8月26-28日,2021北京网络安全大会(BCS2021)正式召开。期间,在TIINSIDE生态联盟发布会上,奇安信威胁情报中心发布《全球高级持续性威胁(APT)2021年中报告》(以下简称《报告》),系统总结了今年上半年的主要攻击活动和新趋势他们身后的ATP攻击。APT攻击最黑暗的半年《报告》指出,自2021年上半年以来,APT组织利用野外暴露的0day漏洞数量激增,发生频率历年罕见.其中,Windows操作系统、Chrome浏览器、大富翁系统以及AdobeReader、PDF阅读器等产品都受到了不同程度的影响。在《报告》看来,随着网络武器威力和攻击规模不断加大,今年上半年可能是APT攻击近年来最黑暗的半年。在愈演愈烈的APT攻击中,一个新的趋势是APT攻击团伙的目标开始更多地集中在供应链中负责提供服务的企业。例如,去年12月,黑客对网络管理软件提供商SolarWinds发起供应链攻击,并在软件更新包中植入后门程序。全球超过18,000个组织受到此事件的影响;负责管理全球400多家航空公司机票和乘客数据处理的电信协会SITA在3月份宣布,其服务器遭到高度复杂的攻击。在中国,奇安信威胁情报中心也监测到多起由安全公司被黑客攻击而引发的供应链攻击事件。但相比之下,包括安全软件在内的常用软件或管理平台本身的服务器被黑,供应链攻击仍然是主流。而且,为了窃取新的0day漏洞并加以利用,APT组织已经开始尝试借助社会工程学对安全研究人员进行攻击。相关攻击手段包括:冒充虚拟安全人员身份、开设包含浏览器0day漏洞的安全分析博客、通过社交工程与他人建立联系发送包含恶意代码的漏洞利用项目等,防不胜防。俗话说“道高一尺,魔高一尺”。在与APT组织的交锋中,安全厂商逐渐总结出新的方法论。例如,Solarwinds事件发生后,美国和多家安全厂商也进行了集中审查和分析,发现了大量的攻击线索,并提出了各种解决方案。未来,这样的审查和分析可能会成为处理APT事件的常规手段。0day狂野下的APT攻击活动无论如何,有针对性地缓解0day狂野漏洞风险仍然是现阶段抵御APT攻击的重中之重。《报告》显示,仅2021年上半年,APT组织在野利用的0day漏洞数量就超过40个,这在网络安全史上是前所未有的。而且,这种攻击呈现出“基于Windows平台,以Chrome/Safari浏览器为主流,向多平台延伸”的趋势。以最新的WindowsDefender0-day漏洞Achilles——Achilles为例。该漏洞为WindowsDefender命令模拟执行和Asprotect解压过程中的堆溢出漏洞。在目标机器上导致远程代码执行。简单来说,WindowsDefender默认会在后台继续扫描样本。因此,当未知APT组织向使用WindowsDefender作为默认杀毒软件的用户传递样本(传递邮件或使用浏览器)时,会触发漏洞并直接执行恶意代码。此外,Windows操作系统、WindowsExchangeServer、MicrosoftOffice、AdobeReader、IOS、Android等主流平台和产品也因0day漏洞在野被ATP组织攻击。在此基础上,可以预见,接下来的2021年应该是0day漏洞利用大爆发的一年,0day漏洞利用也将更广泛地应用于高级威胁攻击。值得一提的是,从地域分布来看,最活跃的ATP组织其实位于东欧。其中,一个值得注意的迹象是,Solarwinds供应链事件中使用的恶意软件与东欧APT29组织的恶意软件Kazuar在代码上高度相似。据此,US-CERT(美国国土安全部计算机应急响应小组)直接认定其为Solarwinds供应链事件的幕后黑手。此外,东亚、东南亚、南亚次大陆、中东地区也是ATP组织高度活跃的地区,需要特别关注。总结从2021年上半年发生的APT攻击活动不难发现,全球APT组织不惜花费巨额资金和人力成本来实现攻击目标,比如投入大量有价值的高价值0day漏洞的数量。在此基础上,0day漏洞或更复杂的木马势必继续出现,ATP安全形势将继续面临挑战。为此,奇安信早在2015年就成立了威胁情报中心,专注于APT攻击的高级威胁研究。据悉,红雨滴威胁情报中心是国内第一个发布并命名“海莲花”(APT-C-00,OceanLotus)APT攻击组的安全研究团队,也是主要的威胁分析技术支撑奇安信威胁情报中心团队。依托全球领先的安全大数据能力、多维度、多源的安全数据和专业分析师的丰富经验,红雨滴团队可以实现高效的威胁发现、定损和处置建议,同时也为公众输出事件和监管机构以及帮派级别的综合高级威胁分析报告。红雨滴团队自成立以来,发现了多个在中国运作的ATP组织,并发布了国内首份组织级APT事件披露报告,开创了中国APT攻击高级威胁系统披露的先河。水平网络攻防的重点。随着互联网在国民经济建设中的重要性进一步凸显,网络安全建设的权重也将相应加大。作为中国企业级网络安全市场的领先者,未来奇安信将秉承“数据驱动安全”的技术思路,立足内生安全框架,迭代推出新产品和服务,深挖深厚的网络安全护城河。查看完整报告,请访问:https://mp.weixin.qq.com/s/bJ1-aI3WWQQvleEaRhAlag
