《2023年度安全事件观察报告》

绿盟科技集团股份有限公司（以下简称绿盟2.1金融行业与运营商成为重点攻击目标2.3社工钓鱼和漏洞攻击为边界突破主要手段网络安全趋势与典型事件分析3.7地区冲突引发网络战，攻击手段简单粗暴安全漏洞变化趋势典型安全事件汇总附录二.绿盟科技事件分类方法7922年22年2023年安全事件数据整体呈现出平稳趋势，没有出现明显的波动。绿盟科技2023年接收安全事件376起，比2022年减少33.2%，第一季度事件总量100起，比2022年有所增长；从第二季度起，每季度的事件量均低于2022年同期。在2023年8月事件量达到年度峰值，事件量为135起，较2022年同期增长34.8%，较7月份增加了85.2%。绿盟科技在《GBT20986-2007信息安全事件分类分级指南》指导下，制定了信息安全事件分类方法。对处理的安全事件按照国标和绿盟科技安全事件分类标准分别进行统计。近三年事件发生趋势国标事件类型分布事件类型分布图事件类型分布图网络攻击事件有害程序事件信息破坏事件其他事件信息内容安全事件金融行业与运营商成为重点攻挖矿事件趋势持续放缓，勒索事件2挖矿事件趋势持续放缓，勒索事件击目标。根据最近两年行业事件数占比最高。据统计分析，可以看到金融、企全防护产品能力的提升，挖矿程序越来业、运营商一直都为黑客攻击的重越难以长期驻留，致使攻击者难以长期点目标。但与2022年相比，2023年的获取有效收益企业应急事件数量降低了近50%计发现，近两年挖矿事件出现持续减少而金融行业与运营商成为了首要攻趋势，从2023年第一季度开始，挖矿事企业客户防御能力与安全意识的提升，和攻击者目标的转变。随着互联网的广泛应用和企业数字化的加速推进随着互联网的广泛应用和企业数字化的加速推进，数据安全相关事件的数量也日益增多。通过对近年数据安全相关事件统计发现，数据安全事件数量呈现不断增长的趋势。通过数据安全事件统计发现，黑客的主要目标为企业和医疗卫生行业。这两类行业的数据安全事件数分别占比58%和27%。在企业类数据安全事件中索病毒是主要攻击形式小时内向上级管理部门进行报告。此办法进一步规范了当发数据勒索事件的激增进一步增加了企业数据安全事件的占比。另外，医疗卫生行业存在数据量大,用户量多,安全防护能力差的特点，亦使其成为攻击者的重点攻击对象。历年来医院等卫生行业机构的数据泄露事件屡见不鲜。鉴于网络漏洞和口令安全问题导致的数据安全事件频繁发生，相关单位应更加重视漏洞监控和修复，并提升用户和企业的安全意识。2023年12月8日国家网信办起草发布了《网络安全事件报告管理办法(征求意见稿)》，规定运营者在发生网络安全事件时，应根据《网络安全事件分级指南》中的定义对达到较大、重大或特别重大上报级别的网络安全事件，应当于1生数据泄露等安全事件时，单位或运营者应如何进行事件上件报告管理办法(征求意见稿)》的发布有助于推进网络安全事件报告管理制度的体系化。22023年安全事件数据整体呈现出平稳趋势，没有出现明显的波动。绿盟科技2023年接收安全事件376起，比去年减少33.2%，第一季度事件总量100起，比去年有所增长；从第二季度起，每季度的事件量均低于去年同期。在2023年8月事件量达到本年度峰值，事件量为135起，较去年同期增长34.8%，较7月份增加了85.2%。绿盟科技在《GBT20986-2007信息安全事件分类分级指南》指导下，制定了信息安全事件分类方法。对处理的安全事件按照国标和绿盟安全事件分类标准分别进行统计，事件分布如图1.2、图1.3。本年度事件按照细分子类型排序，TOP5分别为钓鱼攻击事件、木马程序漏洞攻击、勒32023年网络安全形势分析绿盟科技CERT团队2023年处理的应急响应事件遍布全国，覆盖了全国32个省级行政0-55-1010-1515-3030+NA4·NSFOCUS2023年度安全事件观察报告此报告适用于政府、运营商、金融、能源、交通、教育医本次报告中涉及的所有数据，均来源于绿盟科技自有产品和合作伙伴产品，所有数据在进行分析前都已经过脱敏处理，不会在中间环节出现泄露，且任何与客户有关的具体信息，60·NSFOCUS02.1金融行业与运营商成为重点攻击目标根据最近两年行业事件数据统计分析，可以看到金融、企业、运营商一直都为黑客攻击的重点目标。但与2022年相比，2023年企业应急事件数量降低了近50%，而金融行业与运营商成为了首要攻击目标。这一定程度上反映了目前企业客户防御能力与安全意识的提升，图2.1行业事件数统计图主要攻击手段。由于金融和运营商行业安全体系建设较为健全，安全设备与安全产品较为丰从事件类型分布图可以看出，木马程序占据了第二高的比例，这符合使用网络钓鱼进行木马投递的攻击特征。攻击者往往利用钓鱼邮件等社工手段，诱使受害者点击恶意链接或下7502023年安全事件数据观察50图2.22023年行业安全事件分布图2.2挖矿事件趋势持续放缓，勒索事件占比最高近年来随着终端及流量层安全防护产品能力的提升，挖矿程序越来越难以长期驻留，致使攻击者难以长期的获取有效收益。通过对挖矿事件的统计发现，近两年挖矿事件出现持续减少趋势，从2023年第一季度开始，图2.32022-2023年度挖矿事件数量统计8·NSFOCUS2023年度安全事件观察报告●收益更加直接，索要赎金获取的短期收益●勒索病毒大部分不会产生网络流量，可有效躲避流量设备检测。●攻击门槛更低，攻击者可使用现成的勒索工具包，也可直接购买勒索软件服务。2023年有害程序事件中，勒索软件相关事件占比达到43%，为有害程序事件占比最高的.虚拟挖矿.蠕虫病毒.木马程序.勒索软件.僵尸网络2023年勒索攻击事件中勒索病毒家族TOP5BeiJingCrypt、Mallox及TellYouThePass。根据数据统计，目前90%以上的勒索软件均是Windows平台，但近年来勒索攻击目标正逐渐瞄向攻击价值更高的ESXi等Linux平台。为了实现攻击收益最大化，文件加密与数据泄露的双重勒索模式，已成为勒索攻击的主流手段，同时，我们在多个攻击案例中还发现，2.3社工钓鱼和漏洞攻击为边界突破主要手段无论在真实安全事件还是攻防演练中，社工钓鱼一直都是网络边界突破的主力手。通过2023年的事件数据分析发现，在前三季度钓鱼事件数一直高于漏洞事件数，但在第三季度漏92023年安全事件数据观察50图2.52023年漏洞数量与钓鱼事件数通过对漏洞类型占比进行分析，发现攻击者大部分使用的都是Web漏洞，通过对漏洞利用相关事件进行统计分析发现，有近三分之一的漏洞攻击事件均与OA系统漏洞有关，OA作为企业通常部署于互联网边界的核心业务系统，一直是攻击者的重点关Nse口cus2023年度安全事件观察报告·NSFOCUS3.1安全意识成演练对抗永恒主题，权限维持另辟蹊径2023年攻防演练期间，绿盟科技CERT共处置安全事件129起，由于参演单位的安全防护能力和人员安全意识的不断提升，安全事件数较往年有所下降。