概述

概括來說，勒索軟件、商品加載程序（commodity loader）和高級持續(xù)性威脅（APT）主導(dǎo)了2023年的威脅格局。此外，全球沖突也影響了網(wǎng)絡(luò)安全趨勢，改變了許多威脅行為者的戰(zhàn)術(shù)和攻擊方法。

2023年，勒索軟件繼續(xù)威脅全球企業(yè)，Lockbit連續(xù)第二年成為該領(lǐng)域的頭號威脅。醫(yī)療保健行業(yè)是今年的頭號攻擊目標(biāo)，因?yàn)楣粽邔⒅攸c(diǎn)放在網(wǎng)絡(luò)安全資金受限且宕機(jī)容忍度低的實(shí)體上。

商品加載程序仍然被用來交付這些勒索軟件威脅，許多與去年相同的家族仍然普遍存在，例如Qakbot和IcedID。但是這些加載程序正在擺脫過去銀行木馬的所有殘余，因?yàn)樗鼈儗⒆陨矶ㄎ粸椤案鼒A滑的有效載荷交付機(jī)制”。開發(fā)人員和運(yùn)營商正在適應(yīng)改進(jìn)的防御，尋找新的方法來繞過不斷增加的安全更新并危及受害者。

此外，遙測數(shù)據(jù)顯示，在重大地緣政治事件期間可疑流量會大幅增加。俄羅斯的APT組織（Gamaredon和Turla）正以更快的速度瞄準(zhǔn)烏克蘭，但俄羅斯在2023年的總體活動并沒有反映出過去所見的全面破壞性網(wǎng)絡(luò)能力，這可能得益于防御者的協(xié)同努力。

總而言之，2023年的網(wǎng)絡(luò)安全主旋律可能是這樣的：隨著對手的膽識、熟練度和持久性不斷提升，防御者也在以任何可能的方式阻止他們。

攻擊戰(zhàn)略和趨勢

1.重點(diǎn)摘要

• 可疑網(wǎng)絡(luò)流量通常在重大地緣政治事件和全球網(wǎng)絡(luò)攻擊期間急劇增加。
• 與美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）近年來的調(diào)查結(jié)果一致，最常利用的漏洞是通用應(yīng)用程序中的舊安全漏洞。針對這些CVE的高頻率攻擊，加上它們的重大影響，突顯了攻擊者更傾向于針對可能造成重大破壞的未打補(bǔ)丁系統(tǒng)。
• 威脅行為者濫用常見的文件擴(kuò)展名和知名品牌實(shí)施欺詐，這些常見技術(shù)主要使用社會工程來實(shí)現(xiàn)網(wǎng)絡(luò)釣魚和商業(yè)電子郵件入侵（BEC）等操作。為響應(yīng)微軟在2022年禁用宏，攻擊者可能會使用不同的文件類型來隱藏他們的惡意軟件，比如pdf，這是今年被阻止最多的文件擴(kuò)展名。
• 在今年的Talos網(wǎng)絡(luò)攻擊中，網(wǎng)絡(luò)釣魚占了已知初始訪問媒介的四分之一，突顯了攻擊者對這種技術(shù)的持續(xù)依賴。
• 使用有效賬戶是最受關(guān)注的MITREATT&CK技術(shù)，強(qiáng)調(diào)了攻擊者對受損憑據(jù)的依賴，并在攻擊的各個(gè)階段使用現(xiàn)有賬戶。這與Talos IR數(shù)據(jù)一致，該數(shù)據(jù)顯示，在2023年，被泄露的憑據(jù)/有效帳戶占已知初始訪問向量的近三分之一。

2.最常被濫用的漏洞

2023年，網(wǎng)絡(luò)威脅攻擊者利用了常見應(yīng)用程序中的舊軟件漏洞。在許多情況下，這些漏洞已經(jīng)存在了10多年，這與CISA的發(fā)現(xiàn)相一致，即近年來，攻擊者更多地瞄準(zhǔn)了舊的安全漏洞，而不是新披露的漏洞。事實(shí)上，在研究觀察到的“前五大最常用的漏洞”中，有四個(gè)也被CISA列為前幾年經(jīng)常被利用的漏洞，這進(jìn)一步強(qiáng)調(diào)了實(shí)體組織需要定期安裝軟件更新，因?yàn)榭紤]到常用漏洞的暴露年限，可見許多這些系統(tǒng)可能未打補(bǔ)丁。

