重新思考策略 2022年度网络安全报告 Contents Actors06 攻击面正在扩大和 补丁是失败08 在云中14 网络安全的商业影响袭击18 对手20 由发布 趋势科技研究 根据Shutterstock.com的许可使用的库存图像 2022年是由动荡的政治冲突和经济不稳定所定义的。乌克兰的战争和围绕冲突的不断升级的事件在全球引发了冲击波。对于许多政府,大型企业,甚至是较小的组织来说,供应链中断,关键的跨国行业受挫以及经济影响。就像许多在这种不稳定环境中运作的组织一样,网络犯罪分子团体试图像往常一样适应和继续下去。在我们关于过去一年的安全形势的报告中,我们展示了团体如何适应现代化的企业安全,转向更有利可图的企业目标,并专注于访问受害者网络的新方法。 在以下各节中,我们讨论了网络犯罪分子在收入下降的情况下保持业务成功的公司策略。我们特别深入研究了勒索软件组,并展示了现代组织在图像管理和公司计划方面如何从合法企业中获得提示。 我们还研究了漏洞的状态,特别是威胁行为者在2022年如何进入网络。我们看到访问是关键。无论哪种类型的恶意行为者,都必须获得对受害者网络的初始访问权限。这些群体互相学习,并且经常以相同的方式移动,只是有不同的最终目标。2022年的一项重大安全举措是微软决定阻止在其Office文档中执行宏。我们来看看这个如何影响威胁演员的初始访问策略,以及犯罪集团如何适应这一举动。 回到我们的年中安全报告,我们看到了攻击面如何继续扩大,允许威胁行为者更多的访问途径。我们还看到企业补丁在2022年似乎效果不佳,这是困扰企业的网络安全问题反复出现的一个额外因素。更深入地研究企业安全性,我们调查了无服务器计算安全性的弱点,因为许多云服务提供商(CSP)已经迅速采用了这种技术。在过去的一年中,针对云基础设施进行加密货币挖矿的恶意行为者也有所增加,他们试图接管更多资源进行更有利可图的挖矿活动。 在网络安全专家短缺的时代,这一点尤其关键-许多组织仍在寻找熟练的安全专业人员。根据咨询公司麦肯锡的一份报告,有350万个网络安全职位仍然开放1在2022年第一季度。我们希望现有的安全团队,企业领导者和其他人可以使用本报告中提供的信息来加强其针对当前威胁的网络安全防御。随着攻击面的不断扩大和威胁参与者的不断发展,一个强大而广泛的安全策略应该是优先事项。 网络犯罪分子正在使用公司策略 勒索软件的当前状态2显示了这种威胁背后的运营商如何在回报下降的情况下迅速扩大其攻击范围。最近的报告称,来自受害者支出的勒索软件收入正在下降 ,从2021年到2022年下降了38%。3但是是什么使这种威胁继续存在?近年来,很明显,蓬勃发展的勒索软件组织采用了合法跨国公司使用的同一公司手册中的策略。 品牌重塑和形象管理 这些组织中的许多组织都像合法企业一样运作,包括利用已建立的网络4并提供技术支持5受害者。我们已经看到这些团体的专业水平不断提高,并采用了更复杂的商业策略。这在2022年尤其明显,当时我们看到勒索软件组织中最大的参与者之一在形象危机后重塑品牌。 Conti是近年来最活跃,最突出的勒索软件家族之一6但在2022年发生了一系列备受瞩目的攻击,并与俄罗斯有明显的隶属关系后,该品牌被贴上了“有毒”的标签。7Conti的业务在2022年中期被有效关闭,但是,以前的小组的前成员被重新命名为几个新的小组:BlackBasta,BlackByte,Karakurt和Royal。这种品牌重塑是一个精心策划的举动,据报道8说孔蒂计划了一系列公开攻击,作为宣传他们转世为规模较小的行动。 多样化他们的投资组合 2022年,我们看到Agenda,BlackCat,Hive和RansomExx等勒索软件组织在Rust中开发了其勒索软件的版本。9这种跨平台语言允许团队为企业广泛使用的Windows和Linux等操作系统自定义恶意软件。 