开源社区作为主要攻击基础设施的攻击团伙，对使用开源软件的可信任问题提出了更多的挑战。 ●0day漏洞威胁依然是网络空间安全面临不确定性挑战的主要因素。较多在野0day漏洞是对历史已知漏洞的补丁绕过，从新增漏洞来看，冷门协议漏洞或成为一大潜在攻击威胁，与去年相比在MSRC的占比从13%飙增至64%。今年，安全研究人员发现了多种新型漏洞利用技术，在漏洞检测技术上的速度比拼仍将继续。 ●网络武器向对抗升级和场景定制化方向发展。以Nighthawk为代表的新兴C2集成了众多A.B.E对抗性攻击技术，现有安全防护体系将巨大的挑战。在热战背景下，数据擦除器成为了网络致瘫攻击的热门武器，关键基础设施单位受到了巨大的冲击。在网络穿透方面，攻击者使用了更具隐匿能力和溯源防护能力的攻击手段和武器。 ●网络空间军事化进程加速。全球主要地区高级威胁行为体在网络空间作战中呈现出各自的特点，0day漏洞、网络钓鱼、新式武器等特征明显。俄乌冲突揭示了现代化战争的特征，网络空间认知战具有重要意义，并且与传统的网络攻击相互影响。 —绿盟科技首席技术官叶晓虎 002 0技术1观察 1.1攻击生命周期 攻击生命周期，又称为“杀伤链”。这个概念源自军事领域发展到信息化作战阶段，军事专家对攻击行动的高度抽象与概括，通常包括探测目标、瞄准目标、与敌交战并达成目的这4个有序环节。在网络空间作战领域，最初由美国国防工业承包商洛克希德·马丁公司 （LockheedMartin）于2011提出网络杀伤链框架（CyberKillChainFramework），将攻击者达成网络入侵目的所需完成的过程抽象为7个战术阶段。2018年，美国网络安全公司Mitre发布ATT&CK（AdversarialTactics，Techniques，andCommonKnowledge）模型，细化了攻击行动各战术阶段所用到的具体攻击技术。 凭借攻击生命周期框架，网络蓝军能更系统性的将模拟攻击战术意图拆分、设计到各攻击环节，提升有效执行攻击技术的覆盖率，并增强各环节有序衔接的能力，使攻击参与者明晰自己的战术使命并着手进行攻击、达成攻击目的。从防御角度，攻击生命周期框架所揭示的攻击活动规律，也能在各个阶段助益安全从业者：事前威胁评估；事中及时响应，甚至提前干扰攻击活动；事后对于还原攻击路径、攻击意图识别。在实际工作中，抽象的框架有益于涉及不同知识域的攻击场景的战略分析，步骤详尽的框架适合攻防双方制定具体的战术、技术执行计划。 绿盟科技研究团队依靠对高级攻防技术多年的研究积累，和对高级威胁行为体活动的深入理解，研究归纳形成如下图所示的NS高级威胁攻击生命周期框架，结合国内现网实战习惯特点，通过情报侦查、打击突破、建立据点、权限提升、权限维持、凭据获取、内部侦查、横向移动、命令控制、目标达成，这9个典型的网络入侵活动的主要阶段，来描述攻击生命周期。 图1.1NS高级威胁攻击生命周期框架示意图 004 ●情报侦察：网络攻击，情报先行。情报作为制定战术攻击方案的基础，需要针对目标及战术进行全面且充分的侦察。通过本攻击阶段，攻击者掌握目标对象的组织业务，摸排互联网服务和资产，搜集可利用信息，识别可打击脆弱面，构建攻击行动方案。 ●打击突破：该阶段目的是完成边界渗透，为之后的纵深攻击创造条件，对攻击进程有重大影响。攻击者可能会尝试多种技术手段绕过边界防御机制渗透突破进入目标内部网络，0day漏洞利用、社工钓鱼及供应链攻击成为打击突破阶段的主力手段。 ●建立据点：攻击者在完成打击突破后需要形成能够据以进行纵深攻击的跳板节点，用以支撑后渗透阶段命令控制及载荷打击的多种需求，具有重要的战术意义。一般在内网权限扩大的过程当中，攻击者会在不同的网络位置配合隐匿技术手段形成多种攻击据点。 ●权限提升：纵深攻击阶段，攻击者会通过多种技术手段提升对目标系统或网络的控制权限，拥有对目标系统或网络的完全控制权限对保障战术纵深、完成打击部署、建立持久化控制甚至保证攻击行动隐匿具有重要意义，对战术进程和结果具有决定性的影响。 ●权限维持：对目标系统或网络的持续控制打击能力是特种化高级威胁行为体的主要特点之一，攻击者在目标系统或网络当中选择关键位置或据点建立持久化访问后门，长期维持对目标的控制权限完成潜伏渗透，通常伴有较强隐蔽性。 ●凭据获取：访问控制是网络空间和信息系统安全的重要支撑手段，也是攻击者必须去突破的防御堡垒。凭据作为访问控制中认证身份的重要依据，使用合法凭据可以让攻击者更隐蔽地访问目标系统，因此攻击者会在该阶段通过攻击凭据管理系统、劫持认证过程等方式窃取凭据信息。 ●内部侦察：信息是攻击者在交战网络上的“无形弹药”，对目标的内部网络和环境侦察越具体、敌情分析越透彻，越有助于发挥好“信息就是战斗力”的功效。 ●横向移动：作为网络空间作战特有的战术手段，攻击者在该阶段会依据已掌握的目标内部信息尝试进行控制更多的系统和账号，并以此获得更多的情报，寻找纵向突破的可能性。 005 ●命令控制：攻击者打击突破进入目标内部网络后，通常会建立隐蔽隧道来穿透目标网络并操纵控制据点完成远程作战。攻击者通过该控制隧道来投递不同的攻击载荷，以此执行具体的战术任务，并支撑完成作战目标。 ●目标达成：网络攻击活动的最终目标是要夺取和控制网络权来破环目标信息资源的可用性、机密性和完整性。攻击者会根据作战意图选用不同的技术手段来完成作战目标。 1.2对抗性攻击技术及A.B.E对抗能力 网络空间对抗的本质是攻防两端对抗能力的较量。在网络空间作战的全过程当中，攻击和防御技术的实现必然伴有强对抗属性，对抗技术对于攻防双方完成各自战术任务的影响是全方位的。在网络空间军事化的进程当中，对抗特征会越来越明显。按照攻防角色，我们将对抗技术分为攻击性对抗技术和防御性对抗技术。 在进攻性网络空间作战当中，攻击者会在攻