最常被濫用的漏洞存在于常見的應(yīng)用程序中，比如微軟Office。這一發(fā)現(xiàn)也得到了CISA的證實(shí)，該機(jī)構(gòu)指出，到2022年，攻擊者將優(yōu)先考慮在目標(biāo)網(wǎng)絡(luò)中更普遍的CVE。攻擊者可能會優(yōu)先針對廣泛存在的漏洞，因?yàn)獒槍Υ祟怌VE開發(fā)的漏洞可能具有長期性和高影響力。

最后且最重要的是，列表中的大多數(shù)漏洞如果被利用將會造成重大影響，其中6個(gè)漏洞獲得Cisco Kenna最高風(fēng)險(xiǎn)評分100分，7個(gè)獲得通用漏洞評分系統(tǒng)（CVSS）“高?！痹u級。大多數(shù)CVE也位列CISA的已知利用漏洞目錄，該目錄旨在告知用戶應(yīng)該優(yōu)先修復(fù)的安全漏洞。針對這些CVE的高頻率攻擊，加上它們的嚴(yán)重程度，凸顯了未打補(bǔ)丁系統(tǒng)的風(fēng)險(xiǎn)。

3.最常被濫用的附件文件擴(kuò)展名

網(wǎng)絡(luò)釣魚郵件是攻擊者最常見的攻擊方式之一，多年來一直是思科Talos IR調(diào)查結(jié)果中排名最高的威脅。僅去年一年，在Talos IR協(xié)議中確定的初始訪問向量就有25%由網(wǎng)絡(luò)釣魚組成。這一觀察結(jié)果與美國政府的調(diào)查結(jié)果一致，聯(lián)邦調(diào)查局指出，網(wǎng)絡(luò)釣魚是2022年向其互聯(lián)網(wǎng)犯罪投訴中心（IC3）報(bào)告的頭號事件。

威脅行為者通常發(fā)送未經(jīng)請求的電子郵件，要求用戶下載或打開附件來傳遞惡意軟件。攻擊者經(jīng)常試圖將惡意軟件隱藏在眾所周知的文件擴(kuò)展名下，以減少可疑，從而使用戶更有可能打開它們。例如，今年早些時(shí)候，日本的計(jì)算機(jī)應(yīng)急響應(yīng)小組（JP-CERT）警告稱，攻擊者正在將惡意Word文檔嵌入pdf文件中，以繞過檢測，這是威脅行為者多年來一直使用的一種策略。

威脅行為者的文件類型偏好也可能受到微軟2022年決定阻止宏的影響，到目前為止，攻擊者對于宏可謂嚴(yán)重依賴。有了這個(gè)變化，他們無法再像以前那樣頻繁地使用word和Excel等微軟Office文件。在2023年，研究人員發(fā)現(xiàn)商品加載程序Ursnif首次將惡意PDF附件合并到他們的網(wǎng)絡(luò)釣魚操作中，因?yàn)樵搮⑴c者和其他組織正在尋找避免依賴宏的方法。

4.最常被濫用的頂級品牌

網(wǎng)絡(luò)犯罪分子和其他惡意行為者嚴(yán)重依賴社會工程策略來危害用戶，這就是他們通常會在網(wǎng)絡(luò)釣魚電子郵件中模仿知名公司的原因。例如，Emotet、Qakbot和Trickbot等商品加載程序經(jīng)常使用虛假銀行對賬單或發(fā)貨通知作為釣魚主題，以偽造合法性。

商業(yè)電子郵件入侵（BEC）行動也利用偽造的公司名稱來提高合法性。BEC是一種騙局，網(wǎng)絡(luò)犯罪分子向看似來自已知來源的目標(biāo)發(fā)送電子郵件，并提出合法請求。其目的是促使目標(biāo)向威脅行為者進(jìn)行未經(jīng)授權(quán)的資金轉(zhuǎn)移。威脅行為者可能會冒充知名和值得信賴的品牌來欺騙用戶。根據(jù)聯(lián)邦調(diào)查局的數(shù)據(jù)，BEC近年來呈上升趨勢，并在2022年造成了27億美元的損失。

