亞信安全:2024年第一季度安全威脅報(bào)告_第1頁
亞信安全:2024年第一季度安全威脅報(bào)告_第2頁
亞信安全:2024年第一季度安全威脅報(bào)告_第3頁
亞信安全:2024年第一季度安全威脅報(bào)告_第4頁
亞信安全:2024年第一季度安全威脅報(bào)告_第5頁
已閱讀5頁,還剩81頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

《亞信安全2024年第一季度網(wǎng)絡(luò)安全威脅報(bào)告》的發(fā)布旨在從一個(gè)全面的視角解析當(dāng)前的網(wǎng)絡(luò)安全威脅環(huán)境。此報(bào)告通過詳盡梳理和總結(jié)2024年第一季度的網(wǎng)絡(luò)攻擊威脅,目的是提供一個(gè)準(zhǔn)確和直觀的終端威脅感知。幫助用戶更好地識別網(wǎng)絡(luò)安全風(fēng)險(xiǎn),并采取有2024年第一季度,亞信安全積極應(yīng)對威脅,共截獲了8,378,240個(gè)惡意樣本,平均每天2024年第一季度,亞信安全攔截勒索軟件攻擊共計(jì)12,603次,從全球攔截?cái)?shù)量分析,科威特位居勒索軟件感染數(shù)量首位,占比達(dá)到36%,其次是土耳其和阿拉伯聯(lián)合酋長國。從勒索攻擊行業(yè)分析,全球銀行業(yè)以29%的比重居首位,其次是科技行業(yè)和政府。亞信安全持續(xù)追蹤“銀狐”組織,發(fā)布了“銀狐”治理方案。依托于技術(shù)、人員和服務(wù),估企業(yè)暴露的外部攻擊面,協(xié)助摸清家底、及時(shí)收斂外部風(fēng)險(xiǎn)資產(chǎn)、排查敏感數(shù)據(jù)泄密風(fēng)險(xiǎn)。模擬入侵攻擊行為,驗(yàn)證現(xiàn)有安全防護(hù)體系的防護(hù)能力,包括釣魚郵件、郵亞信安全勒索攻擊演練服務(wù)重磅發(fā)布。亞信安全通過分析歷年勒索攻擊事件,提取不同勒索團(tuán)伙在勒索各階段常用的攻擊手段,孵化出一系列勒索攻擊場景,通過模擬勒 -2- -3- -4- -35- -42- 病毒檢測情況40,000,00035,000,00034 30,000,00025,000,000病毒檢測情況40,000,00035,000,00034 30,000,00025,000,0002350682120,000,00010,000,000692760660522715,000,0042822503642615205638826792372024年第一季度網(wǎng)絡(luò)安全威脅分析一、2024年第一季度共攔截838萬個(gè)惡意樣本2024年第一季度,亞信安全積極應(yīng)對威脅,共截獲了8,378,240個(gè)惡意樣本,平均每天攔截9萬個(gè)惡意樣本。這些惡意樣本包括各種惡意軟件、病毒、木馬等,它們的目標(biāo)是危害個(gè)人用戶、企業(yè)組織和公共機(jī)構(gòu)的計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)。與上個(gè)季度相比,第一季度攔截的防御手段。這需要密切關(guān)注新的攻擊技術(shù)和威脅趨勢,并及時(shí)采取相應(yīng)措施,例如實(shí)時(shí)【2023年4月--2024年3月惡意樣本月攔截?cái)?shù)量圖】從惡意樣本檢測類型來看TROJ(木馬程序)以57%的比重位居首位,其次是PE(感染型病毒)、Adware(廣告軟件)、Mal(惡意軟件)和WORM(蠕蟲病毒)。這些病毒類型有其特定的功能和攻擊方式。木馬程序通常偽裝成合法軟件,秘密執(zhí)行惡意活動(dòng),例如竊取個(gè)人信郵件或下載不安全文件時(shí)感染系統(tǒng)。廣告軟件則通過彈出廣告來干擾用戶,有時(shí)還會(huì)監(jiān)控用戶行為以投放定向廣告。而廣義上的Mal包括各類惡意軟件,它們可能具有破壞數(shù)據(jù)、EXPL(漏洞利用)EXPL(漏洞利用)竊取憑證或創(chuàng)建后門的功能。蠕蟲病毒能自我復(fù)制并通過網(wǎng)絡(luò)傳播,它們不依賴于宿主文亞信安全將持續(xù)監(jiān)控病毒發(fā)展趨勢,繼續(xù)致力于提供高效而可靠的安全解決方案,以確保用戶和企業(yè)的數(shù)字資產(chǎn)得到充分的保護(hù)。