从事件类型分布来看，钓鱼攻击仍是演练期间最主要的攻击手段，漏洞攻击相关事件中，0day及1day漏洞所占比例持续增长，且针对性更强。此外首次参演的车联网、工业互联网等新兴行业，由于基础安全图3.1.1演练期间事件类型分布3.1.1传统钓鱼攻击比例下降，漏洞攻击事件稳步增长钓鱼攻击往往是参演单位最为关注的攻击手段，部分参演单位会通过定期培训来提升员工安全意识。此外，安全厂商近年来加强了邮件网关的研发投入，在产品防护规则和整体防护效果方面均有了明显提升，部分网关产品甚至还推出了演练专项的防护规则，导致传统类对于攻击者而言，由于邮件钓鱼收效逐年减弱，进而选择了更为隐蔽的钓鱼手段，包括微信等社交软件钓鱼、招聘类软件钓鱼、内网通信软件钓鱼、内网邮箱钓鱼等，在躲避相关图3.1.2邮件网关防护规则攻防演练期间，绿盟科技CERT共监测到有效漏洞182个，相较去年增长近20%，其中0day及1day漏洞占比达到24%，主要集中于办公软件及安全产品。办公软件漏洞主要为国产OA系统，以命令执行、文件上传、未授权访问等可获取权限或数据的高危漏洞为主，相较于往年频发的网络边界防护类安全设备漏洞，终端安全防护产品逐步成为漏洞挖掘的重点关注对象，包括端点检测与响应（EDR）产品、桌面管理类软件等，攻击者利用此类软件漏终端软件终端软件8%网络设备操作系统办公软件办公软件58%其他4%安全产品其他终端软件办公软件网络设备框架组件操作系统安全产品其他终端软件办公软件网络设备框架组件图3.1.3演练期间漏洞类型分布3.1.2终端云安全产品遭滥用，权限维持手法升级为了降低企业终端安全管理建设成本，部分安全厂商面向中小企业推出了SaaS架构的图3.1.4终端云安全产品下载页面此类产品大部分均集成了桌面控制、文件传输、命令执行等木马后门常用的远程控制功攻击者正是利用上述功能，首先注册为企业用户，申请试用并获取合法下载链接，然后通过钓鱼邮件、定向投递等方式，对目标参演单位主机进行远程控制，利用合法的安全软件·NSFOCUS2023年度安全事件观察报告图3.1.5终端云安全产品远程控制功能3.2Java应用与ESXi成为勒索攻击热点3.2.1Java应用成为国内勒索主要攻击面2021年底Log4j漏洞出现公开POC随后发起大规模攻击，攻击对象主要针对中国大陆。值得注意的是，TellYouThePass不作为友OA等国产应用软件集中发起勒索攻击。根据开源情报，2022年8～12月，该勒索家族2023年1～4月，从某数据恢复厂商的案例推广文章得知，该勒索团伙仍在利用国产办2023年5月开始，该勒索团伙再次发起大规模勒索攻击，绿盟科技CERT连续收到多个客户遭到加密后缀为.locked1的勒索攻击事件，攻击者利用国产办公软件高风险Nday漏洞作为初始入侵手段进行批量攻击，上传并注入内存Webshell进行连接，同时下载勒索加密程图3.2.1TellYouThePass攻击关联IP情报1通过威胁情报可发现相关攻击IP发起过多次国产办公软件与Java相关漏洞攻击。图3.2.2TellYouThePass攻击关联IP情报2·NSFOCUS2023年度安全事件观察报告3.2.2ESXi进入更多勒索攻击团伙视线随着VMwareESXi成为最流行的虚拟化平台之一，大量勒索团伙都开始发布针对ESXi一个明显趋势是，勒索团伙越来越多地使用Babuk源代码开发ESXi加密程序，自2022年下半年以来，基于Babuk开发加密器的勒索家族至少有10余个，包括Play、Mario、Conti、REvil、Cylance、DatafLocker、Rorschach等。绿盟科技CERT也在2023年勒索攻击事件中，捕获到了多个基于Babuk的ESXi加密样本变种。图3.2.3某应急事件的勒索样本分析2023年2月，多个安全厂商就名为ESXiArgs的大规模勒索软件攻击发出预警，此次攻击针对存在历史漏洞CVE-2021-21974的ESXi，攻击者通过此漏洞可实现远程代码执行，虽然VMware官方在两年前就发布了相关漏洞补丁，但勒索团伙仍在几天内就攻陷了数百台图3.2.4绿盟科技CERT发布ESXiArgs攻击预警另外，据绿盟科技CERT观察，Phobos勒索家族在早期的攻击事件通常不会涉及到大范围横向攻击。但在2023年7月处理某制造企业的Phobos变种攻击事件中，发现攻击者通过RDP爆破获取初始入侵权限后，横向到域内机器并获取域管理员权限，除了对域内主机进行加密外，还利用通用口令对ESXI进行了加密，被加密的文件后缀包括vmdk、vmx、vmsd、nvram等。3.3恶意软件技巧升级，社工钓鱼仍需防范3.3.1云设施服务滥用增多，云助手成远控帮凶由于云服务具备高安全性、高效率和便捷性等优势，相应的云服务产品近年来呈现爆炸20·NSFOCUS2023年度安全事件观察报告式增长。这些产品不仅包括面向开发者的弹性云资源，还涵盖了云文档、云盘、云助手等面向个人用户或企业管理者的云应用工具和服务。虽然云服务为我们的工作提供了便利，但也在过去的一年里，绿盟科技CERT处理了多起利用云厂商自身服务完成网络钓鱼攻击的●案例1：利用某公有云助手进行远控文件。利用该办公软件某组件的侧加载缺陷，实现恶意DLL的执行。为了进一步远程控制目标主机并规避本地安全终端的防护检测，攻击者在恶意DLL中下载并安攻击者首先通过办公软件自身的机制缺陷，向目标主机上投放恶意DL图3.3.1异常DLL文件xxx_agent_latest_setup.exe/S--register--RegionId=--ActivationCode=--ActivationId=21攻击者通过上述命令将目标侧的失陷主机，通过云助手工具注册为云平台上的待托管实●案例2：利用某企业云管理平台进行钓鱼利用企业云服务端的PC远程控制功能，攻击者可以获得绑定到该团队域下所有主机终端的图3.3.2攻击者发送的钓鱼邮件22·NSFOCUS2023年度安全事件观察报告存在类似潜在滥用风险的云平台或安全产品还有很多，如某主机管理助手和某自动化助图3.3.3存在滥用风险的云托管助手除了运维助手这类工具软件之外，云厂商所提供的一些在线云服务同样有可能沦为网络钓鱼攻击的温床。