5.頂級MITRE ATT&CK技術(shù)

值得注意的是，在Top 20 最常見MITRE ATT&CK技術(shù)中，有近三分之一屬于防御逃避戰(zhàn)術(shù)，這表明攻擊者正在將大量資源投入到攻擊鏈的這一階段。與特權(quán)升級和持久性相關(guān)的技術(shù)排名也很高，突出了它們在攻擊生命周期中的重要性。

劫持執(zhí)行流（Hijack execution flow）是最常見的技術(shù)，出現(xiàn)的頻率幾乎是第二名（有效賬號）的兩倍。劫持執(zhí)行流指的是參與者盜用操作系統(tǒng)在目標(biāo)端點(diǎn)上運(yùn)行程序的方式。DLL側(cè)加載是一個(gè)常見的例子，通過這種方式，參與者基本上可以將他們的惡意軟件放置在受害者應(yīng)用程序旁邊，這樣當(dāng)程序搜索其合法DLL時(shí)，它也會不知不覺地執(zhí)行惡意負(fù)載。對于攻擊者來說，這是一種有效的方法，可以將他們的活動隱藏在合法和可信的軟件下，APT和網(wǎng)絡(luò)犯罪分子非常愛用這種技術(shù)。

使用“有效帳戶”是排名第二的常見技術(shù)，強(qiáng)調(diào)了攻擊者對受損憑據(jù)和使用現(xiàn)有帳戶的依賴。參與者使用這種技術(shù)來實(shí)現(xiàn)攻擊鏈的各個(gè)階段。商品加載程序也經(jīng)常為此目的部署竊取信息的惡意軟件。與此相關(guān)的是，來自密碼存儲的憑據(jù)也排在前五名，這進(jìn)一步凸顯了攻擊者對獲取用戶憑據(jù)的關(guān)注。這些發(fā)現(xiàn)與Talos IR數(shù)據(jù)一致，該數(shù)據(jù)顯示，在2023年，被泄露的憑據(jù)/有效賬戶占已知初始訪問向量的近四分之一。

“資源劫持”排在前10位，這是一種與加密貨幣挖礦惡意軟件部署相關(guān)的技術(shù)，它通過劫持端點(diǎn)的處理能力來獲取利潤。加密貨幣挖礦威脅非常普遍，因?yàn)檫@是一種低級類型的攻擊，通常由不成熟的攻擊者執(zhí)行。

勒索軟件和敲詐勒索

1.重點(diǎn)摘要

勒索軟件和預(yù)勒索軟件（pre-ransomware）事件繼續(xù)以一致的速度影響客戶——與去年一樣，總共占Talos IR事件的20%——醫(yī)療保健是最受攻擊的垂直行業(yè)。

LockBit連續(xù)第二年成為最多產(chǎn)的勒索軟件即服務(wù)（RaaS）團(tuán)伙，這與CISA的評估一致，即它是部署最多的勒索軟件變體。此外，lockbit也是今年TalosIR中最常見的勒索軟件威脅之一，占所有勒索軟件的25%以上。

ALPHV、Clop和BianLian也在威脅領(lǐng)域占據(jù)主導(dǎo)地位，占暗網(wǎng)威脅者網(wǎng)站上公布的所有勒索軟件和/或數(shù)據(jù)勒索的另外四分之一。

Clop附屬機(jī)構(gòu)一直在利用零日漏洞，考慮到開發(fā)此類漏洞所需的專業(yè)知識、人員和訪問權(quán)限，這是一種非常不尋常的策略，表明該組織擁有只有APT才能匹敵的復(fù)雜程度和/或資源。

新的勒索軟件變體正在出現(xiàn)，利用從其他RaaS組泄露的源代碼，允許不太熟練的參與者進(jìn)入該領(lǐng)域。

黑客比以往任何時(shí)候都更傾向于數(shù)據(jù)勒索，這是Talos IR在2023年第二季度（4月至6月）應(yīng)對的最大威脅。數(shù)據(jù)竊取勒索看起來與預(yù)勒索軟件（pre-ransomware）的活動非常相似，給防御者帶來了挑戰(zhàn)。

一些行為者完全放棄使用勒索軟件，轉(zhuǎn)而選擇單純的敲詐勒索，這一趨勢可能受到正在進(jìn)行的執(zhí)法行動、更好的行業(yè)檢測和更低的運(yùn)營成本的影響。