同時(shí),用戶和組織也需保持警惕,采取必要廠 廠 石油和天然氣二、勒索攻擊態(tài)勢分析2024年第一季度,亞信安全攔截勒索攻擊共計(jì)12,603次,較上一季度攔截攻擊數(shù)量有所減少。從全球攔截?cái)?shù)量看,科威特位居勒索軟件感染數(shù)量首位,占比達(dá)到36%,其次是【2024第1季度勒索軟件全球感染國家分布】本季度,全球多個(gè)國家的不同行業(yè)遭遇了勒索團(tuán)伙攻擊。其中,銀行業(yè)遭遇勒索攻擊【2024第1季度勒索軟件攻擊行業(yè)分布】勒索團(tuán)伙攻擊事件分析除了分析感染國家和感染行業(yè)的分布,我們還對本季度的勒索攻擊事件進(jìn)行了深入研究。我們觀察到,這些攻擊背后的勒索團(tuán)伙不僅包括新興的團(tuán)伙,還有包括一些“老牌”團(tuán)伙再次浮現(xiàn)。我們詳細(xì)梳理了五個(gè)典型的勒索案例,深入分析了這些勒索攻擊事件背后的團(tuán)伙,揭露了他們的攻擊手法,并探討了他們的未來發(fā)展趨勢。這樣的分析幫助我們更aS組織之一,該組織目前已造成數(shù)千名受害者,是迄今為止對金融行業(yè)造成最大威脅的勒ckBit新版本LockBit-NG-Dev,該版本是在今年2月19日LockBit團(tuán)伙被搗毀后發(fā)布的,說【LockBit在其新的泄漏網(wǎng)站上公布的第一名受害者的帖子】該版本與以往的LockBit版本有所不同,采用了.NET編程語言并配合CoreRT編譯,這使得它能在多個(gè)操作系統(tǒng)上運(yùn)行。為了逃避靜態(tài)檢測,其使用MPRESS進(jìn)行打包。除此之外,新版本具有多種加密模式,包括"快速"、"間歇"、"全加密"三種,其可以根據(jù)文件擴(kuò)展LockBit-NG-Dev使用AES算法加密文件,并使用嵌入的RSA公鑰加密AES密鑰。AES密鑰是為每個(gè)要加密的文件隨機(jī)生成的。其將被加密文件進(jìn)行隨機(jī)命名,以增加數(shù)據(jù)恢復(fù)的難度。此外,它還配備了自刪除機(jī)制,可以通過將LockBit文件內(nèi)容覆蓋為零字節(jié)來實(shí)現(xiàn)。軟件。經(jīng)關(guān)聯(lián)分析,我們可以確認(rèn)這一波攻擊的來源為TellYouThePass老牌勒索家族。該家族最早于2019年3月出現(xiàn),慣于在高危漏洞被披露后的短時(shí)間內(nèi)利用漏洞修補(bǔ)的時(shí)間差,對暴露于網(wǎng)絡(luò)上并存在有漏洞的機(jī)器發(fā)起攻擊。其曾經(jīng)使用"永恒之藍(lán)"系列漏洞、WebLogic應(yīng)用漏洞、Log4j2漏洞、國內(nèi)某OA系統(tǒng)漏洞、國內(nèi)某財(cái)務(wù)管理系統(tǒng)漏洞等。利用Web應(yīng)用漏洞對運(yùn)行應(yīng)用的服務(wù)器發(fā)起勒索攻擊是該勒索的典型特Tellyouthepass勒索曾多次占據(jù)國內(nèi)勒索軟件流行榜的榜首位置。2023年,該勒索團(tuán)伙發(fā)動(dòng)了3輪較大規(guī)模的攻擊,包括針對NC服務(wù)器勒索攻擊,文檔安全管理系統(tǒng)攻擊和針對醫(yī)藥系統(tǒng)攻擊,該系統(tǒng)常用于醫(yī)藥行業(yè)的智能倉儲(chǔ)管理系統(tǒng),具備庫存盤點(diǎn)、庫存對賬等功能。黑客攻入該系統(tǒng)并投遞勒索病毒,會(huì)導(dǎo)致系統(tǒng)中的庫存數(shù)據(jù)庫、商品標(biāo)簽等文件2024年初,Tellyouthepass又開始發(fā)動(dòng)新一輪針對財(cái)務(wù)電腦的攻擊,此次攻擊導(dǎo)致眾2024年初,針對某能源管理公司的勒索攻擊引人注目。這次攻擊發(fā)生在1月中旬,攻擊導(dǎo)致該公司可持續(xù)發(fā)展業(yè)務(wù)部門丟失1.5TB的數(shù)據(jù)。此次攻擊是因?yàn)槔账鲌F(tuán)伙利用了某軟件漏洞獲得了公司網(wǎng)絡(luò)的訪問權(quán)限,并提升了權(quán)限,在部署勒索軟件之前進(jìn)行了敏感數(shù)該受害公司確認(rèn)了此次攻擊,并表示其僅受影響的實(shí)體是運(yùn)營在獨(dú)立網(wǎng)絡(luò)基礎(chǔ)設(shè)施上的業(yè)務(wù)部門。