2022年度安全事件观察报告

绿安盟全科事技件2观02察2报年告度 关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于2000年4月，总部位于北京。公司于2014年1月29日在深圳证券交易所创业板上市，证券代码：300369。绿盟科技在国内设有50余个分支机构，为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处，深入开展全球业务，打造全球网络安全行业的中国品牌。 版权声明 为避免合作伙伴及客户数据泄露,所有数据在进行分析前都已经过匿名化处理,不会在中间环节出现泄露,任何与客户有关的具体信息，均不会出现在本报告中。 CONTENTS 01 网络安全形势分析001 02 安全事件数据观察005 2.1网络攻击出现行业指向性006 2.2居家办公需求扩大APT攻击面007 2.3虚拟币市场转冷，挖矿攻势向缓008 2.4安全意识仍为网络边界被突破的主要原因009 03 攻击手段升级对防守提出更高要求010 3.1攻防体系进一步完善，演练对抗常态化推进011 3.2日常钓鱼防范意识还需要加强针016 3.3勒索产业热度持续上升019 3.4软件供应链安全攻防不对等，导致攻击事件频发027 3.5新旧病毒共存，安全威胁倍增031 04 加大数据安全的投入逐步成为共识035 4.1数据安全事件数量呈逐年上升趋势036 4.2个人信息已成为数据泄露的主要对象038 4.3网络安全保险迎合数据安全需求039 05 安全漏洞变化趋势040 5.1安全漏洞趋势分析041 5.2重点漏洞盘点046 5.3法律法规落地规范漏洞管理049 06 典型安全事件专题050 6.1挖矿事件案例051 6.2钓鱼邮件专题063 6.3Hive勒索案例069 07 安全建议074 附录一GBT20986-2007信息安全事件 分类分级指南分类分级指南077 附录二绿盟科技事件分类方法078 0网形势络1分安析全 2022年度安全事件观察报告 【报告概述】 2022年全球政治、经济格局发生着剧烈变化，网络安全领域作为社会发展的伴生行业也 在其中被裹挟前进。各个黑产团伙纷纷加紧攻势，安全事件数量明显攀升：绿盟科技2022年接收应急响应事件563起，总量相比去年增加了29%，第一季度事件数量94起，同比持平；第二季度起，事件数量呈持续上升趋势，至7月事件数量呈井喷式爆发并达到年度峰值，相较6月份事件数量增加了158%；8月起事件数量逐渐回落至正常水平。 从网络攻击的目标来看，出现了更多具有行业指向性的趋势。并且由于各种形势变化，不同攻击类型的热度出现了起伏。例如因居家办公增多，办公软件、通信信道的安全问题成为APT攻击的新突破口；供应链攻击、钓鱼攻击等攻击手法也有增加的态势；虚拟挖矿进入冷却期；攻防对抗常态化推进，数据安全领域成为热点关注。 图1.1近三年事件发生趋势 绿盟科技在《GBT20986-2007信息安全事件分类分级指南》的指导下，制定了信息安全事件分类方法。对处理的安全事件进行国标分类和详细分类统计，事件分布如图1.2、图1.3。 002 网络安全形势分析 图1.2国标事件类型分布 本年度事件按照细分子类型排序，TOP5分别为钓鱼攻击事件、勒索软件、虚拟挖矿和木马程序、后门事件。 事件类型分布图 图1.3事件类型分布图 ■网络攻击事件 ■有害程序事件 ■信息破坏事件 ■非安全事件 ■设备设施故障 ■未知 003 2022年度安全事件观察报告 绿盟科技CERT团队2022年处理的应急响应事件遍布全国，覆盖了全国32个省级行政区，其中发生在北京、广东、上海的事件最多。 【适用性】 图1.4事件发生地区分布图 此报告适用于政府、运营商、金融、能源、交通、教育医疗、企业等行业客户。 【局限性】 此报告基于绿盟科技应急响应服务数据，具有一定局限性。 