FortiGuard Labs 半年度报告 -全球威胁态势研究报告 2023

3 3 5 6从漏洞利用预测到威胁爆发 8 9源自终端遥测的技术洞察 2参与者的运作方式与传统企业运营模式非常相似，具有明确的岗位职责、可交付成果和业务目标。凭借以往漏洞利用手段恶意行为者的攻击技术复杂性显著提升，攻击频次和复杂程度均有所升级，这一趋势在网络安全领域尤为明显4.8%JunJun4.0%4%Jan不减，与年初相比，攻击数量超13不减，与年初相比，攻击数量超133然而，尽管威胁态势不断变化，但不意味着防御者只能坐以待毙。在本报告中，我们对漏洞进行了深入剖析，并基于了补丁修复优先级建议。此外，我们发现许多威胁活动采用的攻击战术和技术似曾相识，这一观察为实施针 Turla可能是目前现有黑客团体中技能最娴熟的威胁组织之一。近二十年来，Turla曾以多种别名（Snake、VPython等）展开活动，并与超45起备受瞩目的攻击活面影响。多年来，即便受到严密监控和高度重视，Turla成员仍然而，令人感到些许宽慰的是：过去半年间，APT组织的攻击活动仅对小部分勒索软件已盘踞网络长达数十年之久。但近年来， 年，这一比例已降至13%。然而令人担忧的是，当前攻击活动显著减少并不意味着勒索软件活动正逐渐消退。相反，这可能是攻击更为集中的信号。因为勒索软件团伙正试图采用适用性更强、更复杂的Playbook发起更具针对性的攻4加密矿工信息窃取者勒索软件加密矿工信息窃取者勒索软件TofseeLemonDuckRedLinestealerAmadeySmokeLoaderKRBankerLockbitSTOPRansomwareTargetCompanyRansomwareGandCrabBlackMatterRansomwareTeslaCryptSodinokibiCubaRansomwareAgentTeslaEmotetCobaltStrikeOceanLotus 上图未列出的一类勒索软件为Wiper（雨刷）我们同样观察到，网络犯罪分子使用此类恶但这种假设是事实还是虚言？有时回首审视长期发展趋势至关重要，我们将因此获取观察当前威胁态势的有利视角。接.5每个传感器平均检测4.3个活跃僵尸网络遭受入侵平均天数为83天18个恶意软件家族波及≥1/10的组织过去五年间，特定漏洞检测数量增加了68%。这一数据表明，相比以往，表明攻击者数量正成倍增加，并采用多样化战术发起漏洞利用活动。但与此同时，我们观察到针对每个组织的漏漏洞利用尝试攻击数量的下降令威胁态势看似好转，但这一数据从另一方面表明，攻击者正伺机发动更具针对性的软件家族数量（关键流行阈值）翻倍。毫无随着这些对手的攻击手段变得越来越具有针对性、精确性和破坏性，意味着威胁态势逐渐升级，与多数现代恶意软件家族均已创建针对命令和控制（C2）通信的僵尸网络。），僵尸网络攻击趋势持续上升，其真正的幕后推手离不开“活跃天数”的显著增捕获”之间的时间。该指标衡量的是在前次入侵尝试失败后改变攻击路线前检测该指标可得出成功检测此类活动的传感器所需的“成功检测和消除”威胁的平均时间五年中僵尸网络攻击变得更具持久化。纳入“僵尸网络武器带”的漏洞和漏洞利6未在终端上观察到我们还发现，处于受攻击状态的漏洞比例可能因平台而异，如下图所示，最EPSS百分比排名爆6月14日：添加至Intri漏添公开发布号EPSS百分比排名爆6月14日：添加至Intri漏添公开发布号显而易见，组织在漏洞发布后仍努力快速进行漏洞修复，但网络犯罪分子同样试图加紧发起漏洞利用攻击。因此，级时，制定更为合理的决策至关重要。确定优先级时应考虑每个平台的差异，然而在预测哪些开放漏洞可能在不久的 漏洞管理团队可使用EPSS帮助安全团队确定修复工作优先级。但EPSS同样支持威胁情报工作，以跟踪漏洞从最初披露到在野漏洞爆发的进展情况。这也是我们在本报告中重点探究的用例。如果将EPSS数据得分低于此得分中97中978%的CVE得分得分tasploit模块发布低于此.得分6月21日：添加至Nuclei6月13洞利用N洞利用VD添加详细信息警告发观察用胁tiCISA将CVE添加至KEV签名。在该案例中，EPSS评分为Fortinet分析师的预期分析提供了独立验证，并帮助我们在这一新兴威胁快速演进期间始终料敌于传感器检测到这些漏洞均被利用。对于每个CVE，我们确定了从漏洞利用披露到首次被观察到的时间以及相应的EPSS评分简言之，我们发现，在预测哪些漏洞可能被利用及其利用速度时，EPSS评分数据至关重要。在披露后7日内，EPSS评分最高的漏洞（前1%）中有22%出这意味着，EPSS评分前1%的CVE需立即给予关注，因为其在一周内发生漏洞利用的可能性是多数其他已知漏洞经过约六个月不间断的数据处理，基于Fortinet超1000万个全球的传感器采用机器学习（ML）技术将原始解决方案组合深入分析检测到的恶意负载，观察和识别揭露其潜在意图的细微恶意行为。通过此过程生成的威胁洞察请注意，本报告内容仅基于部分而非全部解决方案。在特定攻击技术检测方面，不同安全解决方案具有其独特的初始访问执行持久化权限提升防御绕过ApplicationApplicationApplicationApplication如图所示，以上检测数据体现了跨ATT&CK框架的全面可见性。纵列重点描述了每经观察发现，在初始访问阶段，攻击者最常采用的技术是通过可移动媒介进行经我们分析的多数恶意负载均可能通过该方法进行传播。当Windo中也观察到这一趋势。目前，许多攻击者已不再依赖用户交互实现代码执行。