該部門提供有關(guān)可再生能源解決方案的咨詢服務(wù),并就全球環(huán)境和能源法規(guī)的遵守向公司提供建議。被盜數(shù)據(jù)可能包含客戶能源使用情況、工業(yè)控制和自動(dòng)化系統(tǒng)以另外,在確認(rèn)受到攻擊后,該公司采取了一系列措施來應(yīng)對這一事件,包括與執(zhí)法機(jī)構(gòu)合作、加強(qiáng)其網(wǎng)絡(luò)的安全防護(hù)以及通知受影響的客戶。此外,公司也在審查其供應(yīng)鏈管經(jīng)過調(diào)查,該起攻擊事件幕后勒索團(tuán)伙CACTUS浮出水面。該勒索于2023年3月首次被發(fā)現(xiàn),一直保持著活躍狀態(tài)。CACTUS勒索軟件通過FortinetVPN的已知漏洞進(jìn)行入侵(黑客首先獲取到VPN賬號,再通過VPN服務(wù)器入侵到組織內(nèi)部獲取初始訪問權(quán)限。的重要信息,并將竊取的信息傳輸?shù)皆拼鎯?chǔ)中。最后,勒索團(tuán)伙對被害機(jī)器進(jìn)行勒索投毒。在內(nèi)網(wǎng)橫向移動(dòng)階段,該勒索團(tuán)伙使用Netscan、PSnmap的修改版本對域內(nèi)機(jī)器進(jìn)行網(wǎng)絡(luò)掃描。通過使用PowerShell命令來枚舉端點(diǎn),在Windows事件查看器中查看成功登錄來識別用戶帳戶,并ping遠(yuǎn)程主機(jī)。除此之外,勒索團(tuán)伙還使用各種合法工具及遠(yuǎn)程軟件對獲取到內(nèi)網(wǎng)機(jī)器的訪問權(quán)限后,勒索團(tuán)伙首先會(huì)竊取被害者的敏感信息,并使用Rclone等常見工具將竊取的信息傳輸?shù)皆拼鎯?chǔ)中,然后再進(jìn)行手動(dòng)投毒。在勒索階段,勒CACTUS勒索與以往勒索軟件相比較,其最大不同之處是利用7-Zip進(jìn)行防御規(guī)避。CACTUS勒索軟件使用批處理腳本提取7-Zip加密保護(hù)的勒索軟件二進(jìn)制文件,然后在執(zhí)行后的數(shù)據(jù)寫入文件中,然后使用RSA公鑰對隨機(jī)生成的加密密鑰進(jìn)行加密,并在文件夾中RAWorld勒索團(tuán)伙采用雙重勒索策略,通過加密和竊取數(shù)據(jù)來迫使受害者支付該勒索軟件通過入侵域控服務(wù)器獲取到初始訪問權(quán)限、通過計(jì)算機(jī)組策略對象(GPO)獲取部署惡意組件所需的訪問權(quán)限,禁用反病毒軟件,最終在受害機(jī)器上部署勒索軟件,并RAWorld勒索軟件使用了curve25519和eSTREAM密碼hc-128算法對文件進(jìn)行加密,確保了加密過程的安全性,提升了加密文件的解密難度。其在加密文件后,會(huì)在被加密的2023年底,Agenda對某個(gè)全球最大的汽車零部件供應(yīng)商進(jìn)行網(wǎng)絡(luò)攻擊,并將其添加了受害者的系統(tǒng)和文件,包括財(cái)務(wù)文件、保密協(xié)議、報(bào)價(jià)文件、技術(shù)數(shù)據(jù)表和內(nèi)部報(bào)告。據(jù)悉,該汽車零部件開發(fā)商和制造商,在全球200+地點(diǎn)擁有超過50000名員工。該公司向該家族的早期版本使用Go語言編寫的,增加了安全分析的難害者定制的,使用受害者的機(jī)密信息(例如泄露的帳戶和唯一的公司ID)作為附加文件擴(kuò)展2023年末,Agenda勒索開始逐漸活躍,今年年初,該家族推出了基于Rust語言開發(fā)軟件二進(jìn)制文件,其通過PsExec和Sec的SYS驅(qū)動(dòng)程序進(jìn)行防御規(guī)避。AgevCenter和ESXi服務(wù)器之間傳播,這可能會(huì)影響虛擬機(jī)甚至整個(gè)虛和財(cái)務(wù)損失,以及虛擬環(huán)境中運(yùn)行的服務(wù)中斷。勒索軟件發(fā)展趨勢漏洞利用仍然是勒索的主要攻擊手段TellYouThePass老牌勒索慣于在高危漏洞被披露后的短時(shí)間內(nèi)利用漏洞修對暴露于網(wǎng)絡(luò)上并存在有漏洞的機(jī)器發(fā)起攻擊。