绿盟科技《2022攻击技术发展趋势年度报告》中总结了一些利用云服务托23图3.3.4攻击者利用云服务托管实施钓鱼这类产品或服务被滥用于钓鱼攻击的一个重要原因是它们来自于备受信任、为大众所熟知的公司。这些运行程序通常带有官方的数字签名，或者托管于官方的子平台上，这些特点使它们通常能够通过本地杀毒软件的检查或域名相关的信誉检测。攻击者巧妙地利用了这种尽管已有云服务厂商开始采取一系列措施来规避工具和平台被滥用的风险，以降低其被用于网络攻击的可能性，用户和企业仍应该时刻保持警惕。他们应该注意验证所有来源不明3.3.2Beacon类后门仍占主流，新生框架层出不穷Beacon类后门通常是指由CobaltStrike框架生成的用于进行渗透测试的后门程序。这些文件捆绑、钓鱼等功能，并包含伪装、痕迹隐藏、EDR绕过等高级对抗特性，支持使用者按240·NSFOCUS2023年度安全事件观察报告02023年，绿盟科技CERT处理了52起涉及CobaltStrike利用的应急事件，与2022年的43起事件相比，在数量上基本持平。在全年捕获到的恶意样本家族数量排行榜中，涉及图3.3.5涉及CobaltStrike利用的应急事件数量而随着针对CobaltStrike和MetasploitFramework等主流C2控制框架的检测技术日趋成熟，出现了一批新兴C2框架，例如Nighthawk、BruteRatelC4、Sliver、Havoc、Viper、绿盟科技CERT多次捕获到其中一些工具的利用痕迹。当然，还有一些未知或目前无法与具25其他/自研类图3.3.6远控木马家族事件占比这些工具因其开源运营形式而具有天然的强吸引力，同时引入了更加复杂和完善的技术实现而受到越来越多攻击者的青睐和使用。这些商用、开源或自研的武器库为攻击者提供了更加丰富的选择余地，与此同时也对安全防护产品和应急响应人员提出了更高的检测技术要在未来一段时间里，安全产品能否在保障对CobaltStrike和MetasploitFramework的检测防护的同时，扩展覆盖到更多同类型的新兴C2框架和后门程序，以及安全分析人员能否3.3.3以社交软件为投递渠道的社工钓鱼攀升例如客户服务部门、技术支持部门、人力资源招聘部门、前台和销售岗位等。常见的攻击方26550图3.3.7近3年以社交软件钓鱼为突破口的应急事件数量●案例1：攻击者伪装成HR向受害者发送相关的岗位描述文档，以薪资待遇、政策福图3.3.8微信钓鱼案例1–简历招聘●案例2：攻击者伪装成相关项目接口人，以转发通知或提醒为由向目标用户发送恶意27图3.3.9微信钓鱼案例2–通告转发这种利用社交软件为投递渠道进行社工钓鱼的攻击事件在逐年增多。我们分析其中一方面的原因是近几年攻防演练常态化的实施及邮件类网关产品检测防护能力的不断升级，使得直接在邮件附件中携带恶意载体的传统钓鱼攻击行为更加容易被识别和标记。加之邮件非实时性的交互特点以及越来越多的企业开始强调日常网络安全意识的重要性，终端用户在甄别相比之下，在即时通讯类软件上进行在线社会工程学钓鱼时，攻击者可以根据目标对象的反馈实时调整话术，引导目标用户一步步走进提前设置的陷阱。那些警惕心不足的用户很3.4AI风潮下的网络安全风险与机遇3.4.1AI加持下的社工攻击日益猖獗，变声换脸诈骗频发随着AI大模型的发展和生成式人工智能的普及和易获取性，近年利用AI变声换脸进行网络诈骗的事件日益增加。从短视频的假靳东事件到某AI相声演不法分子通过恶意剪辑、换脸变声、搭建虚假“镜头环境”等手段，伪造音视频内容进行欺诈。警方在“净网2023”专项行动中破获“AI换脸”案件79起，其中还侦破利用ChatGPT这类生成式AI工具不仅能快速编写高28·NSFOCUS2023年度安全事件观察报告图3.4.1使用FraudGPT进行邮件钓鱼门选手进行网络攻击的门槛。虽然武器化的AIGC目前仍处于初级阶段，但不久的将来攻击者将开发出更多先进的工具进行网络攻击和电信诈骗。预计在未来，成熟的AIGC最终将使3.4.2数据泄露与滥用等风险涌现，法律监管面临新挑战AI技术的应用从自动驾驶、工业生产到GPT，逐渐延申到我们生活的各个领域，其展现出巨大的变革潜力。然而随着AI应用的广度和模型安全等诸多问题也透露出不少风险与隐患。2023年3月，ChatGPT发生用户信息泄露事件后，意大利监管机构认定其涉嫌非法处理个人数据与侵犯隐私并进行了临时禁用，随后29图3.4.2意大利GPDP宣布禁用ChatGPT而随着“百模大战”的开展，几乎所有在线服务都在收集我们的个人数据，并可能将这些数据用于训练LLM，由于LLM对于训练数据的记忆，在对话过程中存在泄露隐私信息与数据投毒污染等风险；11月中旬ChatGPT被披露存在越权访问的逻辑缺陷，仅限使用GPT-3.5模型的普通用户账号可通过特定接口越权访问GPT-4模型，揭示了现有系统中的权限管理缺陷。此外，大模型本身还存在对抗样本、提示注入及模型窃取等风险，随着AIGC已经快速渗透到各种产品、服务和技术中，相关内容安全和网络安全违规事件将呈现明显增长。绿盟科技于2023年9月发布《安全行业大模型SecLLM技术白皮书》，阐述了大模型在生30·NSFOCUS2023年度安全事件观察报告图3.4.3大模型安全风险总览目前国内外的政府及科技企业都在开始积极完善有关人工智能的监管政策及相关法规。近两年，相关部门先后出台了《互联网信息服务深度合成管理规定》、《生成式人工智能服务管理暂行办法》等有关政策法规，并开展了“互联网深度合成算法备案”、“大语言模型算法备案”等有关工作。7月底，美国7家AI巨头也与白宫达成协议，将为AI生成内容添加水印。近来多个包含数据采集和使用不规范等问题的AIGC应用被要求在应用商店下架一事也证明监管措施正在发挥积极作用。虽然关于人工智能，无论在技术还是监管方面我们都3.4.3赋能安全产业升级，提升防护能力构建坚实屏障随着AIGC的爆火和GPT应用，人工智能逐渐成为引领未来的潜在战略性技术，各类厂商都提出或探索着自身如何与AI技术进行融合，网安行业也出现了更多关于AI安全和大模AI内生安全、模型应用安全、AIGC安全及网络安全的转型和升级。除从模型风险视角关注AI自身安全和底层ML环境的研发和运用过程的防护，在生成式鉴伪与反欺诈，及AIGC生成内容过滤审查的业务安全方面也催生出大量需求。