概述
概括来说,勒索软件、商品加载程序(commodity loader)和高级持续性威胁(APT)主导了2023年的威胁格局。此外,全球冲突也影响了网络安全趋势,改变了许多威胁行为者的战术和攻击方法。
2023年,勒索软件继续威胁全球企业,Lockbit连续第二年成为该领域的头号威胁。医疗保健行业是今年的头号攻击目标,因为攻击者将重点放在网络安全资金受限且宕机容忍度低的实体上。
商品加载程序仍然被用来交付这些勒索软件威胁,许多与去年相同的家族仍然普遍存在,例如Qakbot和IcedID。但是这些加载程序正在摆脱过去银行木马的所有残余,因为它们将自身定位为“更圆滑的有效载荷交付机制”。开发人员和运营商正在适应改进的防御,寻找新的方法来绕过不断增加的安全更新并危及受害者。
此外,遥测数据显示,在重大地缘政治事件期间可疑流量会大幅增加。俄罗斯的APT组织(Gamaredon和Turla)正以更快的速度瞄准乌克兰,但俄罗斯在2023年的总体活动并没有反映出过去所见的全面破坏性网络能力,这可能得益于防御者的协同努力。
总而言之,2023年的网络安全主旋律可能是这样的:随着对手的胆识、熟练度和持久性不断提升,防御者也在以任何可能的方式阻止他们。
攻击战略和趋势
1.重点摘要
- 可疑网络流量通常在重大地缘政治事件和全球网络攻击期间急剧增加。
- 与美国网络安全和基础设施安全局(CISA)近年来的调查结果一致,最常利用的漏洞是通用应用程序中的旧安全漏洞。针对这些CVE的高频率攻击,加上它们的重大影响,突显了攻击者更倾向于针对可能造成重大破坏的未打补丁系统。
- 威胁行为者滥用常见的文件扩展名和知名品牌实施欺诈,这些常见技术主要使用社会工程来实现网络钓鱼和商业电子邮件入侵(BEC)等操作。为响应微软在2022年禁用宏,攻击者可能会使用不同的文件类型来隐藏他们的恶意软件,比如pdf,这是今年被阻止最多的文件扩展名。
- 在今年的Talos网络攻击中,网络钓鱼占了已知初始访问媒介的四分之一,突显了攻击者对这种技术的持续依赖。
- 使用有效账户是最受关注的MITREATT&CK技术,强调了攻击者对受损凭据的依赖,并在攻击的各个阶段使用现有账户。这与Talos IR数据一致,该数据显示,在2023年,被泄露的凭据/有效帐户占已知初始访问向量的近三分之一。
2.最常被滥用的漏洞
2023年,网络威胁攻击者利用了常见应用程序中的旧软件漏洞。在许多情况下,这些漏洞已经存在了10多年,这与CISA的发现相一致,即近年来,攻击者更多地瞄准了旧的安全漏洞,而不是新披露的漏洞。事实上,在研究观察到的“前五大最常用的漏洞”中,有四个也被CISA列为前几年经常被利用的漏洞,这进一步强调了实体组织需要定期安装软件更新,因为考虑到常用漏洞的暴露年限,可见许多这些系统可能未打补丁。
最常被滥用的漏洞存在于常见的应用程序中,比如微软Office。这一发现也得到了CISA的证实,该机构指出,到2022年,攻击者将优先考虑在目标网络中更普遍的CVE。攻击者可能会优先针对广泛存在的漏洞,因为针对此类CVE开发的漏洞可能具有长期性和高影响力。
最后且最重要的是,列表中的大多数漏洞如果被利用将会造成重大影响,其中6个漏洞获得Cisco Kenna最高风险评分100分,7个获得通用漏洞评分系统(CVSS)“高危”评级。大多数CVE也位列CISA的已知利用漏洞目录,该目录旨在告知用户应该优先修复的安全漏洞。针对这些CVE的高频率攻击,加上它们的严重程度,凸显了未打补丁系统的风险。
3.最常被滥用的附件文件扩展名
网络钓鱼邮件是攻击者最常见的攻击方式之一,多年来一直是思科Talos IR调查结果中排名最高的威胁。仅去年一年,在Talos IR协议中确定的初始访问向量就有25%由网络钓鱼组成。这一观察结果与美国政府的调查结果一致,联邦调查局指出,网络钓鱼是2022年向其互联网犯罪投诉中心(IC3)报告的头号事件。
威胁行为者通常发送未经请求的电子邮件,要求用户下载或打开附件来传递恶意软件。攻击者经常试图将恶意软件隐藏在众所周知的文件扩展名下,以减少可疑,从而使用户更有可能打开它们。例如,今年早些时候,日本的计算机应急响应小组(JP-CERT)警告称,攻击者正在将恶意Word文档嵌入pdf文件中,以绕过检测,这是威胁行为者多年来一直使用的一种策略。