其曾經(jīng)使用"永恒之藍(lán)"系列漏洞、WebLogic應(yīng)用漏洞、Log4j2漏洞、國內(nèi)某OA系統(tǒng)漏洞、國內(nèi)某財(cái)務(wù)管理系統(tǒng)漏洞等。而CACTUS勒索軟件通過FortinetVPN的已知漏洞進(jìn)行入侵。可見,利用漏洞攻擊仍然是成功率較高的攻擊方式之一,也是勒索團(tuán)伙慣用的攻擊手法之一。勒索病毒更青睞跨平臺攻擊受害者的范圍。無論受害者使用何種操作系統(tǒng),都有可能成為攻擊目標(biāo)。不同操作系統(tǒng)具有不同的安全防護(hù)機(jī)制和補(bǔ)丁更新,攻擊者可以通過跨平臺傳播來規(guī)避某些特定平臺的安勒索病毒可以同時(shí)利用多個(gè)操作系統(tǒng)的漏洞或弱點(diǎn)進(jìn)行入侵,從而提高了傳播的效率。攻擊者可以同時(shí)針對多個(gè)操作系統(tǒng)進(jìn)行攻擊,加快感染速勒索加密技術(shù)上不斷地提升勒索攻擊團(tuán)伙會(huì)使用不同的加密算法相結(jié)合,目的是增強(qiáng)加密安全性、提高加密效率和具有可移植性,可以在不同的操作系統(tǒng)和設(shè)備上使用。RAWorld勒索軟件使用了curve25519和eSTREAM密碼hc-128算法對文件進(jìn)行加密,確保了加密過程的安全性,提升了加密文件的解密難度。另外,在加密策略上,勒索團(tuán)伙可以根據(jù)文件類型選擇加密方總的來說,隨著勒索團(tuán)伙不斷演進(jìn)和適應(yīng)安全防護(hù)措施,他們除了在入侵方式上采取了更加復(fù)雜和技術(shù)化的手段。在加密技術(shù)上也進(jìn)行了深入探索,不斷提升。了解這些變化對于企業(yè)和個(gè)人用戶來說是至關(guān)重要的,可以幫助提升網(wǎng)絡(luò)安全意識,加強(qiáng)安全防護(hù)措施,勒索威脅治理方案戶APT治理的痛點(diǎn)需求,全面覆蓋勒索攻擊入侵、駐留、滲透、控制、外泄到實(shí)施的六大階段,通過終端、云端、網(wǎng)絡(luò)、邊界、身份、數(shù)據(jù)檢測與響應(yīng)(目前引擎可洞察72個(gè)勒索攻擊的檢測點(diǎn))的智能化技術(shù)聯(lián)動(dòng),打通威脅數(shù)據(jù)、行為數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、身份數(shù)據(jù)、網(wǎng)在源頭上進(jìn)行阻斷,亞信安全的信桅高級威脅郵件防護(hù)系統(tǒng)【DDEI】專用來檢測和阻止定及文件和Web沙箱技術(shù),可快速識別并阻止或隔離這些定向工程郵件。讓釣魚郵件止步于除了釣魚郵件,漏洞利用也是勒索病毒經(jīng)常使用的入侵手段,針對漏洞攻擊,全新一代終端安全【TrustOne】能夠7*24小時(shí)持續(xù)不間斷識別各類已知資產(chǎn)、發(fā)現(xiàn)未知資產(chǎn)、互聯(lián)網(wǎng)暴露面資產(chǎn)并識別這些資產(chǎn)各類脆弱性,包括漏洞、弱密碼、開放端口、網(wǎng)絡(luò)共享、互聯(lián)網(wǎng)外聯(lián),并提供持續(xù)消除暴露面的各類措施,從而領(lǐng)先黑客消弭隱患。具備已知威脅和未知威脅和檢測和響應(yīng)能力、尤其是勒索、挖礦、無文件攻擊、APT攻擊的檢從攻擊者視角出發(fā),持續(xù)不間斷發(fā)現(xiàn)、評估組織類可被黑客利用的薄弱環(huán)節(jié),并顯性化、危險(xiǎn)指數(shù)量化這些薄弱點(diǎn);基于資產(chǎn)攻擊面,通過安全評估模型以及漏洞修復(fù)動(dòng)態(tài)優(yōu)威脅情報(bào)建議=修復(fù)優(yōu)先級”,通過智能算法建立漏洞修復(fù)的優(yōu)先級,在攻擊發(fā)生前快速修勒索治理要擺脫割裂的單點(diǎn)防御方式,在風(fēng)險(xiǎn)洞察、風(fēng)險(xiǎn)評估以及響應(yīng)處置上實(shí)現(xiàn)高效聯(lián)動(dòng),打破攻防不對稱。