【特别声明】 本次报告中涉及的所有数据，均来源于绿盟科技自有产品和合作伙伴产品，所有数据在进行分析前都已经过脱敏处理，不会在中间环节出现泄露，且任何与客户有关的具体信息，也均不会出现在报告中。 004 0安数据全2观事察件 2.1网络攻击出现行业指向性 根据2022年安全事件在各行业的分布中可以看出，各类网络攻击逐渐具有一定的行业指向性，黑产团伙开始结合自身攻击特点和目的，将攻击目标瞄准不同行业，因为他们发现这样能使攻击效果事半功倍。 图2.1.12022年安全事件行业分布 作为最常见的网络钓鱼攻击，其旨在诱导人们去下载执行恶意软件、泄露敏感信息以实现主机入侵、财务转移等。因此它的重点目标倾向于那些自身具有一定规模和较大经济价值的行业，如企业、金融、运营商、交通、能源，这些行业中钓鱼攻击事件的占比尤为突出。 此外，从勒索软件相关事件的占比上可以发现，勒索团伙除了考虑经济价值较高的行业外，也开始针对关键信息基础设施行业。这也是由勒索的特征决定的，勒索软件对数据安全和业务运行具有极大的破坏性，这些破坏会迫使以数据和业务为软肋的行业迅速缴纳赎金以尽快恢复正常工作秩序，这点从医疗行业的安全事件占比能很明显看出。疫情之下医疗行业的重要性不言而喻，勒索团伙看到医疗行业的巨大社会价值后作出了迅速反应。2022年医疗行业勒索事件同比2021年行业安全事件数量涨幅超过200%，占全年行业事 件总量的50%以上。 其他常见的网络攻击如虚拟挖矿通过对计算资源的窃取来达到其目的，同时又具有隐藏自身的特点，因此其瞄准的行业主要是具有大量计算资源或资产梳理不够系统的行业，如教 育、政府、医疗领域。而网页篡改类攻击其常见的意图具有政治属性，因此政府行业是其主要的攻击目标。 2.2居家办公需求扩大APT攻击面 APT攻击作为一种高级攻击手段，在当前形势下进一步发展为广泛的破坏性攻击行为：可能是针对关键信息基础设施的地缘政治主导的定向攻击，也可能是基于经济利益发起的大规模勒索攻击。虽然APT事件在日常应急响应事件中的占比上并不多，但其上升的趋势却是显著的。根据2022年安全事件数据显示，APT事件相较去年增加1倍，攻击手法上主要倾向于漏洞利用，相关事件占APT总事件的75%；此外有25%的事件为钓鱼攻击导致的，与远程办公相关的事件占到多数。 图2.2.1APT事件攻击手法分布 可以看出自疫情以来，居家办公的需求大增，APT组织也以此为立足点，开始利用办公辅助软件漏洞、网络通信通道等问题实施入侵。2022年绿盟科技CERT曾处理过海莲花组织利用办公软件漏洞实施的攻击事件，此外远程办公中通信通道产生的漏洞也使APT组织有机可乘，例如蓝宝菇组织利用VPN漏洞实施DLL劫持的相关事件。 此外由于远程办公的限制，员工的交流形式也由直接沟通转为线上，更多的使用邮件或即时通讯工具，这为攻击者提供了更多的操作空间，APT组织也尝试使用钓鱼攻击作为入侵的第一步。 2.3虚拟币市场转冷，挖矿攻势向缓 随着虚拟币市场价格和交易量双双暴跌，比特币、以太坊等热门虚拟货币价格都出现大幅回落。备受挖矿病毒青睐的门罗币（XMR）价格也从2021年5月份历史最高点的519美 金下跌至150-250美金之间，最大跌幅达到72%且在持续波动中。同时随着国家打击网络安全犯罪的力度不断加强、挖矿病毒检测技术日趋成熟和网络安全基础设施防护的不断完善，挖矿病毒持续高增长的态势得到了有效遏制。加之攻击者收益出现断崖式下跌，近年来挖矿病毒事件呈明显下降的趋势。 从2022年的数据来看，虚拟挖矿事件数量从2022年初起开始持续下降。 图2.3.1虚拟挖矿事件数量季度变化 对比近三年数据也可以明显看出，虚拟挖矿事件的增长趋势逐渐趋于平缓。 图2.3.2近三年虚拟挖矿事件占比变化 2.4安全意识仍为网络边界被突破的主要原因 网络作为串联线上资产的筋骨，维持着业务的运转，是极其重要的战略资源。