2.勒索軟件攻擊仍在穩(wěn)步發(fā)展

勒索軟件和預(yù)勒索軟件占今年Talos IR響應(yīng)的所有事件的20%，與去年相比略有下降。醫(yī)療保健和公共衛(wèi)生部門是今年Talos IR勒索軟件和預(yù)勒索軟件攻擊中最具針對性的垂直領(lǐng)域。

醫(yī)療保健組織非常容易受到網(wǎng)絡(luò)攻擊，因?yàn)樗鼈儾粌H網(wǎng)絡(luò)安全預(yù)算不足，而且停機(jī)容忍度很低。近年來，COVID-19大流行可能加劇了這種情況，醫(yī)療保健提供者在資源方面感到緊張，停機(jī)時(shí)間更加難以忍受。

3.LockBit仍是頭號威脅

LockBit連續(xù)第二年成為最活躍的RaaS組織，占數(shù)據(jù)泄露網(wǎng)站帖子總數(shù)的25%以上。今年，LockBit、ALPHV、Clop和BianLian占了泄露網(wǎng)站帖子總數(shù)的近50%。

LockBit在2023年繼續(xù)實(shí)施了大量的勒索軟件操作，這一發(fā)現(xiàn)與CISA的評估一致，即它是部署最多的勒索軟件變體。LockBit攻擊可能極具影響力，影響組織的IT和OT、負(fù)責(zé)物理過程的硬件和設(shè)備。10月，CISA發(fā)布了OT環(huán)境保護(hù)指南，再一次強(qiáng)調(diào)了LockBit對這些系統(tǒng)的重大影響。

4.勒索軟件領(lǐng)域仍然充斥著新的和重命名的組織

勒索軟件團(tuán)伙不斷重塑品牌和/或人員流動是今年的一個(gè)顯著趨勢。勒索軟件源代碼和構(gòu)建器（創(chuàng)建和修改勒索軟件必不可少的組件）的多次泄露對勒索軟件威脅環(huán)境產(chǎn)生了重大影響。這些漏洞使勒索軟件運(yùn)營商能夠重新命名，或者使不成熟的攻擊者能夠更容易地生成自己的勒索軟件，而無需付出多少努力或了解多少知識。隨著越來越多的參與者進(jìn)入該領(lǐng)域，Talos看到越來越多的勒索軟件變種利用泄露的勒索軟件代碼重現(xiàn)，從而導(dǎo)致更頻繁的攻擊和對網(wǎng)絡(luò)安全專業(yè)人員和防御者的新挑戰(zhàn)。

基于泄露源代碼的新勒索軟件變種的數(shù)量也突顯了攻擊者利用這種公開資源的速度。最近，研究觀察到來自Yashma勒索軟件構(gòu)建器的新勒索軟件菌株激增。Yashma首次出現(xiàn)于2022年5月，是2022年4月泄露的Chaos勒索軟件構(gòu)建器（v5）的重新命名版本。自2023年初以來，多個(gè)新的Yashma菌株（包括ANXZ和sirattacker）出現(xiàn)，它們很可能是由規(guī)模較小或資源較少的附屬機(jī)構(gòu)部署的，因?yàn)樗鼈冊谶@一領(lǐng)域缺乏廣泛的應(yīng)用和知名度。

今年4月，研究發(fā)現(xiàn)了一個(gè)新的勒索軟件行為者RA Group，他們基于泄露的Babuk源代碼部署了自己的勒索軟件變種。自Babuk組織的一名成員于2021年9月泄露了其勒索軟件的完整源代碼以來，基于泄露代碼的多個(gè)新變種已經(jīng)出現(xiàn)，包括esxiargs、Rorschach和RTM Locker。

雖然這些威脅形勢的變化在很大程度上使附屬機(jī)構(gòu)受益，但安全研究人員和防御者在訪問泄露代碼方面也具有優(yōu)勢。它允許安全研究人員分析源代碼，了解攻擊者的TTP，并開發(fā)有效的檢測規(guī)則，潛在地幫助創(chuàng)建密碼并增強(qiáng)安全產(chǎn)品對抗勒索軟件威脅的能力。

