瑞星:勒索软件附加数据盗取能力 开源软件生态投毒现象严重

首页 / 业界 / 资讯 /  正文
作者:西西
来源:安全419
发布于:2023-02-06


安全419了解到,2月6日,瑞星发布《2022年中国网络安全报告》,针对中国2022 年 1 至 12 月的网络安全现状与趋势进行统计、研究和分析。
 
2022年病毒总体数量呈下降趋势
 
报告显示,2022 年瑞星“云安全”系统共截获病毒样本总量 7,355 万个,病毒感染次数 1.24 亿次,比 2021 年同期下降了 62.19%。新增木马病毒 4,515 万个,为第一大种类病毒,占到总体数量的 61.39%,蠕虫病毒、后门、感染型病毒、灰色软件分别位列第二至第五位。
 
2022 年 1 至 12 月病毒 Top10
(根据病毒感染人数、变种数量和代表性综合评估)

同时,2022 年截获手机病毒样本 152.05 万个,其中信息窃取类病毒占比 36.21%,位居第一,其次是远程控制类病毒占比 20.50%,第三名是恶意扣费类病毒占比 13.45%。
 
此外,全球范围内共截获的恶意网址(URL)总量 9,336 万个,其中挂马类网站 5,913 万个,钓鱼类网站 3,422 万个。美国恶意 URL 总量为 3,568 万个,位列全球第一,其次是加拿大 288.69 万个和中国 281.91 万个。
 
重大网络攻击直捣各国关键信息基础设施建设和经济民生
 
在 2022 年,网络攻击威胁着政府、企业、医疗、金融、教育等各个领域,勒索软件、数据泄露、黑客入侵等攻击接连不断,严重影响着各国的关键信息基础设施建设和经济民生。同时,由于俄乌战争带来的影响,导致网络空间对抗加剧,全球网络安全形势严峻,各国对于网络空间威胁都面临着极大的挑战。
 
根据行业特性、威胁影响及损失程度,年度重大企业安全事件包括:红十字国际委员会受网络攻击,超 51.5 万人的个人数据和机密信息遭入侵;加拿大外交部被黑,部分服务中断;北京健康宝遭受网络攻击,源头来自境外;新型病毒仿冒 Python 数字签名诱骗用户下后门;西北工业大学遭受境外网络攻击;波音子公司遭网络攻击,致使全球多家航司航班规划中断等。
 
老旧漏洞利用广泛 物联网设备漏洞备受关注

报告期内,从收集到的病毒样本分析来看,微软 Office 漏洞依然稳居首位。长久以来 CVE-2017- 11882、CVE-2018-0802 以漏洞稳定性、易用性和用户群体广泛性一直是钓鱼邮件攻击者首选的利用漏洞。
 
随着物联网的应用和推广,物联网设备漏洞也备受关注,其中 CVE-2017-17215 备受众多 IOT 僵尸网络病毒青睐,曾在 2018 年黑客利用该漏洞在一天之内建立了 18000 台设备构成的僵尸网路。 Mirai、Satori、Brickerbot、Mozi 至今仍将该漏洞作为传播利用的一种方式。
 
CVE-2017-0147 Windows SMB 协议漏洞(MS17-010 永恒之蓝漏洞)在 2017 年爆发,至今已经过去 5 年时间,然而它仍是目前被病毒利用最多的安全漏洞之一。由于在大多数企业内网环境中依然存在大量的终端设备尚未修复该漏洞,进入内网环境的病毒程序仍可透过该漏洞轻松地在内网环境中传播。
 
CVE-2022-30190 Microsoft Office MSDT 远程代码执行漏洞,是 2022 年最热门的利用漏洞,该漏洞可使用 Microsoft Word 远程模板功能链接到恶意 HTML 文件,通常被用于钓鱼邮件攻击。Sandworm、UAC-0098 和 APT28 等 APT 攻击组织均利用过该漏洞,对乌克兰和欧美等政府机构发起多次网络钓鱼攻击。

2022 年 1 至 12 月份漏洞 Top10
(根据漏洞被黑客利用程度进行分析评选)

政府、军工领域成为APT攻击主要目标
 
2022年,APT攻击组织依然猖獗,引发的攻击事件层出不穷,如APT-C-23、Lazarus Group、Patchwork等威胁组织频繁发起有针对性的攻击,目标多涉及政府、军工等重要领域,攻击手段依然以钓鱼邮件为主;BlueNoroff组织则采用了能够绕过Windows Mark of the Web(MotW)保护的新型技术;而APT37组织利用了CVE-2022-41128漏洞来发起攻击。
 
这些APT组织最终均以信息窃取和远程控制为目的,窃取受害者的文件列表、键盘记录和存储的Web浏览器登录凭据等各类隐私信息。
 
勒索组织行动不断 勒索病毒新晋家族层出不穷



勒索是黑客及攻击组织最常使用的攻击手段,得益于产业链的分发模式以及勒索病毒惹眼的高额赎金,使得勒索病毒新晋家族层出不穷,而那些长久以来“霸榜”的勒索家族更是攻击频发,以 Lapsus$、LockBit 为代表的勒索组织针对全球政府、企业、教育、医疗、金融、航空等领域发动了攻击。
 
2022 年,勒索软件随着云计算业务的发展趋势而转移目标,有越来越多公司业务迁移到虚拟机,而诸如 BlackBasta、Hive 等勒索家族瞄准 Linux 服务器下虚拟机的勒索攻击活动也会在未来逐渐形成流行事态。不仅如此,一些勒索病毒还参与到地缘性政治与军事战争中,而未来技术型企业、医疗机构、政务机构依然是勒索病毒主要攻击目标。
 