海外已出现许多专注于模型内生及应用安全的公司，在一定程度上属于细分赛道的创新；此外，由于大模型通常以API的方式进行31图3.4.4大模型安全评估与防护而从网络安全视角出发，运用AI技术提升安全产品和能力，目前已经在多个方向得到探索应用；产品能力升级：大模型可以帮助优化迭代现有安全产品，如WAF语义理解、防火墙智能化、XDR高级威胁检测等，将有效增强恶意软件与加密流量检测，以及将电子邮件网关转为智能AI方法，可精准防范日益多变场景中进行告警降噪与日志分析、实现自动化安全编排与响应、进行用户行为分析以更有效检测内部威胁与针对性攻击、替代人工标注进行数据分类分级、实现自动化漏洞挖掘与代码审计等。此外，在2023年攻防演练中已有攻击机队利用大模型进行供应链攻击面梳理并获3.5汽车电动化、网联化、智能化带来更多网络安全风险近年来，国内外新能源车企蓬勃发展，发布的新车更是层出不穷。新能源汽车大多数使用锂电池作为主要驱动能源，为实现更高水平的“智能化”和“网联化”提供了足够的电力能化”发展道路上呈现出野蛮生长的趋势。加之车企不断推出新车型、软件开发周期短，安32·NSFOCUS2023年度安全事件观察报告3.5.1智能化汽车更需要安全化图3.5.1汽车智能化主流方案与传统汽车类似，新能源汽车也具备蓝牙、OBD接口、无线钥匙等近场通信能力，面临着与传统汽车相似的安全问题，例如遥控钥匙滚码漏洞。然而，与传统汽车不同的是，新能中的大灯、雨刮器等零件、调节悬架等。娱乐系统大多采用Android或Linux系统，33●连接WIFI与OTA是新能源汽车与传统汽车的一个重要区别。新能源汽由于大部分汽车为了方便出厂前进行升级会连接默认的WIFI名称，攻击者只需要伪在2023年3月24日举行的Pwn2Own比赛中，安全研究员Synacktiv展示了针对TeslaModel3的两个独立漏洞：1、利用网关电池管理系统存在的TOCTTOU(time-of-check-to-time-of-use)漏洞能够在车辆运行状态下打开后备箱等。2、利用蓝牙芯片模组中的堆溢出漏洞和越界写漏洞入侵了特斯拉的信息娱乐系统。从蓝牙芯片中移动到了宿主机Linux中，完图3.5.2Pwn2Own比赛现场34·NSFOCUS2023年度安全事件观察报告智能化的发展必然需要大量的数据交互。在云端，这涉及到大量的接口来完成对数据的接受、存储、处理和反馈。然而，这也极大增加了车企的数据资产暴露面。由于涉及的面广且深，要保证较高的安全性，需要极大的人力和财力投入，部分车企在这方面的预算有限，●API安全，API接口云端应用提供服务的窗口，是智能化汽车“互联”的重要依赖。●●该车企的供应商SSO(单点登录)平台用于访问内部工具和开发环境。该单点登录平台的密码重置功能存在漏洞，未授权用户能够重置任意用户的密码。使用重置后的密码，攻击者可以访问供应商能够接触的所有功能，如通过VIN码获取销售文档(其中包含客户的隐私信图3.5.3某车企供应商系统后台35我们统计并分析了最近5年与汽车相关的CVE漏洞，共5呈现逐年上涨的趋势，尤其是最近几年。随着新能源汽车智能化程度的加速提升，CVE漏洞40020192020202120222023图3.5.4近5年汽车相关CVE漏洞数量趋势综上可以看出，随着新功能和新特性的不断加入，新能源汽车建立了大量网络信息基础车协同”等大车联网格局的落地将使智能汽车成为一个庞大且复杂的信息生态系统，也将成3.5.2智能化汽车亟待加强数据保护为了实现“以人为本，为人服务”的智能化理念，新能源汽车需要频繁采集大量的汽车我国智能网联技术迅速发展，海量的车辆数据和用户个人数据若管理无序，将直接影响百姓生命和财产安全。因此，如何确保汽车安全有序运行以及数据合规使用，已成为社会关注的网联汽车涉及的关键核心资产包括车辆状态信息、车辆行驶轨迹以及用户信息等重要信息数36·NSFOCUS2023年度安全事件观察报告图3.5.5智能网联汽车的关键核心资产分部2022年12月，黑客团伙宣称窃取了国内某车企的员工及车主数据，并以此向该车企勒索225万美元等额比特币。此次泄露的数据均被明码标价，其含总裁到一线员工，每条售价0.15比特币；车主用户身份信息39万余条，每条售价0.25比特币；用户地址信息65万余条，每条售价0.15比特币；注册用户数据486万余条，每条售日本某车企于2023年9月15日发布声明称，他们在2023年7月24日监测到服务器遭受外部攻击者的非法访问，可能导致部分个人信息泄露。泄露的信息包括公司员工及合作方人员的姓名及电话号码，共计约104732份信息。2021年6月，德国某车企表示，由于一家供应商在2019年8月至2021年5月期间将客户数据“未经保护”地存放在互联网上，导致约330万名客户的数据遭到泄露。这些数据37仅在2023年上半年，针对车联网平台的恶意网络攻击行为超过190万次，较2022年同根据权威机构的数据统计，与数据安全相关涉及数据安全其他图3.5.6与数据安全相关的攻击占比一辆智能网联汽车每天会产生大量的数据。近年来，国家工信部、网信办等多个部门发●2017-03，《汽车产业长期发展规划》●2017-12，《国家车联网产业标准体系建设指南》●2020-02，《智能汽车创新发展战略》●2021-06,《关于开展车联网身份认证和安全信任试点的通知》●2021-06，《车联网（智能网联汽车）网络安全标准体系建设指南》●2021-06，《关于加强车联网（智能网联汽车）网络安全工作的通知》●2021-07，《网络产品安全漏洞管理规定》●2021-07，《智能网联汽车道路测试与示范应用管理规范（试行）》38·NSFOCUS2023年度安全事件观察报告●2021-08，《关于加强智能网联汽车生产企业及产品准入管理意见》●2021-09，《关键信息基础设施安全保护条例》●2021-09，《关于加强车联网卡实名登记管理的通知》●2021-10，《汽车数据安全管理若干规定（试行）》●2023-05，《GB汽车整车信息安全技术要求》●2023-05，《GB汽车软件升级（征求意见稿）》●2023-05，《道路机动车辆生产车辆准入条例（征求意见稿）》到2023年底，将初步构建起车联网网络安全和数据安全标准体系，并完成50项以上急需标准的制订。预计到2025年，将形成较为完善的车联3.6K8S逐渐成为主流，云安全意识需要提升云计算一直是技术世界的变革力量，并且持续快速发展。截至2023年，Kubernetes项目的提交次数超过7万次。下图是Stackalytics统计的2023年Kubernetes项目提交次数排图3.6.1Kubernetes项目提交次数排名Kubernetes为开发、发布和部署流程带来了极大的简化。通过动态智能的容器管理，Kubernetes可以帮助组织节省生态系统管理，确保跨多个环境的可伸缩性。