奇安信BCS 2021重磅发布:全球高级持续性威胁(APT)2021年中报告

发布时间:2022年05月10日
       8月26-28日, 2021北京网络安全大会(BCS2021)正式举行。期间, 在TIINSIDE生态联盟发布会上, 奇安信要挟情报中心发布了《全球高档继续性要挟(APT)2021年中陈述》(以下简称《陈述》), 体系总结了本年上半年首要进犯活动, 及其背面所呈现出的ATP进犯新态势。APT进犯活动最漆黑的半年《陈述》指出, 2021年上半年以来, 被曝光的APT安排运用的在野0day缝隙数量猛然剧增, 呈现的频次之高历年稀有, 其间Windows操作体系、Chrome浏览器、AdobeReaderPDF阅读器等具有独占位置的体系和产品均受到了不同程度的影响。在《陈述》看来, 跟着网络兵器威力和进犯规划的继续增大, 本年上半年也许是近年来APT进犯活动最漆黑的半年。在愈演愈烈的APT进犯中, 一个新的趋势是, APT进犯团伙进犯方针开端愈加侧重于在供应链中担任供给服务的公司。例如, 上一年12月, 黑客在针对网管软件供给商SolarWinds发动了供应链进犯, 在软件更新包中植入了后门程序, 全球超越18000家安排都受到了此次事情的影响;又例如, 全球航空电信协会SITA——办理着全球超越400家航空公司的机票和旅客数据处理, 便曾在本年3月宣告服务器被黑客经过高度杂乱的进犯手法侵略。而在国内, 奇安信要挟情报中心也曾监测到多起安全公司被侵略形成的供应链进犯事情。不过, 相比之下, 常用软件包含安全软件或办理渠道自身的服务器被侵略导致供应链进犯的事情仍旧为干流。并且, 为了盗取新的0day缝隙加以运用, APT安排开端测验凭借社会工程学来进犯安全研讨人员。相关进犯手法包含仿制虚拟安全人员身份、树立含浏览器0day缝隙的安全剖析博客、经过社会工程学与别人树立联络以发送含歹意代码的缝隙运用工程等, 令人防不胜防。俗话说“道高一尺, 魔高一丈”, 在同APT安排的对立中, 安全厂商也逐步总结出了新的办法论。例如, 在Solarwinds事情产生后, 美国联合多个安全厂商相同进行了集中式的复盘剖析, 并从中找出很多进犯头绪并提出各类解决方案。未来, 类似这样的复盘剖析或将成为处置APT事情的惯例办法。在野0day狂潮下的APT进犯活动无论如何, 针对性减轻在野0day缝隙危险, 仍是现阶段抵挡APT进犯的燃眉之急。
       《陈述》显现, 仅2021年上半年, APT安排在野运用的0day缝隙数量超越40个, 在网络安全历史上可谓空前。并且, 这种进犯呈现出“以Windows渠道为根底, Chrome/Safari浏览器为干流向着多渠道延伸”的趋势。以WindowsDefender最新爆出的0day缝隙Achilles——阿克琉斯为例, 该缝隙为WindowsDefender在指令模仿履行进行Asprotect解压过程中的一处堆溢出缝隙, 若成功运用, 将在未打补丁的方针机器上导致长途代码履行。简略来说, WindowsDefender会默许在后台继续扫描样本, 因而当不知道APT安排将样本投递(邮件下发或浏览器运用)到默许运用WindowsDefender作为杀软的用户时将触发缝隙,

并直接履行歹意代码。除此之外, Windows操作体系、WindowsExchangeServer、MicrosoftOffice、AdobeReader、IOS、Android等干流渠道和产品, 也都先后因在野0day缝隙而被ATP安排进犯。
       在此根底上, 可以预见的是, 接下来的整个2021年应该是在野0day缝隙运用迸发的一年, 而0day缝隙也将更广泛的被用于高档要挟进犯中。值得一提的是, 从地缘散布来看, 现在活跃度最高的ATP安排竟然散布在东欧区域。其间, 一个显著标志是, Solarwinds供应链事情中运用歹意软件与东欧区域APT29安排的歹意软件Kazuar在代码方面高度类似。根据此, US-CERT(美国疆土安全部计算机紧迫业务呼应小组)直接将其认定为Solarwinds供应链事情的暗地首恶。除此之外, 东亚、东南亚、南亚次大陆和中东区域, 也是ATP安排活跃度较高的区域, 需求分外留心。总结从2021年上半年产生的APT进犯活动不难发现, 全球APT安排为达到进犯意图不吝花费巨额资金和人力本钱, 比方投入运用价值不菲的很多高价值0day缝隙等。
       在此根底上, 0day缝隙或是更为杂乱的木马势必会不断呈现, ATP安防局势也将继续面对检测。为此, 奇安信早在2015年便成立了要挟情报中心, 专心于APT进犯类高档要挟的研讨。据悉, 要挟情报中心红雨滴是国内首个发布并命名“海莲花”(APT-C-00, OceanLotus)APT进犯团伙的安全研讨团队, 也是当时奇安信要挟情报中心的主力要挟剖析技能支撑团队。依托全球抢先的安全大数据才能、多维度多来历的安全数据和专业剖析师的丰厚经历, 红雨滴团队可以完成高效的要挟发现、丢失评价及处置主张供给, 一起也为大众和监管方输出事情和团伙层面的全面高档要挟剖析陈述。自创建以来, 红雨滴团队已发现多个在我国境内活动的ATP团伙, 并发布国内首个团伙层面的APT事情揭穿陈述, 创始了国内APT进犯类高档要挟体系化揭穿的先河, 现在已经成为国家级网络攻防的焦点。跟着互联网在国民经济建造中的重要性进一步凸显,

网络安全建造的权重也将随之提高。
       作为我国企业级网络安全商场的领军者, 未来奇安信将秉持“数据驱动安全”的技能思维, 根据内生安全结构, 迭代式推出新的产品和服务, 挖深筑牢网络安全的护城河。