保护组织免受该攻击技术侵害的一种有效方利用面向公众的应用程序（初始访问）输入捕获输入捕获输入捕获防御绕过漏洞利用（防御绕过）操作系统凭据转储操作系统凭据转储操作系统凭据转储系统二进制代理执行（防御绕过）系统二进制代理执行（防御绕过）输入捕获利用面向公众的应用程序（初始访问）输入捕获输入捕获输入捕获防御绕过漏洞利用（防御绕过）操作系统凭据转储操作系统凭据转储操作系统凭据转储系统二进制代理执行（防御绕过）系统二进制代理执行（防御绕过）输入捕获利用面向公众的应用程序（初始访问）防御绕过漏洞利用（防御绕过）利用面向公众的应用程序（初始访问）利用面向公众的应用程序（初始访问）操作系统凭据转储淆战术，从API调用到内存中的字符串。鉴于沙箱解决方案在本地以及作为软件即能。此外，这些技术还可集成至CobaltStrike、Metasploit资产发现和横向移动阶段表现出共生关系；资产发现技术使用的增加导致受感染环境中的威胁横向移动攻击加效的防御策略之一是确保拥有对网络流量的适当可见性和控制能力，因为这些阶段往往涉及多种攻击技术，采取适当收集数据到入侵影响阶段，攻击技术几乎未出现明显变组织同时也部署了某种形式的沙箱技术，因此可以肯定，EDR工进程注入进程注入进程注入进程注入进程注入进程注入利用面向公众的应用利用面向公众的应用程序（初始访问）防御绕过漏洞利防御绕过漏洞利用（防御绕过）输入捕获输入捕获操作系统凭据转储操作系统凭据转储在所有检测月份中，第二和第三大常用技术为凭据访问：输入捕获。潜在威胁参与者使用该技术，可试图拦截用户信息或通过在内存中查找凭据来收集数据。在常规系统交互期间，用户通常会在各种端点之间，如身份验证门户或系最后，我们将防御绕过和初始访问列为另两大常用漏洞利用技术，这两类技术的在野触发数量几乎相同。不法分LLM（用于快速处理大型数据集的大型语言模型，以快速查明入侵威胁网络犯罪分子永远不会错过获利良机。近年来，诸如者将持续挖掘新的漏洞利用机会，并采用更复杂的攻击技术渗透网络。然而，庆幸的是，过去几个月间，防御者对威然而，随着攻击者运营模式的不断演进，评估和增强组织内的网络防御策略以领先于潜在威胁至关重要。从使用和共为有效应对日益复杂和数量激增的网络威胁，共享和利用威胁情报已成为组织防御策今日，该组织对于在全球范围内有效打击网络犯罪至关重要。然而，面对构建信任和机密性、确保数据标准化并管理海情报共享复杂化的部分障碍，CTA不仅成功应对了这些挑战，团结了全球网络 26器学习（ML）、深度学习（DL）和高级分若想料敌于先并先发制敌，就必须重新审视并调整当前流程。如重新定义安全团队的职欺骗技术、安全编排、自动化和响应（SOAR）希望我们所创建的报告能够对您有所助益。众所周知，网络安全有时可能表现地极为复杂。然而，该领域不乏鼓舞人心、热情洋溢的个人和团体，他们孜孜不倦地工作，为网络安全社区提供创新和简化解决方案，以增强整体安全态势。打击网络犯罪是一项任务艰巨且任重道远的挑战，作为网络安全行业的一员，我们已做好充分的防御和对抗准备。强化公共和私营部门之间共享威胁情报的伙伴关系，对于有效打击网络战争至关重要。威胁情报必须通过全面的Playbook立即采取遏制行动，在共享、应对和报告方面，如果没有标准可言，挑战无疑会加剧。然而，威胁情报共享是确保无摩擦、及时有效响应的关键因素。我们坚信，当下的防御者一旦拥有充足的安全工具、专业知识和技能支持等料敌于先的有力反制措施，即可改变当前所处的攻击劣“MITREATT&CKMatrixforEnterprise,”MITRE,2015–2023.DouglasJosePereiradosSantos,“2H2022GlobalThreatLandscapeReport:KeyInsightsforCISOs,”Fortinet,March3,2023.“2H2022GlobalThreatLandscapeReport,”Fortinet,March3,2023.GeriRevay,“TheYearoftheWiper,”Fortinet,January24,2023.DerekManky,“TheLatestIntelonWipers,”Fortinet,March23,2023.DouglasJosePereiradosSantos,“2H2022GlobalThreatLandscapeReport:KeyInsightsforCISOs,”Fortinet,March3,2023.“ExploitPredictionScoringSystem,”FIRST.org,2015-2023.JamesSlaughter,FredGutierrez,andShunichiImano,“MOVEitTransferCriticalVulnerability(CVE-2023-34362)Exploitedasa0-Day,”Fortinet,June8,2023.“ThreatSignalReport:MOVEitTransferCriticalVulnerability(CVE-2023-34362),”FortiGuardLabs,June2,2023.“EPSSAPI,”FIRST.org,2015–2023.“ReplicationThroughRemovableMedia,”“IPSThreatEncyclopedia:Raspberry.Robin.Worm,”FortiGuardLabs,July14,2022.“IncreasedTruebotActivityInfectsU.S.andCanada-BasedNetworks,”CybersecurityandInfrastructureSecurityAgency,July6,2023.“ExploitationforClientExecution,”MITREATTFortinetFollinaBlogPosts,accessedJuly27,2023.“HijackExecu