基于TrustOne的升級加持,以AI智報(bào)能力,同時(shí)針對勒索團(tuán)伙供給鏈的每個(gè)階段、不同手段,在72個(gè)檢測點(diǎn)進(jìn)行主機(jī)行為、流量特征、威脅情報(bào)、文件等多維度防御部署,實(shí)時(shí)掌握已知與未知威脅的阻斷,提升通過能力的原子化,TrustOne融合了防病毒、虛擬補(bǔ)丁、EDR、桌管、SDP、VP、信艙DS以“弱”制強(qiáng)兩招致勝遠(yuǎn)程桌面(RDP)入侵也是勒索病毒經(jīng)常采用的入侵方式,這種攻擊方式對于那些使用弱密碼或默認(rèn)憑據(jù)的系統(tǒng)來說尤其危險(xiǎn),因?yàn)楣粽攉@取訪問權(quán)限。因此,弱口令的檢查與管理其實(shí)是企業(yè)安全運(yùn)營中最為關(guān)鍵、基礎(chǔ)的環(huán)節(jié),尤其是對于事前預(yù)防而言更是重要。做好弱口令掃描和安全基線的核查兩大工作,可以及目前,亞信安全信艙云主機(jī)安全等產(chǎn)品都具有弱口令掃描以及安全基線核查的功能模塊。其中系統(tǒng)弱口令掃描功能,能夠確保不會(huì)影響正常業(yè)務(wù),快速高效的完成常態(tài)化弱口令檢測。基線檢查能力,能夠按照要求對主機(jī)進(jìn)行統(tǒng)一掃描,支持檢測操作系統(tǒng)的賬號權(quán)限、身份鑒別、密碼策略、訪問控制、安全審計(jì)和入侵防范等安全配置,并提供檢測結(jié)果,三、“銀狐”組織利用財(cái)稅釣魚發(fā)動(dòng)定向攻擊年初通常是財(cái)務(wù)工作人員最為忙碌的時(shí)期,不僅需要完成年度匯總和各種申報(bào)工作,同時(shí)也成為了網(wǎng)絡(luò)攻擊者的目標(biāo)。特別是“銀狐”組織,他們利用這一時(shí)機(jī),專門針對財(cái)務(wù)人員發(fā)起釣魚定向攻擊。在這類攻擊中,攻擊者通過即時(shí)通信軟件向目標(biāo)用戶發(fā)送偽裝無害的文件,攻擊者就會(huì)利用受害者的電腦作為跳板,通過相同的即時(shí)通信軟件繼續(xù)向其他用戶傳播含有釣魚木馬的鏈接或文件。這種策略使得木馬能夠迅速擴(kuò)散,從而影響更多【群發(fā)送惡意文件】為了規(guī)避安全軟件的偵測,"銀狐"組織不斷更新其攻擊手段。與之前直接在群內(nèi)發(fā)送惡意可執(zhí)行文件的方式不同,他們現(xiàn)在發(fā)送一個(gè)看似無害的Excel文件,以此降低用戶的戒備心。用戶在打開這個(gè)Excel文件后會(huì)看到其中包含一個(gè)鏈接。如果用戶點(diǎn)擊了這個(gè)鏈接,就會(huì)被引導(dǎo)到一個(gè)偽裝的下載頁面,這個(gè)頁面會(huì)誘導(dǎo)用戶下載一個(gè)遠(yuǎn)程控制木馬。一旦安更多的人群,擴(kuò)大其攻擊范圍,使更多的人成為受害魚郵件,其正文包含釣魚鏈接,打開鏈接后,訪問的是“銀狐”組織精心設(shè)計(jì)的釣魚網(wǎng)站,不管通過哪種途徑滲透受害者的設(shè)備,"銀狐"組織的最終目的都是部署遠(yuǎn)程控制木馬,以便控制受害者的電腦執(zhí)行非法操作。他們持續(xù)升級攻擊策略、部署手段以及惡意樣本的傳播方式,以應(yīng)對安全軟件的檢測。此外,"銀狐"木馬還采用了多種免殺技術(shù),比如使用【銀狐傳播方式】一季度,我們截獲了使用MSI安裝程序進(jìn)行載荷投遞實(shí)現(xiàn)免殺的“銀狐”變種中,變種一是使用MSI安裝程序釋放GhostRAT。通過MSI釋放多個(gè)組件,執(zhí)行批處理文件(BAT進(jìn)一步運(yùn)行可執(zhí)行程序。其載荷在執(zhí)行前經(jīng)歷了兩次解密,這種多層解密技術(shù)可變種二則是基于系統(tǒng)環(huán)境釋放和執(zhí)行EXE文件。此變種首先判斷受害系統(tǒng)是否安裝了微信,然后釋放EXE文件,EXE文件訪問一個(gè)控制服務(wù)器的FTP地址,在內(nèi)存解密payload,最終實(shí)現(xiàn)的遠(yuǎn)控功能允許攻擊者從遠(yuǎn)程位置控制受感染的計(jì)算機(jī),執(zhí)行各種惡意活動(dòng)。