WatchGuard的最新报告显示,在2021年第二季度,91.5%的恶意软件通过加密连接传送。同上个季度相比大幅增加,意味着任何不检查加密HTTPS流量的组织都会放过九成的恶意软件。
环比增长22% 二季度网络攻击量达到2018年初以来的最高数量
研究人员还发现,无文件恶意软件威胁出现了令人担忧的激增,勒索软件急剧增长,网络攻击也大幅增加。
WatchGuard的首席技术官纳克雷纳表示:“由于全球许多地区仍在坚定地以移动或混合办公模式运营,传统的网络边界已经愈加模糊,虽然强大的外围边界防御仍然是分层次安全的重要组成部分,但强大的端点保护(EPP)和端点检测和响应(EDR)越来越重要。”
AMSI.Disable.A在第一季度的恶意软件排行榜中排名首位,而它在本季度迅速上升,在总体数量上排名第二,在总体加密威胁中排名第一。这个恶意软件家族使用PowerShell工具来利用Windows中的各种漏洞,但更值得重视的是它的防御规避技术。AMSI.Disable.A能够禁用PowerShell中的反软件扫描接口(AMSI),允许它绕过脚本安全检查,其有效载荷未被检测到。
仅在2021年上半年,来自PowerShell等脚本引擎的恶意软件检测就已经达到去年脚本发起攻击总量的80%,按照目前的速度,2021年的无文件恶意软件检测量将比去年增加一倍。
WatchGuard检测到网络攻击大幅增加,比上一季度(近410万起网络攻击)增长了22%,达到2018年初以来的最高数量。
终端勒索软件检测总量呈下降趋势被打破 重启升势
虽然从2018年到2020年,终端上的勒索软件检测总量呈下降趋势,但这一趋势在2021年上半年被打破,六个月的检测总量略低于2020年全年的检测总量。如果在2021年剩下的时间里,每天的勒索软件检测量保持平稳,那么今年的数量将比2020年增加150%以上。
2021年5月7日的美国油气管道商遭袭击事件充分表明,勒索软件作为一种威胁将继续存在。作为二季度最严重的安全事件,突显出网络犯罪分子不仅把医院、工业控制和基础设施等最重要的服务作为攻击目标,而且似乎还在加大对这些高价值目标的攻击力度。
旧有的服务再次被证明是有价值的目标
与以往季度报告中常见的一到两个新特征不同,WatchGuard第二季度十大网络攻击中有四个全新特征。
值得注意的是,最近的一个漏洞是PHP的2020年漏洞,但其他三个漏洞根本不是新的。这些漏洞包括Oracle GlassFish Server漏洞、2013年医疗记录应用OpenEMR中的SQL注入漏洞以及2017年Microsoft Edge中的远程代码执行(RCE)漏洞。虽然已经过时,但如果不加以修补,仍然会带来风险。
基于微软office的威胁持续流行
第二季度,10大最广泛的网络攻击名单上又增加了一个新成员,并且它一开始就高居榜首。它就是2017年影响微软浏览器的RCE漏洞。尽管它可能是一个老的漏洞,并且在大多数系统中都打了补丁,但如果被攻击者盯上,那么那些还没有打补丁的系统就会受到粗暴的惩罚。事实上,一个非常类似的高度严重的RCE安全漏洞(被追踪为CVE-2021-40444)在本月早些时候登上了新闻头条,当时该漏洞被积极利用,针对Windows 10电脑上的Microsoft Office和Office 365进行了针对性攻击。
当涉及到恶意软件时,基于Office的威胁依然持续流行,这就是为什么我们仍然在野外发现这些久经考验的攻击。幸运的是,它们也仍然可以被久经考验的IPS防御检测到。