资源分配会根据39实际应用需求自动调整，减少了基础设施上的手工操作。IT团队不再需要执行繁琐的系统管理任务，而是可以专注于执行增值任务。尽管Kubernetes缩短了开发发布周期并优化了IT体系模型、防护体系、生态图景和发展趋势等方面对云原生安全进行了系统阐述。绿盟科技发布了《云原生安全技术报告》，深度分析了云原生落地所面临的安全风险和威胁，提出了了《CNCFCloudNativeSecurityWhitepaper》，从代码、配置、数据、运行时等四个层面介3.6.1K8S集群控制台安全需要重点关注●kubernetesdashboard●kuboard●kubeapi●rancher●lens●Octant●……Kubernetesdashboard作为官方提供的Web控制台，提供了一些安全措施以防止访问失控，如取消口令登陆，改用Token或者Kubeconfig文件进行登陆认证。从Kubernetes1.20版本开始，只允许HTTPS方式访问，需要生成Kubernetes证书并导入到浏览器。尽管官方提供了很多访问限制，但仍存在安全风险。比如，出于对安全性和便利性的取舍，Token或者Kubeconfig文件不方便记忆，需存储在某处，这一环节可能存在Token或者Kubeconfig40·NSFOCUS2023年度安全事件观察报告文件泄露的风险。此外，为了更加方便地在内网其他主机中访问Kubernetesdashboard，会通过kubectlproxy和端口转发命令绕过Kubernetesdashboard对localhost的访问限制。因此，使用Kubernetesdashboard时，首先应设置网络访问限制，只允许指定IP进行访问，其次应妥善保管Token或Kubeconfig文件。kuboard是一款开源的Kubernetes多集群管理界面。支持多种登陆认证方式，包括内建用户库、GitLab、GitHub、LDAP，并且支持双因子认证。相较于Kubernetesdashboard，kuboard界面更加友好，没有为追求安全性而舍弃太多便利性，因此备受用户欢迎。然而，使用kuboard也存在一些安全风险。例如，尽管kuboard支持多种登陆认证方式，但内建用户库是最常见也是最容易配置的方式，一些企业在部署了kuboard之后未修改默认密码，这在2023年的攻防演练中，存在一起攻击者利用内网横向渗透的方式通过kuboard拿下多个集群的事件。经过排查发现，攻击者通过钓鱼投递木马的方式进入了内网，并在内网进行扫描后定位到了kuboard控制台地址。利用kuboard默认的用户名和密码，攻击者直接登录到了到集群控制台，并获取了多个集群的访问控制权限，进而在这些集群的容器中植入了图3.6.2攻击者入侵kuboard控制台进行命令执行综上所属，虽然集群控制台提供了很高的便利性，但我们必须更加重视其安全访问，做413.6.2容器不安全配置成为云安全短板Kubenetes本身已经具备很多的安全措施，并且会定期进行安全审计。官方CVE源的数据显示，整个2023年仅有8个CVE编号与Kubernetes相关，这表明Kubernetes在安全性图3.6.32023年Kubenetes的相关CVE漏洞因此，Kubenetes集群的安全风险主要存在于不完善的集群或者容器配置。不安全的Kubenetes配置通常导致两个问题：未授权访问和容器逃逸。在1.10版本开始启用--insecure-port和--insecure-bind-address参数，默认值为8080.，由于该8080端口没有认证授权机制，因此存在未授权访问。攻击者可以直接对整个集群进行控制。在1.20版本默认被禁用，在1.24版本被移除，所以如果1.10<K8S<1.24，那么需一般情况下，K8S集群之间通过6443端口进行https通讯，在集群初始化时，也在集群主机中同步了ssl证书，以便后续的网络通讯。所以外部设备要与集群通信，也需要具备K8S集群的ssl证书。但是这个安全机制也是可以通过不安全的配置绕过的。如果运维人员配置不当，将“system:anonymous"用户绑定到"cluster-admin"用户组，则会使得6443端口允许匿名用户以管理员权限访问。攻击者可以通过6443端口，不需要任何认证就能直接42Kubernetes(K8S)中的etcd是一个高可用的键值存储系统，用于存储集群的配置数据和etcd集群的client-cert-auth参数默认值为false，即客户端无需提供客户端证书即可连接到etcd集群。但是在Kubernetes1.21版本中，etcd集群的client-cert-auth参数的默认值被更改为true，这意味着客户端必须提供有效的客户端证书才能连接到etcd户端证书认证或者etcd证书文件泄露，那么都可以造成未授权访问。攻击者可以通过etcd容器逃逸更多的是关于集群容器pod的相关配置。目前被K8S渗透工具集成的容器逃逸CVE-2019-5736否CVE-2020-15257否Docker.sock逃逸否Docker.sock命令执行否是是是Procfs目录挂载逃逸是Ptrace逃逸是lxcfscgroup错误配置逃逸是是表3.6.1容器逃逸类型其中共包含11种容器逃逸的方法，但是除了docker-runc、containerd-shim、docker.sock逃逸、docker.sock命令执行之外，其余逃逸方式都依赖与将宿主机敏感目录部署到容Kubenetes对于Pod安全性标准定义了三种不同的策略（Policy以广泛覆盖安全应用场景。Kubenetes运维人员或者云应用开发人员可以使用相关的策略直接执行Pod的安全性ProfilePrivilegedBaselineRestricted表3.6.2K8S定义的3种Pod安全性标准43对于需要使用特权级别的容器或者命名空间的情况，必须建立并实施适当的访问控制机制。此外，对于运行在特权宽松的命名空间中的负载，需要维护其独特的安全性需求文档。3.7地区冲突引发网络战，攻击手段简单粗暴3.7.1DDoS是网络战最主要的攻击方式从2022年开始的俄乌冲突到2023年的巴以冲突，都凸显了网络攻击与实体战争的密切突爆发后，针对以色列和巴勒斯坦的网站和应用程序就开始陆续遭受黑客攻击，其中包括对数十个政府网站和媒体机构的DDoS攻击。例如，哈马斯官方网站遭到短暂关闭，据称是由路撒冷邮报》成为“匿名者苏丹”组织的攻击目标，许多专家认为该组织的运作地点是俄罗斯。另一个与俄罗斯有联系的组织KillNetThreatSec疑似对加沙的互联网服务提供商进行了攻击。