受害者雙擊運(yùn)行偽裝成稅務(wù)稽查名單的MSI文件,釋放多個(gè)文件到C:\Windows\HAHA\3.jpg/4.jpg為libcurl.dll,隨后運(yùn)行CN3.jpg/4.jpg為libcurl.dl3.CNM.exe讀取opk.txt并對內(nèi)容逐字節(jié)異或0x6C,5.erp.exe調(diào)用libcurl.dll的導(dǎo)出函數(shù)curlAPI,將解密的惡意代碼作為回調(diào)函數(shù)執(zhí)行?!咀R別防病毒】銀狐更新快、變種多,免殺技術(shù)不斷提升,亞信安全專家團(tuán)隊(duì)會(huì)持續(xù)追蹤銀狐不斷提高對銀狐病毒的分析及檢測能力。為了避免被銀狐木馬感染,相關(guān)用更新操作系統(tǒng)和應(yīng)用程序。定期檢查并安裝操作系統(tǒng)和應(yīng)用程序的更新,這些更新通使用強(qiáng)密碼和雙重身份驗(yàn)證。設(shè)置復(fù)雜且難以猜測的密碼,并警惕電子郵件附件和鏈接。不打開來自未知來源的電子郵件附件,不點(diǎn)擊未經(jīng)驗(yàn)證的安全下載軟件。只從官方網(wǎng)站或可信渠道下載軟件,避免使用未經(jīng)授權(quán)的第三方應(yīng)用安裝和定期更新安全軟件。安裝防病毒和反惡意軟件程序,并確保它們保持最新狀態(tài),小心即時(shí)通訊工具中的文件和鏈接。對即時(shí)通訊工具中接收的文件和鏈接保持警惕,培訓(xùn)和安全意識教育。對員工進(jìn)行定期的安全培訓(xùn),提高他們識別和應(yīng)對網(wǎng)絡(luò)釣魚攻是一款俄羅斯商業(yè)后門軟件,首次亮相于2018年,經(jīng)過一年的重新構(gòu)建后再次發(fā)布。與那客的獨(dú)立創(chuàng)作,提供了一種經(jīng)濟(jì)實(shí)惠的后門工具,其價(jià)格明顯低于市面上類似工具的標(biāo)準(zhǔn)作為商業(yè)遠(yuǎn)程訪問木馬(RAT)中最實(shí)惠的之一,DcRAT主要在俄羅斯地下論壇上銷售,2023年首次被發(fā)現(xiàn),其使用HFS搭建平臺存儲(chǔ)文件,且通常以微信投遞釣魚文件為主,假借欺詐性文件的行為。此外,還有一些通過電子郵件投遞以“律師函”為主題的釣魚文件的四、卷王“銀狐”進(jìn)化成“樹狼”“樹狼”使用的RAT截取屏幕截取屏幕鍵盤記錄上傳/下載/執(zhí)行文件持久化禁用Windows文件管理、鍵盤記錄、遠(yuǎn)程桌面控制、系統(tǒng)管理、視頻查看、文件管理、鍵盤記錄、遠(yuǎn)程桌面控制、系統(tǒng)管理、視頻查看、時(shí)間線【時(shí)間線】釣魚誘餌狩獵過程中關(guān)聯(lián)到該組織使用HFS框架,部分使用pexpay82.icu作為C&C的樣本payload老樣本下載地址使用123pan的直連,直連特征為“域名/用戶i存儲(chǔ)樣本的服務(wù)器站點(diǎn)如圖所示(目前已無法打開該組織喜歡使用香港IP作為服務(wù)器存放樣本,香港服務(wù)器具有無需備案、速度與穩(wěn)定性高,國內(nèi)外都能訪問、價(jià)格便雪狼組織命中銀狐規(guī)則(body="***狼命中了我們半個(gè)月前發(fā)現(xiàn)的“銀狐Puppet”變種。以上家族都是使用hfs搭建文件存儲(chǔ)服務(wù),下載一個(gè)稅務(wù)稽查、律師函之類比較敏感的文件,最后釋放gh0st遠(yuǎn)控。釣魚界面也比較類五、惡意軟件偽裝成名單冊進(jìn)行攻擊亞信安全威脅情報(bào)部門在日常狩獵過程中發(fā)現(xiàn),近期有黑產(chǎn)團(tuán)伙偽裝成名單冊對企業(yè)惡意軟件詳細(xì)分析66021923ebc6a/%E6%9F%A5%E5%A4%84%E5%90%8D%E5%8D%95%E5%86%8C-抓包初步探測:180.163.246.xx:443解析到360.net,檢測是否能出網(wǎng),若不能出網(wǎng)則不從129.28.1xx.187:12345下載payload,如果動(dòng)態(tài)調(diào)試會(huì)發(fā)現(xiàn)樣本會(huì)開線程池,從線程池中取線程。