威胁行为者的文件类型偏好也可能受到微软2022年决定阻止宏的影响,到目前为止,攻击者对于宏可谓严重依赖。有了这个变化,他们无法再像以前那样频繁地使用word和Excel等微软Office文件。在2023年,研究人员发现商品加载程序Ursnif首次将恶意PDF附件合并到他们的网络钓鱼操作中,因为该参与者和其他组织正在寻找避免依赖宏的方法。
4.最常被滥用的顶级品牌
网络犯罪分子和其他恶意行为者严重依赖社会工程策略来危害用户,这就是他们通常会在网络钓鱼电子邮件中模仿知名公司的原因。例如,Emotet、Qakbot和Trickbot等商品加载程序经常使用虚假银行对账单或发货通知作为钓鱼主题,以伪造合法性。
商业电子邮件入侵(BEC)行动也利用伪造的公司名称来提高合法性。BEC是一种骗局,网络犯罪分子向看似来自已知来源的目标发送电子邮件,并提出合法请求。其目的是促使目标向威胁行为者进行未经授权的资金转移。威胁行为者可能会冒充知名和值得信赖的品牌来欺骗用户。根据联邦调查局的数据,BEC近年来呈上升趋势,并在2022年造成了27亿美元的损失。
5.顶级MITREATT&CK技术
值得注意的是,在Top 20 最常见MITREATT&CK技术中,有近三分之一属于防御逃避战术,这表明攻击者正在将大量资源投入到攻击链的这一阶段。与特权升级和持久性相关的技术排名也很高,突出了它们在攻击生命周期中的重要性。
劫持执行流(Hijack execution flow)是最常见的技术,出现的频率几乎是第二名(有效账号)的两倍。劫持执行流指的是参与者盗用操作系统在目标端点上运行程序的方式。DLL侧加载是一个常见的例子,通过这种方式,参与者基本上可以将他们的恶意软件放置在受害者应用程序旁边,这样当程序搜索其合法DLL时,它也会不知不觉地执行恶意负载。对于攻击者来说,这是一种有效的方法,可以将他们的活动隐藏在合法和可信的软件下,APT和网络犯罪分子非常爱用这种技术。
使用“有效帐户”是排名第二的常见技术,强调了攻击者对受损凭据和使用现有帐户的依赖。参与者使用这种技术来实现攻击链的各个阶段。商品加载程序也经常为此目的部署窃取信息的恶意软件。与此相关的是,来自密码存储的凭据也排在前五名,这进一步凸显了攻击者对获取用户凭据的关注。这些发现与Talos IR数据一致,该数据显示,在2023年,被泄露的凭据/有效账户占已知初始访问向量的近四分之一。
“资源劫持”排在前10位,这是一种与加密货币挖矿恶意软件部署相关的技术,它通过劫持端点的处理能力来获取利润。加密货币挖矿威胁非常普遍,因为这是一种低级类型的攻击,通常由不成熟的攻击者执行。
勒索软件和敲诈勒索
1.重点摘要
勒索软件和预勒索软件(pre-ransomware)事件继续以一致的速度影响客户——与去年一样,总共占Talos IR事件的20%——医疗保健是最受攻击的垂直行业。
LockBit连续第二年成为最多产的勒索软件即服务(RaaS)团伙,这与CISA的评估一致,即它是部署最多的勒索软件变体。此外,lockbit也是今年TalosIR中最常见的勒索软件威胁之一,占所有勒索软件的25%以上。
ALPHV、Clop和BianLian也在威胁领域占据主导地位,占暗网威胁者网站上公布的所有勒索软件和/或数据勒索的另外四分之一。
Clop附属机构一直在利用零日漏洞,考虑到开发此类漏洞所需的专业知识、人员和访问权限,这是一种非常不寻常的策略,表明该组织拥有只有APT才能匹敌的复杂程度和/或资源。
新的勒索软件变体正在出现,利用从其他RaaS组泄露的源代码,允许不太熟练的参与者进入该领域。
黑客比以往任何时候都更倾向于数据勒索,这是Talos IR在2023年第二季度(4月至6月)应对的最大威胁。数据窃取勒索看起来与预勒索软件(pre-ransomware)的活动非常相似,给防御者带来了挑战。
一些行为者完全放弃使用勒索软件,转而选择单纯的敲诈勒索,这一趋势可能受到正在进行的执法行动、更好的行业检测和更低的运营成本的影响。
2.勒索软件攻击仍在稳步发展
勒索软件和预勒索软件占今年Talos IR响应的所有事件的20%,与去年相比略有下降。医疗保健和公共卫生部门是今年Talos IR勒索软件和预勒索软件攻击中最具针对性的垂直领域。