报告期内,瑞星“云安全”系统共截获勒索软件样本57.92 万个,感染次数为 19.49 万次,比 2021 年同期下降了 68.77%。Agent 家族占比 51.98%,成为第一大类勒索软件,其次是 Blocker 家族,占到总量的 12.76%,第三是 Filecoder 家族,占到总量的 9.31%。
 
2023 年网络安全趋势预测
 
根据2022年网络安全形势,瑞星针对APT攻击、勒索软件、钓鱼邮件、新老漏洞等方面给出了相应的预测和建设性建议。
 
APT 组织攻击活动频繁
随着全球网络安全企业对 APT 攻击组织和 APT 攻击活动的持续关注,越来越多的国家级网络攻击被披露,从侧面反映出国家级 APT 攻击的活动频繁,通过捍卫网络安全来保护国家安全任重而道远。如何更早地、准确地在 APT 攻击的各个阶段中发现攻击者的痕迹,是未来网络安全行业重点要解决的问题。
 
企业成为勒索软件的最大受害者 勒索软件或全面附加数据盗取能力
2022 年,勒索软件的整体活跃度较去年有所下降,但仍有众多的国家政府及企业受到了勒索软件攻击,著名的勒索软件 BlackCat 和 LockBit 甚至在暗网罗列了受害者名单以昭告天下,这都表明勒索软件的攻击目标已经由个人全面变成企业。企业迫于压力,只能尽快支付赎金寻求业务恢复,这对于攻击者来说,勒索的成功率和收益率都会明显提升。
 
另外,从国内某企业遭遇勒索软件攻击的事件中可以看出,勒索软件为了保障自己的利益,已经将数据窃取作为辅助手段,一旦勒索不成功,便通过售卖数据获利。因此,以攻击企业为主、同时具备数据加密和数据盗取的勒索软件,已成为未来勒索攻击的主流。
 
勒索软件针对组织的攻击,一般都伴随着前期的网络渗透,由于组织的攻击面远大于个人,做好网络安全防护工作难度也远高于个人,必须通过持续的网络安全投入,建立网络安全综合治理体系,做好事前预防、事中阻断、事后调查三项工作,才能不断提高整体安全性。
 
电子邮件依然是网络攻击的重要窗口
电子邮件作为最为便捷、覆盖度和精准度都能兼顾的远程网络攻击手段,每年攻击案例持续保持在高位。基于电子邮件的攻击目前主要集中于以下几个阶段:
 
⚫ 环境侦察(TA0043):通过电子邮件以确定目标的活跃邮箱。
⚫ 资源开发(TA0042):通过钓鱼邮件诱骗攻击目标泄露邮箱账户。
⚫ 初始访问(TA0001):通过鱼叉攻击向目标投递恶意软件,试图由此获取控制权。
 
目前,大部分的互联网电子邮件供应商,都具备了此类恶意邮件的侦测能力,使用这些邮箱服务的企业或个人受到的威胁会有所缓解。对于使用私有化企业邮箱服务的企业来说,提高电子邮件基础设施的网络安全威胁侦测能力,及时发现和阻断恶意的、异常的电子邮件活动等方面,仍有待提升和加强改进,与时俱进地做好电子邮件安全。
 
高可利用性的“老”漏洞备受攻击者青睐
根据 2022 年 CVE 漏洞利用率显示,利用简单、攻击成功率高的漏洞最为攻击者所青睐,攻击者选择的目标漏洞通常与漏洞的新老程度无关。
 
这种现象的发生常与受害者没有及时更新带有漏洞的软件有关,大量未更新的老旧软件会成为攻击者的首选利用目标。政府或企业应全面部署软件资产清点类的安全基础设施,掌握内部各类软件的使用和版本情况,及时更新或替换携带高危漏洞的老旧软件,一定程度上减小攻击面,从而减小网络安全风险。
 
对抗技术演变持续发展 传统技术备受挑战
面对越来越多样性的攻击形式,传统检测手段疲态尽显,目前大多数主流的安全公司已经分领域研究和应用人工智能技术,在未来五年内,人工智能技术将取代传统的特征、规则技术,成为主流的网络安全事件检测和风险评估技术,而攻击者也将从传统的对抗技术,转向同人工智能技术的对抗。
 
开源软件生态投毒现象严重
在 2022 年,全球最大的开源社区 Github 和 Python 官方软件包仓库都出现被“投毒”事件,而类似案例在这几年频繁出现,导致大量的开源软件中包含了“恶意”源代码,开源软件生态的可靠性、安全性引起了广泛的关注。目前主要的开源软件生态“投毒”现象包括:
 
⚫ 开源软件在某次更新后包含恶意代码,通过开源社区和软件仓库向开发者分发。
⚫ 开源社区和软件仓库被攻击,导致大量可靠的开源软件项目被植入恶意代码或被替换。
⚫ 宽松管理的软件仓库被包含恶意代码的软件包侵占,导致开发者接收到错误的软件包。
 
由于开源软件及其生态已成为现阶段软件开发过程中最重要的基础组件和设施,融入到了各个行业的软件开发过程中,因此软件开发者在自身软件中引入开源项目时务必谨慎,要确保开源软件的来源可靠,并保持持续性监测。相关行业也应积极推动开源生态监测系统、软件成分分析(SCA)、软件物料清单(SBOM)等安全手段和安全措施的应用,以帮助企业和开发者更好地规避、更快地解决开源软件带来的软件安全风险。
 
报告获取方式:
点击此处“2022年中国网络安全报告”下载报告原文,便于了解更加详细的网络安全数据、攻击事件详细分析及未来网络安全形势。