5.附屬機(jī)構(gòu)從部署勒索軟件轉(zhuǎn)向數(shù)據(jù)盜竊勒索

雖然RaaS選項(xiàng)的數(shù)量不斷增加，但一些組織開始從部署勒索軟件轉(zhuǎn)向單純的數(shù)據(jù)盜竊勒索。在這些勒索案例中，攻擊者會直接竊取受害者的數(shù)據(jù)，而不加密。這樣就消除了常見的“雙重勒索”策略，攻擊者僅僅依靠泄露信息進(jìn)行威脅，而不是要求支付贖金來解鎖文件。這一趨勢也反映在Talos IR業(yè)務(wù)中，勒索是2023年第二季度最常見的威脅，幾乎占所見威脅的三分之一，比上一季度（1月至4月）增加了25%。

幾個(gè)著名的勒索軟件團(tuán)伙——包括babuk、BianLian和Clop——都選擇了數(shù)據(jù)盜竊勒索而非勒索軟件，這與這些組織典型的勒索軟件攻擊鏈不同。

促成這種轉(zhuǎn)變的因素有很多。其一，美國和國際執(zhí)法部門一直在積極追查勒索軟件，對知名組織進(jìn)行了重大破壞；其二，端點(diǎn)檢測和響應(yīng)（EDR）功能的進(jìn)步成為威脅者尋求部署勒索軟件和加密數(shù)據(jù)的重大障礙。

6.一些勒索軟件組織在積極利用零日漏洞

雖然今年許多缺乏經(jīng)驗(yàn)的攻擊者依賴于代碼重用，但研究也繼續(xù)看到高度復(fù)雜的運(yùn)營商以前所未有的速度利用零日漏洞，突出了該領(lǐng)域參與者和TTP的廣泛技術(shù)多樣性。一旦漏洞公開，以投機(jī)取巧著稱的勒索軟件攻擊者就會迅速加以利用。當(dāng)知名的勒索軟件組織Clop聲稱對某個(gè)零日漏洞利用負(fù)責(zé)時(shí)，其他勒索軟件附屬機(jī)構(gòu)也會迅速跟進(jìn)，在發(fā)布補(bǔ)丁之前掃描受影響的系統(tǒng)。

今年4月，在打印管理軟件公司papercut意識到clop正在利用未打補(bǔ)丁的服務(wù)器后不久，其他勒索軟件組織也開始利用關(guān)鍵的遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2023-27350）作為其攻擊鏈的一部分。

鑒于開發(fā)這種能力所需的資源，作為勒索軟件組織的Clop能夠反復(fù)努力利用零日漏洞是非常不尋常的。2023年就出現(xiàn)了很多這樣的例子，當(dāng)時(shí)Clop勒索軟件組織利用一個(gè)零日漏洞（CVE-2023-0669）發(fā)起了一場攻擊GoAnywhere MFT平臺的活動。今年5月，Clop聲稱對涉及另一個(gè)零日漏洞（CVE-2023-34362）的攻擊負(fù)責(zé)，該漏洞影響Progress Software的文件傳輸解決方案MOVEit transfer。

7.執(zhí)法行動改變RaaS格局

勒索軟件組織經(jīng)歷了多次中斷，迫使他們適應(yīng)和/或加入其他RaaS組織。2023年1月，美國司法部宣布已經(jīng)瓦解了Hive勒索軟件組織。到1月下旬，數(shù)據(jù)顯示Hive的數(shù)據(jù)泄漏站點(diǎn)出現(xiàn)了普遍的下降。

當(dāng)勒索軟件基礎(chǔ)設(shè)施被破壞時(shí)，運(yùn)營商通常會繼續(xù)與其他組織合作，為執(zhí)法部門和網(wǎng)絡(luò)防御者創(chuàng)造一種“打地鼠”的場景。例如，當(dāng)Hive的基礎(chǔ)設(shè)施被破壞時(shí)，許多前Hive成員試圖在破壞后的幾天內(nèi)加入其他勒索軟件組織。這為防御者將活動歸因于特定團(tuán)體帶來了復(fù)雜性，因?yàn)門TP在團(tuán)體之間保持一致。