网络自身对安全是有较高要求的，而如今面对逐渐复杂的外界网络环境，入侵攻击、病毒木马、数据泄露等是网络管理人员无法忽视的风险因素，因此建立网络边界的意义由此诞生。 作为攻击者而言，网络边界突破是向内网渗透的第一块跳板。端口扫描、弱口令爆破、木马病毒入侵、边界设备漏洞攻击都是常见的手法。在2022年针对网络边界的攻击事件中，弱口令爆破这类安全意识产生的事件仍然占据主流，作为老生常谈的一种手段，依然行之有效的原因还是离不开人这一安全管理的永恒弱点。 图2.4.1网络边界攻击事件原因分布 而作为安全管理方，面对网络边界的理解也在加强，逐渐意识到网络边界不是一堵墙，而应该是动态且具有一定弹性的。重点不仅是管理网络边界设备和堆砌相关的安全设备，更是要认真识别和评估最核心的风险，建立能防范和抵御攻击的可靠的网络边界体系。同时加大对安全意识的宣传，提高内部网络的安全。 0攻对高要防求守手3提段出升更级 3.1攻防体系进一步完善，演练对抗常态化推进 2022新增攻防演练事件202件，占全年事件的36%，连续3年占比持续攀升。从近三年发展趋势来看，各类小型攻防演练逐渐增多，各演练单位在日常应急中的经验积累在大型攻防演练中发挥的作用越来越明显。相较以往，简单粗糙的入侵手段越来越难以取得成效，攻击人员只能采取更具针对性和隐蔽性的手段才有可能成功。 图3.1.1近三年攻防演练趋势 3.1.1攻防对抗技术水平进一步提高 随着攻防演练的不断发展，攻防两只队伍的手段日新月异、层出不穷。对于攻击队，0day储备则愈来愈充足，单个漏洞的影响范围也更广，例如某VPN任意用户添加漏洞、多个办公系统存在远程代码执行漏洞。 图3.1.1.1互联网漏洞情报数 钓鱼使用的木马样本也趋于复杂化，反编译反沙箱能力提升，ollvm、golang、Rust等语言开发的CobaltStrike木马加载器被大量使用，攻击队从开发语言到安全编译多个角度对木马程序自身进行防护，提高防守方人员的分析成本。如下图使用Rust程序开发编译的木马，与一般样本相比，具备更高的反编译能力，程序逻辑更难被分析。 图3.1.1.2Rust开发的病毒样本 团队之间协同作战水平再度提高，攻击方式也不再局限于普通的漏洞以及钓鱼攻击，0day漏洞结合社工入侵成为攻击队常用的攻击手段,2022年攻防演练期间存在多支攻击队使用Office办公软件漏洞、邮件客户端漏洞结合社工钓鱼的方式对目标实施入侵。 攻击途径不再局限于防守单位资产，针对供应链的攻击已成常态化，并且能对防守单位造成强力杀伤，如典型的供应链攻击路径：安全厂商第三方接入区内网横移核心区域关键资产。 防守方也不遑多让，整合威胁情报、风险排查、监测分析、应急响应、溯源反制，构建成一套完整的防守体系，搭建属于防守方的武器库，做到对入侵威胁的及时响应，实现跨人员、跨设备的协同防护与多点处置，在实战中成效十分明显。 图3.1.1.3绿盟科技中台武器库 在溯源反制方面，防守方也的手段也逐步多样化，部署蜜罐捕获攻击者信息进行溯源已成防守方常态化反制手段。如下案例：攻击者通过敏感目录扫描获得蜜罐链接，访问蜜罐后留下自己的微博信息，防守方通过获得的微博信息逐步进行横向关联，追踪并锁定到攻击人员身份信息。 图3.1.1.4蜜罐溯源案例 其次，运营商也利用自身优势推出新的溯源手段。通过特定方式，对区域中存在攻击行为的IP进行DNS解析记录查询，从而获取相关的敏感信息，例如日常使用的办公软件、内网域名的互联网解析记录等，最终完成攻击者画像。 最后，利用“水坑攻击”诱使攻击人员上钩、使用漏洞反制攻击者C2服务器逐渐成为防守方的有效反制手段，一改过去只能被动防守的局面。如下案例：伪装被钓鱼主机的失陷场景，通过“假上线”方式，诱导攻击者下载反制文件，最终攻击人员通过执行反制文件从而被诱捕。 3.1.2精准钓鱼成为突破难点靶标重要手段 2022年攻防演练中钓