重點(diǎn)觀察 0011態(tài)勢(shì)篇 004網(wǎng)絡(luò)資產(chǎn)暴露情況 005高風(fēng)險(xiǎn)主機(jī) 008惡意IP態(tài)勢(shì) 0112威脅篇 013漏洞態(tài)勢(shì) 014惡意軟件態(tài)勢(shì) 019高級(jí)可持續(xù)性威脅 034IPv6安全威脅 044數(shù)字基礎(chǔ)設(shè)施篇 050數(shù)據(jù)安全 051物聯(lián)網(wǎng)安全 059工業(yè)互聯(lián)網(wǎng)安全 065車聯(lián)網(wǎng)安全 0723.55G安全 0783.6人工智能安全 0823.7云安全 086區(qū)塊鏈安全 091供應(yīng)鏈安全 094無線通訊安全 0994總結(jié) 103參考文獻(xiàn) 105重點(diǎn)觀察

網(wǎng)絡(luò)安全2022：守望高質(zhì)量觀察觀察1：區(qū)域威脅DDoS攻擊、2021年，全國網(wǎng)絡(luò)資產(chǎn)暴露加劇，數(shù)字資產(chǎn)暴露面不斷擴(kuò)大，用戶的數(shù)據(jù)和個(gè)人隱私惡意軟件等網(wǎng)絡(luò)威脅幾乎遍布全國各省市，為我國的網(wǎng)絡(luò)安全防護(hù)工作帶來了嚴(yán)重挑戰(zhàn)。觀察觀察2：漏洞態(tài)勢(shì)Windowsms17-010Windowsms17-010系列漏洞掃描攻擊事件最多；服務(wù)器中Web服務(wù)器受到的攻擊是最多，2020CWE-79WebCGI的漏洞利用數(shù)量最多。觀察觀察3：惡意軟件擊數(shù)量最多；僵尸網(wǎng)絡(luò)仍然以擊數(shù)量最多；僵尸網(wǎng)絡(luò)仍然以Mirai、Gafgyt等傳統(tǒng)DDoS家族為主；竊密木馬與釣魚郵2021年，勒索軟件主要攻擊目標(biāo)為制造業(yè)、服務(wù)業(yè)等傳統(tǒng)行業(yè)，美國遭受勒索軟件攻件仍深度綁定，企業(yè)應(yīng)注意釣魚郵件的潛在風(fēng)險(xiǎn)。觀察觀察4：高級(jí)持續(xù)性威脅KimsukyLazarusAPTLorec53的活躍度排名前列。2021年，受地緣政治影響，南亞、東亞和東歐地區(qū)依然是APT組織最為活躍的地區(qū)，觀察觀察5：IPv6安全威脅利用和掃描事件占比位居前三。相比利用和掃描事件占比位居前三。相比2020年，IPv6漏洞和利用攻擊事件大幅增加，境外IPv6規(guī)模部署取得明顯成效的同時(shí)，安全問題也逐漸暴露出來，IPv6Web攻擊、漏洞的IPv6攻擊源大幅增加，成為了國內(nèi)企業(yè)面臨的主要IPv6威脅來源，教育行業(yè)依舊是被攻擊的重災(zāi)區(qū)。001重點(diǎn)觀察觀察觀察6：數(shù)據(jù)安全性和保護(hù)敏感數(shù)據(jù)成為國內(nèi)企業(yè)必答的一個(gè)安全命題。性和保護(hù)敏感數(shù)據(jù)成為國內(nèi)企業(yè)必答的一個(gè)安全命題。2021年數(shù)據(jù)安全泄露問題依然嚴(yán)隨著2021年《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》正式落地和實(shí)施，如何遵循合規(guī)觀察觀察7：物聯(lián)網(wǎng)安全量上升，不斷出現(xiàn)新的攻擊方式，并帶來巨大的危害，物聯(lián)網(wǎng)安全相關(guān)標(biāo)準(zhǔn)化與自動(dòng)化的量上升，不斷出現(xiàn)新的攻擊方式，并帶來巨大的危害，物聯(lián)網(wǎng)安全相關(guān)標(biāo)準(zhǔn)化與自動(dòng)化的隨著物聯(lián)網(wǎng)設(shè)備數(shù)量呈指數(shù)級(jí)增長(zhǎng)，其攻擊面暴漲。2021年針對(duì)物聯(lián)網(wǎng)的攻擊事件數(shù)需求迫在眉睫。觀察觀察8：工業(yè)互聯(lián)網(wǎng)安全政策持續(xù)利好，工業(yè)互聯(lián)網(wǎng)安全企業(yè)向安全服務(wù)、攻防靶場(chǎng)布局。政策持續(xù)利好，工業(yè)互聯(lián)網(wǎng)安全企業(yè)向安全服務(wù)、攻防靶場(chǎng)布局。