高級持續(xù)性威脅

1.俄羅斯篇：重點(diǎn)摘要

俄羅斯政府支持的APT組織Gamaredon仍然是針對烏克蘭的主要威脅參與者。

2023年，Gamaredon的主要目標(biāo)是北美和歐洲的實(shí)體。此外，超過一半的目標(biāo)實(shí)體位于交通和公用事業(yè)部門，這反映了俄羅斯對關(guān)鍵基礎(chǔ)設(shè)施的關(guān)注。

另一個(gè)隸屬于俄羅斯政府的APT組織Turla，在2022年9月至2023年2月期間基本活躍，但在2023年5月前后活動大幅減少，與美國司法部對Turla的Snake惡意軟件的破壞相吻合。

受影響領(lǐng)域的數(shù)量和受害者數(shù)量在這兩個(gè)群體之間存在巨大差異，這與Gamaredon的廣泛目標(biāo)與Turla針對高度選擇性受害者的有限活動形成了鮮明對比。

除了Gamaredon和Turla的活動外，研究還觀察到在4月底和5月初，SmokeLoader（各種不同組織使用的惡意軟件）活動激增。

2.中東篇：重點(diǎn)摘要

2023年10月初，哈馬斯和以色列之間發(fā)生的事件促使多個(gè)出于政治動機(jī)的黑客組織對雙方發(fā)動了未經(jīng)協(xié)調(diào)的、簡單的攻擊，類似于在俄烏戰(zhàn)爭開始時(shí)所觀察到的情況。

中東復(fù)雜的地緣政治環(huán)境繼續(xù)影響未來的網(wǎng)絡(luò)格局。在中東擁有經(jīng)濟(jì)和政治利益的主要網(wǎng)絡(luò)參與者（如伊朗）可能更有動力通過直接或代理行動來影響結(jié)果。

總部位于中東的APT集團(tuán)主要以該地區(qū)的電信公司為目標(biāo)。作為此活動的一部分，研究人員已經(jīng)確定了一個(gè)新的入侵集 ShroudedSnooper, 及其針對相關(guān)實(shí)體部署的新植入物——HTTPSnoop和PipeSnoop。

與前幾年相比，伊朗政府支持的MuddyWater APT組織對常用同步工具（對遠(yuǎn)程訪問和惡意軟件部署必不可少）的依賴減少了，這可能是為了應(yīng)對網(wǎng)絡(luò)安全行業(yè)針對已知MuddyWater TTP的行動。

商品加載程序

重點(diǎn)摘要：

• Qakbot、Ursnif、Emotet、Trickbot和icedid等商品加載程序代表了一些最具影響力和最普遍的威脅，因?yàn)楣粽咄ǔＲ蕾囁鼈儊韺?shí)現(xiàn)其操作的關(guān)鍵部分。它們作為信息竊取程序、勒索軟件和其他惡意軟件的下載程序，是威脅環(huán)境中的中流砥柱，無差別地影響著全球的實(shí)體。
• 所有這些加載程序以前僅作為銀行木馬發(fā)揮作用，近年來開發(fā)人員已將其功能多樣化，以支持更高級的操作。2023年，新版本的IcedID、Ursnif和qakbot似乎是專門為勒索軟件參與者量身定制的，增強(qiáng)了偵察功能，刪除了可能觸發(fā)反病毒檢測的功能，并被勒索軟件組織和初始訪問代理快速采用。
• 微軟默認(rèn)禁用宏導(dǎo)致商品加載程序開始尋求新的方法來悄悄地使用宏，或完全避免使用它們。Qakbot操作人員使用各種文件類型、腳本語言、打包器和漏洞來部署加載程序。Emotet、IcedID和Ursnif也改變了它們的技術(shù)，不過與Qakbot相比頻率較低，且仍然傾向于依賴較老的TTP。
• 在僵尸網(wǎng)絡(luò)被拆除后，要根除商品加載程序的威脅可能是一項(xiàng)挑戰(zhàn)，因?yàn)楸娝苤?，開發(fā)人員會繼續(xù)代表不同的惡意軟件組織進(jìn)行操作，或者重建他們的僵尸網(wǎng)絡(luò)。此外，以前被破壞的基礎(chǔ)設(shè)施可能會被其他威脅參與者用于惡意活動。

原文鏈接：https://blog.talosintelligence.com/content/files/2023/12/2023_Talos_Year_In_Review.pdf