猜測惡意行為是通過開啟線程的方//遍歷c盤下的文件夾//創(chuàng)建一個(gè)線程列表用于存放線程名//將c盤下的dll遍歷并加載到內(nèi)存中{{//起線程}{//執(zhí)行線程,并打印線程信息}AppDomaincurrentDomain=AppDomassemblies=currentDom上述代碼主要完成以下工作:遍歷c盤,起線程{{}{}}TypetypeFromHandle上述代碼主要請求"https://360.net/"測試網(wǎng)絡(luò)連通性,并尋{{{//密鑰{//鹽{//使用密鑰和鹽對收到的數(shù)據(jù)進(jìn)行解密,解密后的數(shù)據(jù)存入數(shù)Encoding.UTF8.GetString(Co//獲取virtualalloc地址((VirtualAlloc)Marshal.GetDelegat//將shellcode存入剛剛申請的內(nèi)存空間中//創(chuàng)建纖程((CreateFiber)Marshal.Ge}{}}}上述代碼主要從服務(wù)器端獲取一段Shellcode,然后對Shellcod86282b46b73c3c7b576262024年第一季度網(wǎng)絡(luò)安全威脅治理一、銀狐治理方案發(fā)布“銀狐”組織是一個(gè)活躍于東南亞的黑產(chǎn)團(tuán)伙,他們采用產(chǎn)業(yè)化的方法進(jìn)行分工和運(yùn)營。這種方式涉及多個(gè)組織的協(xié)同工作,使得我們面臨的挑戰(zhàn)不僅僅是對抗單一的惡意程序,而是需要與一個(gè)完整的黑色產(chǎn)業(yè)鏈上的多個(gè)組織進(jìn)行斗爭。這種復(fù)雜的組織結(jié)構(gòu)和協(xié)安全持續(xù)追蹤“銀狐”組織,依托于技術(shù)、人員和服務(wù),針對“銀狐”木馬提出了事前風(fēng)險(xiǎn)排【銀狐治理總體措施】事前風(fēng)險(xiǎn)排查1.DNS流量匯聚,協(xié)助客戶匯聚DNS流量,將相關(guān)分支機(jī)構(gòu)的DNS流量指向至總部DNS服2.DNS流量監(jiān)測,部署亞信AE設(shè)備,采用旁路部署的模式,將DNS流量鏡像至AE設(shè)備,3.定位風(fēng)險(xiǎn)終端,通過MSS運(yùn)營4.實(shí)現(xiàn)攻擊溯源,在風(fēng)險(xiǎn)終端上部署EDR,檢測、分析“銀狐”在該終端的風(fēng)險(xiǎn)行為、時(shí)5.清除“銀狐”木馬,通過EDR,針對風(fēng)險(xiǎn)終端上存在的“銀狐”木馬,進(jìn)行響應(yīng)處置,徹底事中應(yīng)急處置“銀狐”風(fēng)險(xiǎn)持續(xù)監(jiān)測,部署AE/TDA/TrustOne等安全設(shè)備,持續(xù)監(jiān)測DNS非法查詢與終“銀狐”風(fēng)險(xiǎn)聯(lián)動(dòng)處置,針對“銀狐”木馬,形成聯(lián)動(dòng)處置能力,通過LinkOne等統(tǒng)一管理“銀狐”風(fēng)險(xiǎn)MSS服務(wù),通過MSS運(yùn)營,結(jié)合AE/TDA/TrustOne等工具,為企業(yè)提供“銀狐”攻事后安全加固極大程度修復(fù)高危勒索風(fēng)險(xiǎn)的漏洞、弱密碼、關(guān)閉高危端口、清除”銀狐”【事后安全加固】產(chǎn)品與服務(wù)清單二、攻防演練解決方案3.0重磅發(fā)布自2016年起,國家攻防演習(xí)已開展八年,參與防守單位從起初2個(gè)壯大至23年近300個(gè)。攻防演練防守工作已成為各防守單位年度工作中的重中之重。但防守單位面臨防護(hù)技術(shù)手攻防演練利器-外部攻擊面管理服務(wù)迭代以攻擊者視角評估企業(yè)暴露的外部攻擊面,協(xié)助摸清家底、及時(shí)收斂外部風(fēng)險(xiǎn)資產(chǎn)、攻防演練利器-入侵與攻擊模擬服務(wù)發(fā)布從攻擊者角度出發(fā),模擬入侵攻擊行為,驗(yàn)證現(xiàn)有安全防護(hù)體系的防護(hù)能力,包括釣攻防演練優(yōu)勢攻防演練攻擊,連續(xù)獲得國家攻防演練攻擊隊(duì)TOP10,在多個(gè)省、市級、行業(yè)級攻防演練中獲得若干次第一名,包括江蘇省攻防演練、廣東省攻防演練、天津市攻防演練等演防守項(xiàng)目0事故、100%客戶0出局、95%客戶0失分,入選公安部多篇優(yōu)秀技戰(zhàn)法的成績;2022年在公安指揮部組織部分參演單位進(jìn)行為期一天的無害化惡意程序攻防演練中,協(xié)助息中心制定全國電子政務(wù)外網(wǎng)攻防演練行動(dòng)實(shí)踐業(yè)內(nèi)第一家將外部攻擊面管理服務(wù)融入到攻防演練/重保/勒索治理解決方案的廠商;亞信外部攻擊面管理平臺入選安全?!