觀察觀察9：車聯(lián)網(wǎng)安全身身車聯(lián)網(wǎng)相關(guān)威脅攻擊不僅對(duì)網(wǎng)絡(luò)空間中的信息安全帶來影響，而且與物理空間中的人條的綜合防御體系將是車聯(lián)網(wǎng)安全發(fā)展的必然趨勢(shì)。、財(cái)產(chǎn)安全有著直接密切的關(guān)聯(lián)。車聯(lián)網(wǎng)產(chǎn)業(yè)鏈長(zhǎng)，所需防護(hù)環(huán)節(jié)眾多，構(gòu)建覆蓋全鏈觀察觀察10：5G安全5G5G作為新基建的重要基礎(chǔ)設(shè)施之一，新漏洞CVD-2021-0047通過攻陷某一切片并對(duì)各行各業(yè)的部署與應(yīng)用，5G專網(wǎng)安全也將勢(shì)必開啟新的市場(chǎng)。其他切片資源進(jìn)行訪問，進(jìn)而獲取未經(jīng)授權(quán)訪問的數(shù)據(jù)或發(fā)起Dos攻擊。隨著5G專網(wǎng)在002網(wǎng)絡(luò)安全2022：守望高質(zhì)量觀察觀察11：人工智能安全人工智能技術(shù)的蓬勃發(fā)展，拓展了數(shù)字世界的邊界，人工智能技術(shù)的蓬勃發(fā)展，拓展了數(shù)字世界的邊界，AI安全性問題逐漸暴露，相關(guān)事AI已成為現(xiàn)階段重點(diǎn)攻關(guān)方向。件頻發(fā)，包括自動(dòng)駕駛引發(fā)交通事故、基于Deefake合成語音與視頻的詐騙等。安全可信觀察觀察12：云安全及合規(guī)要求驅(qū)動(dòng)云安全廠商及云服務(wù)提供商積極研發(fā)云安全產(chǎn)品及服務(wù)，云安全市場(chǎng)正處及合規(guī)要求驅(qū)動(dòng)云安全廠商及云服務(wù)提供商積極研發(fā)云安全產(chǎn)品及服務(wù)，云安全市場(chǎng)正處云安全事件呈現(xiàn)上升趨勢(shì)，非法利用云資源挖礦和云上數(shù)據(jù)泄露占據(jù)主要地位。政策于快速增長(zhǎng)期。觀察觀察13：區(qū)塊鏈安全欺騙、利用智能合約漏洞攻擊、釣魚攻擊等方式實(shí)施攻擊。區(qū)塊鏈?zhǔn)切乱淮鷶?shù)字技術(shù)的重欺騙、利用智能合約漏洞攻擊、釣魚攻擊等方式實(shí)施攻擊。區(qū)塊鏈?zhǔn)切乱淮鷶?shù)字技術(shù)的重2021年區(qū)塊鏈被黑客攻擊損失的數(shù)字貨幣價(jià)值已達(dá)71億人民幣。攻擊的類型主要有要組成部分，區(qū)塊鏈的智能合約安全為主要方向。觀察觀察14：供應(yīng)鏈安全威脅著關(guān)鍵信息基礎(chǔ)設(shè)施的安全。各國政府通過制定相應(yīng)法律、政策和標(biāo)準(zhǔn)要求、指導(dǎo)和威脅著關(guān)鍵信息基礎(chǔ)設(shè)施的安全。各國政府通過制定相應(yīng)法律、政策和標(biāo)準(zhǔn)要求、指導(dǎo)和供應(yīng)鏈安全隱患正在成為網(wǎng)絡(luò)安全防護(hù)上最薄弱的環(huán)節(jié)，供應(yīng)鏈安全事件頻發(fā)，嚴(yán)重促進(jìn)供應(yīng)鏈安全市場(chǎng)的發(fā)展。觀察觀察15：無線通訊安全以以5G、移動(dòng)物聯(lián)網(wǎng)、北斗為代表的各類無線技術(shù)廣泛應(yīng)用于社會(huì)生活的各方面，成為以在日常的使用過程中一定要注意提高安全意識(shí)。Wi-FiBluetooth等安全事件頻繁發(fā)生，所0031態(tài)勢(shì)篇網(wǎng)絡(luò)安全2022：守望高質(zhì)量網(wǎng)絡(luò)安全2022：守望高質(zhì)量態(tài)勢(shì)篇態(tài)勢(shì)篇005005006006網(wǎng)絡(luò)資產(chǎn)暴露情況重要硬件資產(chǎn)暴露數(shù)量（個(gè)）202111261.1接下來暴露數(shù)量比較多的是長(zhǎng)三角和珠三角地區(qū)的沿海城市。其中，物聯(lián)網(wǎng)資產(chǎn)暴露數(shù)量最2,018,364IP地址IP接入互聯(lián)網(wǎng)。工控資產(chǎn)暴露數(shù)量靠前的分別是臺(tái)灣、黑龍江省和吉林，暴露數(shù)量與各省市的工業(yè)發(fā)達(dá)程度相關(guān)。安全設(shè)備暴露數(shù)量前三的是臺(tái)灣、香港和廣東。暴露數(shù)量（個(gè)）圖1.1全國暴露重要硬件資產(chǎn)規(guī)模分布TOP10省市VoIP52.026.2%1.2所示。暴露在互聯(lián)網(wǎng)上的攝像頭存在巨大的安全隱患，一旦被黑客控制，可能會(huì)造成個(gè)人隱私泄露，給用戶的隱私安全帶來了嚴(yán)重威脅。