淹没其资源，从而对其进行恶意破坏，其主要目标是使合法用户在数小时甚至数天内无法访问网站或网络服务。在以往的攻击中，DDoS通常被视为攻击者最后的手段，仅当其他攻击方法无法达到目标时才会采用。然而在战争状态下，DDoS攻击因其简单性而成为一种破坏性极强的攻击方式，能够破坏信息传播，影响企业收入，直接影响公众的日常生活。因此，3.7.2关键基础设施是网络战的主要目标自巴以双方开战以来，黑客组织优先对双方重要的政府、职能机构及关键基础设施发起伊朗黑客组织“CyberAvengers”，又称为“CyberAv3ngers”，声称对以色列城市电力故障事件负责，该事件影响态势已升级至地方市级领导官员级别。“CyberAv3ngers”组织发布了一段视频，展示了他们如何入侵电网管理系统的过程。以色列当局尚未证实停电是否由黑客攻击造成。然而以色列当局尚未承认停电由黑客攻击造成，以色列电力公司IEC发言44·NSFOCUS2023年度安全事件观察报告此外黑客团伙AnonGhost利用应用程序漏洞，成功入侵了以色列的导弹预警系统“红色警报（RedAlert）”，并通过该应用发出将有核弹袭击的虚假警报。据分析，该黑客组织是图3.7.1RedAlter错误警报46200020012002200320042005200620072008200920102011201220132014201520162017201820192020202120222023·NSFOCUS2023年度安全事件观察报告2000200120022003200420052006200720082009201020112012201320142015201620172018201920202021202220234.1安全漏洞趋势分析4.1.1安全漏洞总体态势2023年每月漏洞新增数量在2100-3000之间，安全漏洞形势的严峻性加剧，高危漏洞披露数量持续增长。根据NVD已收录的公开发布漏洞数目观察，2023年新增漏洞数量为30947个，同比去年增加了14.59%，如图4.1.1所示。3500030000250002000050000图4.1.1历年漏洞数量统计47CWE-89CWE-89CWE-2244.45%图4.1.2漏洞CVSS3.1数量分布图4.1.32023年TOP10漏洞类型4.1.2漏洞利用趋势分析绿盟科技CERT对各类型服务的漏洞利用数量进行了统计，结果如图4.1.4所逻辑问题等引起，攻击者利用此类漏洞可实现SQL注入、跨站攻击、文件上传、代码执行等48405634405634 图4.1.4TOP10漏洞利用服务类型4.1.3部分高龄漏洞的利用仍旧活跃高的10个漏洞，如表4.1.1所示。说明资产单位依然存在大量长期未更新的软件和系统，如HTTP服务、浏览器、操作系统、应用软件等。由于漏洞披露时间较长，对应的漏洞利用也更为成熟，攻击者一旦进入内网就可以利用这类漏洞进行批量攻击，安全防护是一个与攻击者不断赛跑的过程，只有及时修复CVE-2016-3324MicrosoftInternetExplorer和Edge远程内存破坏漏洞6206055CVE-2017-0146（MS17-010）WindowsMS17-010系列漏洞扫描攻击1547212CVE-2019-6444NTPsecprocess_control越界读取漏洞471345CVE-2014-6271GNUBash环境变量远程命令执行漏洞336279CVE-2017-0144WindowsSMB远程代码执行漏洞(ShadowBrokersEternalBlue)304594CVE-2016-080OpenSSLsslv2弱加密通信方式易受DROWN攻击264667CVE-2018-10561/CVE-2018-10562GPONHomeGateway远程命令执行漏洞分析241604CVE-2014-0075ApacheTomcat块请求远程拒绝服务漏洞217316CVE-2017-5638（s2-045/s2-046）Struts2远程命令执行漏洞188697CVE--2016-0193（ms16-052）MicrosoftEdge脚本引擎内存破坏漏洞187814表4.1.12023年漏洞利用告警数量TOP10494.2重点漏洞盘点4.2.1办公类系统仍是核心风险区域软件的复杂性、功能多样性和广泛使用为潜在漏洞提供了更多的攻击面，办公类系统持续被视为攻击者的首要目标。作为企业日常工作的核心系统，其内部存储了大量的业务数据、员办公软件安全产品网络设备框架组件其他操作系统图4.2.1漏洞产品类型分布在此期间，有WPS远程代码执行漏洞等严重漏洞被公开披露，攻击者利用WPS内置浏览器存在的逻辑漏洞构造恶意文档，当受害者使用存在漏洞的WPSoffice打开该文档时，就会通过内置浏览器加载该链接，调用WPS端内的API接口来下载并打开文件，导致恶意文4.2.20day漏洞利用呈增长趋势近年来，随着黑客攻击技术的提升和市场化，0day漏洞的数量和利用呈明显增长趋势，大量攻击团伙利用未公开及厂商未及时修复的漏洞对目标系统进行未授权访问、数据窃取或其他恶意活动，这类漏洞的利用往往具有高度隐秘性和攻击性，使得安全防护和应对的难度0daynday图4.2.2近年攻防演练漏洞占比分布CVE-2023-20269CiscoASA与FTD软件未授权访问漏洞CVE-2023-41064AppleImageIO远程代码执行漏洞CVE-2023-41061AppleWalletframeworks远程代码执行漏洞CVE-2023-4863GoogleChrome堆缓冲区溢出漏洞CVE-2023-36761CVE-2023-36802Microsoft流式处理服务代理特权提升漏洞CVE-2023-28252WindowsCommonLogFileSystemDriver权限提升漏洞CVE-2023-26369AdobeAcrobat与Reader任意代码执行漏洞CVE-2023-41991AppleSecurityframework远程代码执行漏洞CVE-2023-41992AppleKernelFramework权限提升漏洞CVE-2023-41993CVE-2023-20109CVE-2023-5217GoogleChrome堆缓冲区溢出漏洞CVE-2023-22515AtlassianConfluenceServerandDataCenter权限提升漏洞CVE-2023-44487HTTP/2远程拒绝服务漏洞CVE-2023-36563MicrosoftWordPad信息泄露漏洞CVE-2023-41763SkypeforBusiness权限提升漏洞CVE-2023-36036WindowsCloudFiles微型筛选器驱动程序权限提升漏洞CVE-2023-36033表4.2.10day漏洞利用4.2.3Windows系统漏洞数量高居不下0Windows作为被广泛应用的操作系统，由于其庞大的用户群体和复杂的系统结构，使得安全问题持续存在，且漏洞数量依旧相当大。