豆裘婀芾砑夹g(shù)應(yīng)用指南》十大代表性三、勒索攻擊演練服務(wù)重磅發(fā)布段,孵化出一系列勒索攻擊場景,通過模擬勒索攻擊的方式,可在初始入侵階段、橫向移動(dòng)、權(quán)限提升、權(quán)限維持、數(shù)據(jù)外泄、執(zhí)行勒索等攻擊階段,開展勒索攻擊演練,以此驗(yàn)漏洞利用等手段,獲取內(nèi)網(wǎng)非授權(quán)主機(jī)的訪橫向移動(dòng)階段:通過演練網(wǎng)絡(luò)服務(wù)掃描、嗅探,收集主機(jī)、身份、憑證等信息,攻擊數(shù)據(jù)外泄階段:演練通過C2通道、WEB服務(wù)、公有云存儲(chǔ)、遠(yuǎn)程桌面應(yīng)用程序等方式,勒索演練優(yōu)勢專業(yè)攻防能力:連續(xù)獲得國家攻防演練攻擊隊(duì)TOP1多年經(jīng)驗(yàn)積累:國家級SL掃雷行動(dòng)核心支撐廠商、國家級應(yīng)急支病毒攔截?cái)?shù)量TOP10病毒攔截?cái)?shù)量TOP102024年第一季度網(wǎng)絡(luò)安全數(shù)據(jù)分析一、病毒攔截信息統(tǒng)計(jì)(一)病毒攔截次數(shù)排名2024年一季度,亞信安全攔截Trojan.Win32.FRS.VSNW0C一旦激活,它可以執(zhí)行各種惡意活動(dòng),如竊取敏感信息、下載其他惡意軟件、控制受感染在我們的日常工作和生活中,采取以下幾個(gè)關(guān)鍵步驟至關(guān)重要:首先,定期更新操作系統(tǒng)和所有已安裝的軟件,確保應(yīng)用所有的安全補(bǔ)丁,以此減少攻擊者利用已知漏洞的機(jī)會(huì)。其次,對于電子郵件中的鏈接和附件,應(yīng)保持警惕,避免隨意點(diǎn)擊或下載來歷不明的文件,因?yàn)獒烎~郵件是傳播木馬的常見手段。此外,安裝并持續(xù)更新優(yōu)質(zhì)的殺毒軟件和防火墻,這些安全工具能有效識別和阻止木馬及其他惡意軟件。通過實(shí)施這些措施,我們可【2024年第1季度病毒攔截次數(shù)排名】勒索軟件攻擊數(shù)量 4433勒索軟件攻擊數(shù)量 4433一40283810(一)勒索軟件攻擊數(shù)量統(tǒng)計(jì)2024年第一季度,亞信安全攔截勒索軟件攻擊共計(jì)12,603次,與上一季數(shù)量有所下降。這些攻擊旨在通過加密個(gè)人用戶、企業(yè)組織和公共機(jī)構(gòu)的數(shù)據(jù)來勒索贖金。我們通過及時(shí)更新和優(yōu)化安全防護(hù)措施來抵御日益復(fù)雜和變化的勒索病毒攻擊。此外,用戶和組織對于網(wǎng)絡(luò)安全意識的提升也起到一定的積極作用,他們更加重視數(shù)據(jù)備份、講究【2023年4月--2024年3月攔截勒索軟件攻擊數(shù)量】斷發(fā)展,黑客不斷改進(jìn)攻擊手段,采取更加隱蔽和復(fù)雜的方式進(jìn)行勒索病毒攻擊。因此,亞信安全將繼續(xù)加強(qiáng)病毒庫的更新,實(shí)時(shí)監(jiān)測和分析網(wǎng)絡(luò)流量,積極參與威脅情報(bào)共享,勒索家族攔截TOP1013%勒索家族攔截TOP1013%(二)勒索軟件攔截TOP102024年第一季度勒索家族TOP10中,RANSOM_WCRY病毒居首位,其檢測量高達(dá)33%,其次是RANSOM_CERBER和RANSOM_其中,Locky勒索病毒主要以釣魚郵件和惡意URL的形式進(jìn)行傳播。黑客向受害者郵箱發(fā)送帶有惡意Word文檔的電子郵件,Word文檔中包含有黑客精心構(gòu)造的惡意宏代碼。一旦受害者打開文檔并運(yùn)行宏代碼后,主機(jī)會(huì)主動(dòng)連接指定的Web服務(wù)器,下載并強(qiáng)制執(zhí)挖礦病毒檢測情況

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論