医疗保健组织非常容易受到网络攻击,因为它们不仅网络安全预算不足,而且停机容忍度很低。近年来,COVID-19大流行可能加剧了这种情况,医疗保健提供者在资源方面感到紧张,停机时间更加难以忍受。
3.LockBit仍是头号威胁
LockBit连续第二年成为最活跃的RaaS组织,占数据泄露网站帖子总数的25%以上。今年,LockBit、ALPHV、Clop和BianLian占了泄露网站帖子总数的近50%。
LockBit在2023年继续实施了大量的勒索软件操作,这一发现与CISA的评估一致,即它是部署最多的勒索软件变体。LockBit攻击可能极具影响力,影响组织的IT和OT、负责物理过程的硬件和设备。10月,CISA发布了OT环境保护指南,再一次强调了LockBit对这些系统的重大影响。
4.勒索软件领域仍然充斥着新的和重命名的组织
勒索软件团伙不断重塑品牌和/或人员流动是今年的一个显著趋势。勒索软件源代码和构建器(创建和修改勒索软件必不可少的组件)的多次泄露对勒索软件威胁环境产生了重大影响。这些漏洞使勒索软件运营商能够重新命名,或者使不成熟的攻击者能够更容易地生成自己的勒索软件,而无需付出多少努力或了解多少知识。随着越来越多的参与者进入该领域,Talos看到越来越多的勒索软件变种利用泄露的勒索软件代码重现,从而导致更频繁的攻击和对网络安全专业人员和防御者的新挑战。
基于泄露源代码的新勒索软件变种的数量也突显了攻击者利用这种公开资源的速度。最近,研究观察到来自Yashma勒索软件构建器的新勒索软件菌株激增。Yashma首次出现于2022年5月,是2022年4月泄露的Chaos勒索软件构建器(v5)的重新命名版本。自2023年初以来,多个新的Yashma菌株(包括ANXZ和sirattacker)出现,它们很可能是由规模较小或资源较少的附属机构部署的,因为它们在这一领域缺乏广泛的应用和知名度。
今年4月,研究发现了一个新的勒索软件行为者RA Group,他们基于泄露的Babuk源代码部署了自己的勒索软件变种。自Babuk组织的一名成员于2021年9月泄露了其勒索软件的完整源代码以来,基于泄露代码的多个新变种已经出现,包括esxiargs、Rorschach和RTM Locker。
虽然这些威胁形势的变化在很大程度上使附属机构受益,但安全研究人员和防御者在访问泄露代码方面也具有优势。它允许安全研究人员分析源代码,了解攻击者的TTP,并开发有效的检测规则,潜在地帮助创建密码并增强安全产品对抗勒索软件威胁的能力。
5.附属机构从部署勒索软件转向数据盗窃勒索
虽然RaaS选项的数量不断增加,但一些组织开始从部署勒索软件转向单纯的数据盗窃勒索。在这些勒索案例中,攻击者会直接窃取受害者的数据,而不加密。这样就消除了常见的“双重勒索”策略,攻击者仅仅依靠泄露信息进行威胁,而不是要求支付赎金来解锁文件。这一趋势也反映在Talos IR业务中,勒索是2023年第二季度最常见的威胁,几乎占所见威胁的三分之一,比上一季度(1月至4月)增加了25%。
几个著名的勒索软件团伙——包括babuk、BianLian和Clop——都选择了数据盗窃勒索而非勒索软件,这与这些组织典型的勒索软件攻击链不同。
促成这种转变的因素有很多。其一,美国和国际执法部门一直在积极追查勒索软件,对知名组织进行了重大破坏;其二,端点检测和响应(EDR)功能的进步成为威胁者寻求部署勒索软件和加密数据的重大障碍。
6.一些勒索软件组织在积极利用零日漏洞
虽然今年许多缺乏经验的攻击者依赖于代码重用,但研究也继续看到高度复杂的运营商以前所未有的速度利用零日漏洞,突出了该领域参与者和TTP的广泛技术多样性。一旦漏洞公开,以投机取巧著称的勒索软件攻击者就会迅速加以利用。当知名的勒索软件组织Clop声称对某个零日漏洞利用负责时,其他勒索软件附属机构也会迅速跟进,在发布补丁之前扫描受影响的系统。
今年4月,在打印管理软件公司papercut意识到clop正在利用未打补丁的服务器后不久,其他勒索软件组织也开始利用关键的远程代码执行漏洞(CVE-2023-27350)作为其攻击链的一部分。
