8月26-28日,2021北京市网络安全大会(BCS 2021)宣布举办。期内,在TI INSIDE绿色生态同盟推介会上,奇安信威胁情报中心公布了《全球高級持续危害(APT)2021年里报告》(下称《报告》),系统软件汇总了2021年上半年以来关键攻击主题活动,以及身后所呈现的ATP攻击新趋势。
APT攻击主题活动最漆黑的大半年
《报告》强调,2021年上半年度至今,被曝出的APT机构应用的在野0day系统漏洞总数骤然猛增,发生的次数之高往年少见,在其中Windows电脑操作系统、Chrome浏览器、Adobe Reader PDF阅读器等具备垄断性影响力的系統和商品均得到了不一样水平的危害。在《报告》来看,伴随着互联网武器装备杀伤力和攻击经营规模的不断扩大,2022年上半年度或许是近些年APT攻击主题活动最漆黑的大半年。
在越来越激烈的APT攻击中,一个新的发展趋势是,APT攻击犯罪团伙攻击总体目标逐渐更为偏重于在供应链管理中承担给予服務的企业。例如,上年12月,网络黑客在对于网络管理软件服务提供商SolarWinds启动了供应链管理攻击,在手机软件升级包中嵌入了木马程序,全球超出18000家组织都遭受了这次事情的危害;又例如,全球航空公司电信网研究会SITA——管理方法着全球超出400家国际航空公司的车票和游客数据处理方法,便曾在2022年3月公布网络服务器被网络黑客根据相对高度繁杂的攻击方式侵入。而在中国,奇安信威胁情报中心也曾检测到几起安全性企业被侵入导致的供应链管理攻击事情。
但是,比较之下,必备软件包含电脑安全软件或管理系统自身的网络服务器被侵入造成供应链管理攻击的事情依然为流行。并且,为了更好地盗取新的0day系统漏洞进行运用,APT机构逐渐试着依靠社会工程学来攻击安全性科研工作人员。有关攻击方式包含仿制虚似安全性工作人员真实身份、创建含电脑浏览器0day系统漏洞的安全性剖析blog、根据社会工程学与别人取得联系以推送含恶意程序的漏洞检测工程项目等,让人束手无策。
俗话说得好“道高一尺,魔高一丈”,在同APT机构的抵抗中,安全性生产商也慢慢汇总出了新的科学方法论。例如,在Solarwinds事情出现后,英国协同好几个安全性生产商一样开展了集中型的总结剖析,并从这当中找到很多攻击案件线索并明确提出各种解决方法。将来,相近如此的总结剖析或将变成处理APT事情的基本方式。
在野0day风潮下的 APT 攻击主题活动
不管怎样,目的性缓解在野0day系统漏洞风险性,仍是目前抵挡APT 攻击的重中之重。
《报告》表明,仅2021年上半年度,APT机构在野运用的0day系统漏洞总数超出40个,在网络信息安全在历史上称得上前所未有。并且,这类攻击展现出“以Windows平台为基本,Chrome/Safari电脑浏览器为主导流入着多服务平台拓宽”的发展趋势。
以Windows Defender全新曝出的0day系统漏洞Achilles——阿克琉斯为例子,该系统漏洞为Windows Defender在命令仿真模拟实行开展Asprotect缓解压力全过程中的一处堆外溢系统漏洞,若取得成功运用,将在未修复漏洞的总体目标设备上造成远程控制执行命令。简易而言,Windows Defender会默认设置在控制台不断扫描仪样版,因而当不明APT机构将样版递送(电子邮件下达或电脑浏览器运用)到默认设置应用Windows Defender做为杀毒软件的客户时将开启系统漏洞,并立即实行恶意程序。
此外,Windows电脑操作系统、Windows Exchange Server、Microsoft Office、Adobe Reader、IOS、Android等主要服务平台和商品,也都依次因在野0day系统漏洞而被ATP机构攻击。在这个基础上,可以预料的是,下面的全部2021年应该是在野0day漏洞检测暴发的一年,而0day系统漏洞也将更普遍的被用以高級危害攻击中。
值得一提的是,从地域遍布看来,现阶段人气值最大的ATP机构竟然遍布在东欧地区。在其中,一个显著标志是,Solarwinds供应链管理事情中应用恶意程序与东欧地区APT29机构的恶意程序Kazuar在编码层面相对高度类似。根据此,US-CERT(英国国土安全局电子计算机应急事务管理回应工作组)立即将其评定为Solarwinds供应链管理事情的背后罪魁祸首。此外,亚太地区、东南亚地区、南亚次大陆和中东国家,也是ATP机构人气值较高的地区,必须分外注意。
汇总
从2021年上半年度产生的APT攻击主题活动不会太难发觉,全球APT机构为达到攻击目地甘愿耗费高额财力和人工成本,例如交付使用价值不菲的很多高使用价值0day系统漏洞等。在这个基础上,0day系统漏洞或者更加错综复杂的木马病毒必定会持续发生,ATP智能安防局势也将不断遭遇磨练。
因此,奇安信早在2015年便建立了威胁情报中心,致力于APT攻击类高級危害的科学研究。据了解,威胁情报中心红雨珠是我国第一个公布并取名“海莲花”(APT-C-00,OceanLotus)APT攻击犯罪团伙的安全性科学研究精英团队,也是现阶段奇安信威胁情报中心的主力军危害剖析技术性支撑点精英团队。
借助全球领跑的安全性互联网大数据工作能力、多层次多由来的安全性数据信息和技术专业金融分析师的充实工作经验,红雨珠精英团队可以完成高效率的影响发觉、损害评定及处理提议给予,与此同时也为群众和监督方輸出事情和犯罪团伙方面的全方位高級危害剖析报告。自开创至今,红雨珠精英团队已发觉好几个在我国地区主题活动的ATP犯罪团伙,并公布中国第一个犯罪团伙方面的APT事情揭开报告,开辟了中国APT攻击类高級危害系统化揭开的先例,现阶段早已变成国家级别网络安全技术的聚焦点。
伴随着网络在社会经济基本建设中的重要意义进一步突显,网络信息安全基本建设的权重值也将随着提高。做为国内私有云网络信息安全销售市场的战团,将来奇安信将秉持着“数据驱动安全性”的技术性观念,根据内生安全性架构,梯度下降法式发布新的产品与服务,挖深牢筑网络信息安全的环城河。
查询报告原文可浏览:
https://mp.weixin.qq.com/s/bJ1-aI3WWQQvleEaRhAlag