正如我们在年中综述中提到的,10勒索软件演员现在正在超越Windows和MacOS,并针对Linux。向Rust的转变是勒索软件演员采用的另一种技术,使他们更容易瞄准Linux计算机。Rust更难分析,并且防病毒引擎的检测率更低,因此对威胁演员更具吸引力。 操作系 统 2021 2022 Linux 3,790 27,602 MacOS 15,154 11,000 表1.勒索软件操作系统(OS)比较计数 近年来,我们看到了现代勒索软件组织如何使用双重勒索技术11作为受害者支付赎金的额外压力。去年,我们的调查显示,勒索软件集团正在建立新的收入来源12使用他们现有的业务结构和工具。例如,BlackCat13使用ExMatter数据过滤工具的升级版和Eamfo可以看到勒索软件,Eamfo是一种旨在窃取凭据的恶意软件。 对于勒索软件组来说,转向外传数据的货币化很容易-许多当前的RaaS组织可以利用他们已经拥有的工具。我们预计,将来,这些组织还将采用其他犯罪商业模式14将初始访问货币化,例如股票欺诈,商业电子邮件泄露(BEC),洗钱和加密货币盗窃等。 横向移动 初始访问 特权升级 敏感数据泄露主要勒索方法 勒索软件部署洗钱 备份系统中断 二次勒索方法 图1.新的现代勒索软件业务模型示例 这些组织利用其既定的业务结构和广泛的工具库扩展到新的企业,正在成为所有贸易的强者。他们没有将自己束缚在一种攻击方法,一种进入媒介或一种收入来源上。 勒索软件组LockBit3.0引入了第一个勒索软件错误赏金程序。Bug赏金15通常由技术公司设置众包漏洞。奖励提供给报告错误的研究人员,以便公司可以对其进行修补。在2022年,我们看到勒索软件组对其恶意软件使用相同的策略。 2022年新的勒索软件策略 访问是威胁参与者的关键 无论威胁行为者的类型如何,他们都会经历相同的动作来访问目标环境。我们在2022年看到的三大MITRE攻击技术突出了这一点。这些技术显示了大多数威胁行为者的标准操作程序。无论攻击者的类型如何,其攻击的初始阶段在技术上看起来并不不同。 2022年三大MITRE技术远程服务,技术 T1021-企业|MITREATT和CK®(横向移动) —对手可以使用有效帐户登录专门设计用于接受远程连接的服务,例如telnet、SSH和VNC。然后,对手可以作为登录用户执行操作。 有效客户,技术T1078-企业|MITREATT&CK® (初始访问) —攻击者可能会获取和滥用现有帐户的凭证,作为获得初始访问、持久性、特权升级或防御规避的手段。受损凭证可用于绕过对网络内系统上各种资源的访问控制,甚至可用于对远程系统和外部可用服务的持久访问。 操作系统凭证转储,技术T1003-企业|MITREATT&CK® (凭据访问) —攻击者可能会尝试转储凭据以从操作系统和软件获取帐户登录和凭据材料,通常以哈希或明文密码的形式。然后,凭据可以用于执行横向移动和访问受限制的信息。 前三种攻击技术表明,威胁行为者通过远程服务获得访问权限,然后通过凭证转储利用有效帐户继续扩大其在环境中的足迹。 微软在2022年的重大举措 在过去的七年中,最受欢迎的初始访问载体是嵌入了恶意宏的MicrosoftOffice文档。这些文档通常附加到电子邮件中,并带有社交工程消息,诱使受害者打开它。如果打开,恶意宏下载并执行恶意软件,以授予威胁行为者初始访问权限。 但是,在2022年初,Microsoft决定阻止在Office文档上执行宏程序。具体来说,他们阻止了从Internet下载的程序,包括电子邮件中附加的宏。此单个操作改变了威胁参与者的一切。不再能够使用Microsoft宏,威胁参与者开始搜索和使用替代向量。 替代Microsoft宏 我们跟踪的一些替代初始访问向量包括HTML走私16和恶意广告。17在2022年末,我们确定了越来越多的热门品牌和应用程序,其关键字被劫持以显示恶意广告(恶意广告)。