被公认为是微软旗下安全漏洞最多的产品，几乎每月的安全更新公告中都会涉及Windows各个版本的漏洞修复。这些漏洞中，有些是尚未公开的0day漏洞，有些漏洞甚至已图4.2.3近5年Windows漏洞数量图.4供应链安全漏洞形势依旧严峻随着企业对核心系统安全的不断强化，攻击者也在不断地进行着攻击方式的转变，通过第三方供应商作为入侵的跳板，进而对目标进行攻击。相较于直接攻击，这种供应链攻击手MOVEit是一款由美国上市公司Progress开发的商业文件传输工具，2023年5月，勒索组织Clop利用MOVEit的某0day漏洞针对数百家企业发起了一系列的攻击，导致海量数据遭到勒索，号称年度最大规模的网络攻击。据安全机构数据统计，Clop利用该漏洞入侵了2600余个组织，窃取的个人材料超过8000万份。·NSFOCUS2023年度安全事件观察报告图4.2.4MOVEit漏洞受害者统计随着AI技术的快速发展和应用，相关的供应链漏洞也明显增长，可扩展的机器学习平台H2O拒绝服务漏洞（CVE-2023-6569）、简化机器学习开发平台MLflow文件覆盖漏洞随着数字化转型的加速，企业对于数据安全的重视程度日益提高，除了关注自身数据安·NSFOCUS2023年度安全事件观察报告数据在现代社会中扮演着重要的角色，涵盖个人隐私、商业机密、政府机构信息等多种类型。随着互联网技术的不断发展，数据存储和传输方式也变得更加复杂多样，增加了数据而数据安全旨在保护数据免受未经授权的访问、泄露、篡改或破坏。其中漏洞攻击、勒索病5.1企业和医疗领域成攻击焦点0通过数据安全事件行业分布图发现，黑客的主要目标为企业和医疗卫生行业。这两类行业的数据安全事件数分别占比58%和27%。在企业类数据安全事件中，勒索病毒是主要攻击形式，数据勒索事件的激增进一步增加了企业数据安全事件的占比。另外，医疗卫生行业存在数据量大，用户量多，安全防护能力差的特点，亦使其成为攻击者的重点攻击对象。历年来，医院等卫生行业机构的数据泄露事件屡见不鲜。企业医疗卫生政府教育能源对数据安全事件的入侵类型进行统计分类后发现，主要入侵方式包括Web漏洞和口令安全，分别占比32%和39%（包括弱口令26%和口令泄露13%）。鉴于网络漏洞和口令安全问题导致的数据安全事件频繁发生，相关单位应更加重视漏洞监控和修复，并提升用户和口令泄露漏洞其他弱口令首先，漏洞情报监控和修复是确保数据安全的重要一环。企业应建立健全的漏洞情报监控机制，持续追踪系统和应用程序中的漏洞，并及时采取措施修复这些漏洞。漏洞修复的及·NSFOCUS2023年度安全事件观察报告时性至关重要，因为黑客和恶意攻击者往往会利用已知漏洞入侵系统并获取敏感信息。通过及时修复漏洞，企业可以大幅降低被攻击的风险。其次，口令安全也是不可忽视的方面。弱口令是黑客入侵的一条便捷途径，因此企业应鼓励员工使用强密码，并定期要求更改密码。此外，采用多因素身份验证（MFA）等额外的身份认证措施可以增加账户的安全性，为企业提供额外的安全保护层。5.2API和文件传输应用漏洞成数据泄漏的主要威胁API（应用程序编程接口）是跨编程语言、操作系统和应用版本的应用与后台服务器交互的关键，它使得应用程序之间的通信更加顺畅。如今许多单位的核心业务和敏感数据都依托于API传输，尽管如此，一些API接口仍存在着诸如接口鉴权失效、敏感信息展示不当、因此，攻击者越来越倾向于通过攻击API获取高价值数据，这成为了数据泄漏的主要原因之一。2023年1月，无线巨头T-Mobile宣布正在调查一起可能影响3700万用户的数据泄露事件。据了解，攻击者通过一个未经授权的API接口获取到了部分用户数据。这起数据泄露另一方面，政府和企业等机构通常会使用文件传输应用来处理和分发敏感文件和数据。如果文件传输应用存在安全漏洞，就会引发严重的数据泄漏。2023年上半年，黑客团伙CL0P利用FortraGoAnywhere和MOVEitTransfer文件传输英国、加拿大、法国、以色列等20多个国家和地区，大量个人敏感数据遭到曝光。6月，美国路易斯安那州州长办公室在一份新闻稿中表示，他们的驾驶数据服务遭到MOVEit相关的漏洞攻击，可能泄露了包括姓名、地址、社会保障号码、出生日期、身高、眼睛颜色、驾照号码、车辆登记信息、残障标牌信息等敏感数据。该泄露事件影响了美国路易斯安那州机动车辆办公室和多达600万路易斯安那州居民的数据安全。5.3数据安全管理法规趋于健全重大或特别重大上报级别的网络安全事件，应当于1小时内向上级管理部门进行报告。《网络安全事件分级指南》中与数据安全相关的定义要求如下：国家秘密信息、重要敏感信篡改、假冒，对国家安全和国家秘密信息、重要敏感信篡改、假冒，对国家安全和国家秘密信息、重要敏感信篡改、假冒，对国家安全和泄露1000万人以上个人信息泄露100万人以上个人信息此办法进一步规范了当发生数据泄露等安全事件时，单位或运营者应如何进行事件上报的发布有助于推进网络安全事件报告管理制度的体系化。从运营者视角来看，有助于提高网络安全事件报告工作的可操作性，强化运营者对数据安全等日常安全运营工作的重视。从监管模式来看，有助于调动各方力量、尤其是网络安全供应商对相关工作的参与度，将网络安全事件影响降到最低。尽管可能会对运营者带来一定的压力，对运营者网络安全事件的感知和处置能力带来一定的挑战和考验，但通过问责处罚要求也能促使相关运营者能更加重视数6.1挖矿蠕虫案例6.1.1事件概述2023年2月，某政府单位运维人员通过监控平台，发现多台业务主机系统资源占用存在异常，导致省厅及下属地市单位的数据库服务无法正常访问，直接影响到全省民生业务导致无法清理，通过对提取的样本文件进行逆向分析，确认了病毒行为、驻留方式及传播途径，并通过编写自动化查杀工具，对病毒文件进行快速处置，同时对事件中涉及的漏洞进行了修复，保障了业务的顺利运行。