鉴于开发这种能力所需的资源,作为勒索软件组织的Clop能够反复努力利用零日漏洞是非常不寻常的。2023年就出现了很多这样的例子,当时Clop勒索软件组织利用一个零日漏洞(CVE-2023-0669)发起了一场攻击GoAnywhere MFT平台的活动。今年5月,Clop声称对涉及另一个零日漏洞(CVE-2023-34362)的攻击负责,该漏洞影响Progress Software的文件传输解决方案MOVEit transfer。
7.执法行动改变RaaS格局
勒索软件组织经历了多次中断,迫使他们适应和/或加入其他RaaS组织。2023年1月,美国司法部宣布已经瓦解了Hive勒索软件组织。到1月下旬,数据显示Hive的数据泄漏站点出现了普遍的下降。
当勒索软件基础设施被破坏时,运营商通常会继续与其他组织合作,为执法部门和网络防御者创造一种“打地鼠”的场景。例如,当Hive的基础设施被破坏时,许多前Hive成员试图在破坏后的几天内加入其他勒索软件组织。这为防御者将活动归因于特定团体带来了复杂性,因为TTP在团体之间保持一致。
高级持续性威胁
1.俄罗斯篇:重点摘要
俄罗斯政府支持的APT组织Gamaredon仍然是针对乌克兰的主要威胁参与者。
2023年,Gamaredon的主要目标是北美和欧洲的实体。此外,超过一半的目标实体位于交通和公用事业部门,这反映了俄罗斯对关键基础设施的关注。
另一个隶属于俄罗斯政府的APT组织Turla,在2022年9月至2023年2月期间基本活跃,但在2023年5月前后活动大幅减少,与美国司法部对Turla的Snake恶意软件的破坏相吻合。
受影响领域的数量和受害者数量在这两个群体之间存在巨大差异,这与Gamaredon的广泛目标与Turla针对高度选择性受害者的有限活动形成了鲜明对比。
除了Gamaredon和Turla的活动外,研究还观察到在4月底和5月初,SmokeLoader(各种不同组织使用的恶意软件)活动激增。
2.中东篇:重点摘要
2023年10月初,哈马斯和以色列之间发生的事件促使多个出于政治动机的黑客组织对双方发动了未经协调的、简单的攻击,类似于在俄乌战争开始时所观察到的情况。
中东复杂的地缘政治环境继续影响未来的网络格局。在中东拥有经济和政治利益的主要网络参与者(如伊朗)可能更有动力通过直接或代理行动来影响结果。
总部位于中东的APT集团主要以该地区的电信公司为目标。作为此活动的一部分,研究人员已经确定了一个新的入侵集 ShroudedSnooper, 及其针对相关实体部署的新植入物——HTTPSnoop和PipeSnoop。
与前几年相比,伊朗政府支持的MuddyWater APT组织对常用同步工具(对远程访问和恶意软件部署必不可少)的依赖减少了,这可能是为了应对网络安全行业针对已知MuddyWater TTP的行动。
商品加载程序
重点摘要:
- Qakbot、Ursnif、Emotet、Trickbot和icedid等商品加载程序代表了一些最具影响力和最普遍的威胁,因为攻击者通常依赖它们来实现其操作的关键部分。它们作为信息窃取程序、勒索软件和其他恶意软件的下载程序,是威胁环境中的中流砥柱,无差别地影响着全球的实体。
- 所有这些加载程序以前仅作为银行木马发挥作用,近年来开发人员已将其功能多样化,以支持更高级的操作。2023年,新版本的IcedID、Ursnif和qakbot似乎是专门为勒索软件参与者量身定制的,增强了侦察功能,删除了可能触发反病毒检测的功能,并被勒索软件组织和初始访问代理快速采用。
- 微软默认禁用宏导致商品加载程序开始寻求新的方法来悄悄地使用宏,或完全避免使用它们。Qakbot操作人员使用各种文件类型、脚本语言、打包器和漏洞来部署加载程序。Emotet、IcedID和Ursnif也改变了它们的技术,不过与Qakbot相比频率较低,且仍然倾向于依赖较老的TTP。
- 在僵尸网络被拆除后,要根除商品加载程序的威胁可能是一项挑战,因为众所周知,开发人员会继续代表不同的恶意软件组织进行操作,或者重建他们的僵尸网络。此外,以前被破坏的基础设施可能会被其他威胁参与者用于恶意活动。
原文链接:https://blog.talosintelligence.com/content/files/2023/12/2023_Talos_Year_In_Review.pdf