例如,Google搜索“AdobeReader”将显示导致恶意网站的广告。 HTML走私是使用电子邮件的初始访问向量。基本思想是使用恶意HTML文件作为附件。打开时,HTML文件“走私”一个ZIP文件,其中包含一个ISO文件,其中包含一个LNK文件,该文件将加载恶意软件有效负载。这是一个繁琐的方法,但是该有效负载将授予威胁攻击者初始访问权限。 我们还看到了网络犯罪分子在2022年更多地“生活在陆地上”(滥用有效的系统和工具),特别是我们注意到合法的笔触工具CobaltStrike和BruteRatel 被用于恶意攻击。18在短时间内使用这些测试工具和内置操作系统工具的网络犯罪分子是一种危险的威胁。 时间 活动 T-零点 通过HTML走私获得的初始访问权限 +16分钟 CnC通信和早期侦察 +5分钟 残忍的Ratel被丢弃 +5分钟 使用内置操作系统工具进行侦察 +10分钟 使用另一种工具进行交流侦察 +7分钟 通过CobaltStrike开始横向移动 表2.使用合法测试工具的攻击时间线示例 攻击面正在扩大,补丁失败 威胁行为者长期以来一直在相互学习,以至于他们的行为和行动通常是相同的。但是,他们的工具和偏好(取决于可用性)以及他们的网络环境的设置方式有所不同。 2022年使用的顶级漏洞 就2022年出现的顶级漏洞而言,我们看到了从专注于Microsoft的常见漏洞和暴露(CVE)到Log4J的转变19CVE。这可能与Microsoft所做的重大更改有关,这在上一节中已讨论过。开发人员使用Log4j作为日志来跟踪或记录系统或应用程序的活动。在2021年,几个漏洞被高度公开20我们看到威胁行为者在2022年利用了这一点。 2021年前3名CVE 2022年前3名CVE NVD-CVE-2021-26855(nist.gov)NVD-CVE-2021-27065(nist.gov)NVD-CVE-2020-0688(nist.gov) NVD-CVE-2021-44228(nist.gov)NVD-CVE-2021-45015(nist.gov)NVD-CVE-2021-45046(nist.gov) 所有这些都是MicrosoftExchange漏洞 其中有三个是Log4J漏洞,一个比较晦涩 表3.与2022年相比,2021年前三名CVE 当我们研究2022年的顶级CVE时,有几个值得注意的点: •CVE可以被威胁行为者公开利用。有许多可用的剖析、编写和分析。 •他们非常成功,基本得分为HIGH/CRITICAL。攻击向量可以通过网络执行,复杂性很低,并且几乎不需要现有的特权来利用而无需用户交互(这意味着攻击可以自动化)。 •它们已在新闻中进行了报道,并准备使用。有受到影响的供应商(或客户群)列表。这是威胁行为者可以从中获取的已知目标池。 威胁行为者通常会使用最新的漏洞进行更新,并且非常了解他们可以用于其活动的CVE。安全专家和用户应领先于威胁行为者,并在漏洞被利用之前对其进行修复。 尽管威胁行为者使用的漏洞和弱点可能相似,但他们的动机可能会有所不同。他们的最终目标可能是数据收集和渗透,勒索软件,加密货币挖掘或其他恶意行为。 我们还查看了TredMicro™DeepSecrity™(DS)的年度漏洞相关事件总数数据,结果与年中报告相似。影响dsmasq的漏洞(CVE-2017-14495)检测到的事件数量最多。考虑到它是一种流行的免费软件,可以配置为DNS,DHCP(动态主机配置协议)和TFTP(普通文件传输协议)服务器,这并不奇怪。它主要用于路由器和物联网(IoT)网关。 具有高检测计数的其他漏洞各不相同。CVE-2021-44228是我们在上一节中提到的ApacheLog4j漏洞,CVE-2006-4154是影响Apache的另一个漏洞。同样,我们看到威胁行为者的目标是广泛使用的免费技术,这对许多企业至关重要。像dsmasq一样,Apache也是一个自由软