6.1.2处置过程通过绿盟科技CERT自研的主机网络监控工具NetMonitor，发现受害主机存在大量异常网络连接，通过IP情报查询，确认为虚拟货币矿池地址，同时定位到位于/root目录下图6.1.1通过NetMonitor发现挖矿进程由于ls等系统命令被病毒劫持替换，导致无法直接通过系统命令查看后门文件，通过busybox工具可查看挖矿病毒相关文件，包括挖矿主程序、挖矿配置文件等。·NSFOCUS2023年度安全事件观察报告图6.1.2发现挖矿相关配置文件首先将监控设备及配置文件中提取的挖矿相关IP，在边界防火墙上进行了封堵，避免受害主机对外做进一步的攻击、扩散。图6.1.3挖矿配置文件内容通过绿盟科技CERT自研的主机应急排查工具TraceCrawler，发现系统预加载配置文件被篡改，初步判断病毒是通过这种方式对系统关键命令进行了劫持。图6.1.4ld.so.preload文件信息功的记录文件中存在多台内网业务主机，由此初步判断该病毒是通过SSH弱口令在内网进行横向移动，实现蠕虫式传播。图6.1.5挖矿相关程序·NSFOCUS2023年度安全事件观察报告态链接库文件，实现持久化驻留，由此印证了前期推测的相关结论。恶意动态链接库文件主要功能为将系统命令输出的结果进行过滤，实现相关后门文件及进程的隐藏，包括SSH爆破工具、挖矿相关文件等。图6.1.6通过预加载so实现文件隐藏图6.1.7检查并卸载终端防护软件6.1.3处置建议将应急过程中输出的矿池、C2等威胁情报在边界设备上进行封堵，并导入态势感知等安全运营平台进行持续监测；根据病毒文件相关特征，编写自动化工具对受害主机进行批量处置，同时对事件中暴露的通用口令、通用秘钥问题进行整改；由于此次病毒传播存在跨内部安全域及跨上下级单位网络的情况，后期还需要加强内部安全域的隔离管理，同时对边界网络访问规则进行梳理细化。6.2钓鱼邮件案例6.2.1事件概述从2023年3月起，绿盟科技CERT监测到某政府单位陆续收到多种钓鱼邮件，类型包括钓鱼链接、恶意附件等，钓鱼手段包括chm文件下载、漏洞利用、伪装快捷方式等，涉及的木马类型主要为流行的CobaltStrike，以及相对冷门的Remcos。通过对样本文件进行溯源及归因分析，可关联到蔓灵花、海莲花、白象等多个具有南6.2.2处置过程●chm钓鱼文件其中，chm木马是攻击者精心构造的恶意文件，可实现文件打开时，自动下载并执行·NSFOCUS2023年度安全事件观察报告并关联command，通过点击按钮，即可执行恶意命令，最后再通过执行文件末尾混淆的js代码，实现了自动点击按钮。图6.2.1chm钓鱼文件中的恶意代码●inp钓鱼文件另一包含inp文件附件的钓鱼邮件，经过分析是利用了InPage（巴基斯坦语）文字处理软件的代码执行漏洞实现恶意代码执行。InPage曾在2017年报出过内存损坏漏洞，严重情况下会导致任意代码执行，CVE编号为CVE-2017-12824。本次钓鱼邮件的漏洞原理与CVE-2017-12824一致，都是数组越界导致任意代码执行。但是漏洞位置和利用方法，与之前存在差异。造成缓冲区溢出后，通过popret指令的组合使用，从而执行到栈中的代码。inpage程序自身未开启安全编译选项，给这种攻击方法降低了很大的难度。图6.2.2inpage程序未开启安全编译选项样本文件通过分阶段方式执行shellcode，实现打开正常inp文件的同时，在内存中执行Remcos远控木马。图6.2.3Remcos木马●快捷方式钓鱼文件伪装为写字板图标的快捷方式钓鱼文件，通过调用rundll32命令释放vbs脚本，并调用mshta命令执行，释放出正常的Word文档及DLL木马文件，并通过创建计划任务实现图6.2.4构造的恶意快捷方式·NSFOCUS2023年度安全事件观察报告图6.2.5通过任务计划实现驻留核心的木马DLL文件，通过创建线程启动恶意函数，首先创建内存，然后写入恶意代图6.2.6加载恶意代码在内存中执行恶意代码是从内置IP中进行提取，一个IP对应shellcode代码4个字节，并在内存中经过两次解密后，执行最终的恶意代码。图6.2.7伪装成IP地址的shellcode数据6.2.3处置建议由于此次事件是大规模有针对性的钓鱼攻击，首先可提取相关恶意样本文件特征，通过编写专杀工具或升级反病毒软件特征库，排查内部主机感染情况；同时将分析过程中输出的样本相关C2情报，在安全运营相关设备或平台上进行监测溯源，从流量层面排查内部主机感染情况；此外还需要根据钓鱼邮件特征，对终端安全软件及邮件网关防护规则做针对性的更新升级，阻断钓鱼邮件投递途径。6.3勒索攻击案例6.3.1事件概述2023年5月，某制造企业遭受勒索病毒攻击，导致大量敏感商业文件被加密，同时由于虚拟化平台被加密，导致多个关键业务出现中断。受害企业属于传统制造行业，对于安全投入较少，除了互联网边界防火墙及终端防病毒软件外，并未部署其他入侵检测类安全设备；对于异地子公司之间也缺乏有效的边界防护策略，导致攻击者在内网中任意漫游；同时还缺乏有效的安全运营管理流程，未及时发现并阻断初始入侵阶段的攻击行为。6.3.2处置过程文件加密后缀为Carver，文件名中包含加密ID及攻击者邮箱，勒索信文件为info.txt·NSFOCUS2023年度安全事件观察报告及info.hta。图6.3.1勒索信部分内容通过绿盟科技CERT自研的勒索病毒在线识别系统，判断为Phobos勒索病毒，该家族图6.3.2勒索病毒家族识别病毒程序通过写入多个系统启动目录，实现持久化驻留，导致部分未完全加密的主机在重新开机后，遭受二次感染加密。同时通过病毒文件路径分析，初步判断为域管理员账图6.3.3拷贝自身到开机自动目录通过分析某感染主机的RDP登录日志，确认攻击上一跳主机IP属于该企业的子公司。图6.3.4rdp登录日志同时发现主机上部署的火绒企业版安全软件被破坏，导致无法启动。70·NSFOCUS2023年度安全事件观察报告图6.3.5火绒服务异常通过分析攻击者投递文件的文件名，判断是由于攻击者使用具备内核权限的ARK工具删除了火绒相关核心文件。图6.3.6攻击者遗留相关工具对子公司跳板主机日志进行分析，发现攻击者在该主机上抓取了域管理员口令，并对图6.3.7域相关日志记录攻击者在退出跳板主机前，还清理了系统相关日志，以防止被追溯。71图6.3.8审核日志被删除由于虚拟化平台Vcenter口令与域管密码一致，攻击者通过重置ESXi口令，对虚拟机图6.3.9ESXi中虚拟机相关文件被加密排查互联网边界防火墙规则时，发现新上线的OA系统由于供应商测试需要，对外映射图6.3.10防火墙映射端口记录72·NSFOCUS2023年度安全事件观察报告在防火墙应用控制日志中，发现了大量来自外部的RDP爆破攻击