圖1.2暴露物聯(lián)網(wǎng)資產(chǎn)類型分布互聯(lián)網(wǎng)上的應(yīng)用層出不窮，web服務(wù)、數(shù)據(jù)庫服務(wù)和郵件服務(wù)應(yīng)用最為廣泛，因此，接下來重點(diǎn)對(duì)這三類應(yīng)用的分布情況進(jìn)行研究分析。全國范圍內(nèi)，應(yīng)用這三類服務(wù)最多的省市分別是香港特別行政區(qū)、北京和臺(tái)灣。其中，web74.9%，應(yīng)用數(shù)量TOP31.3所示。數(shù)據(jù)庫服務(wù)和郵件服務(wù)應(yīng)用數(shù)量較多網(wǎng)絡(luò)安全2022：守望高質(zhì)量網(wǎng)絡(luò)安全2022：守望高質(zhì)量態(tài)勢(shì)篇態(tài)勢(shì)篇007007008008圖1.3互聯(lián)網(wǎng)重要服務(wù)分布TOP10省市513,6361.4所示，暴露的數(shù)據(jù)庫基本覆MySQL、Oracle、Elasticsearch等。數(shù)據(jù)庫服務(wù)暴露在互聯(lián)網(wǎng)上將會(huì)帶來巨大的安全風(fēng)險(xiǎn)，因?yàn)楹诳凸ハ莘?wù)后有可能造成敏感數(shù)據(jù)泄露或數(shù)據(jù)勒索等事件。因此，應(yīng)及時(shí)關(guān)閉非必要開放的數(shù)據(jù)庫服務(wù)，對(duì)必須開放的服務(wù)進(jìn)行訪問控制，避免數(shù)據(jù)庫被攻陷后帶來的重大影響。圖1.4數(shù)據(jù)庫服務(wù)類型分布310,4581.5SMTP、POPIMAP等類型。郵件服務(wù)也是黑客最常用的網(wǎng)絡(luò)攻擊渠道之一，攻擊者往往會(huì)利用郵件傳播惡意軟件、竊取身份驗(yàn)證、實(shí)施網(wǎng)絡(luò)釣魚和金融詐騙等。高風(fēng)險(xiǎn)主機(jī)

圖1.5郵件服務(wù)類型分布高風(fēng)險(xiǎn)端口開放情況在互聯(lián)網(wǎng)上暴露高危服務(wù)端口，會(huì)降低系統(tǒng)的安全性，增加黑客攻陷系統(tǒng)的概率。在本年的熱點(diǎn)事件中，除了傳統(tǒng)的高危21、22端口，3389端口和2375端口也頻繁被黑客或APT組織利用，危害很大。通過綠盟威脅情報(bào)中心的統(tǒng)計(jì)，全國開放了高風(fēng)險(xiǎn)端口的資產(chǎn)數(shù)量共計(jì)5,962,519個(gè)，1.6所示。其中，開放22、3389、212375端口的資產(chǎn)數(shù)量占比分別為49.4%、26.5%24.1%0.0001%開放高風(fēng)險(xiǎn)端口也是最多的，總計(jì)開放端口數(shù)量1,218,303個(gè)，其次是上海市和北京市，分別開放端口數(shù)量671,997個(gè)和668,537個(gè)，高風(fēng)險(xiǎn)端口的開放情況基本與各省市暴露的總資產(chǎn)數(shù)量成正相關(guān)。網(wǎng)絡(luò)安全2022：守望高質(zhì)量網(wǎng)絡(luò)安全2022：守望高質(zhì)量態(tài)勢(shì)篇態(tài)勢(shì)篇009009010010圖1.6高風(fēng)險(xiǎn)端口地理分布TOP10省市DDoS反射攻擊資源情況互聯(lián)網(wǎng)暴露DDoS反射攻擊主機(jī)是暴露在互聯(lián)網(wǎng)上，可能會(huì)被黑客利用來發(fā)起DDoS攻擊的資產(chǎn)。這類資產(chǎn)被黑客利用參與DDoS攻擊后，不僅耗費(fèi)自身的網(wǎng)絡(luò)帶寬，影響自身系統(tǒng)可用性，而且也會(huì)成為黑客對(duì)其他關(guān)鍵基礎(chǔ)設(shè)施可用性攻擊的“幫兇”。1,959,355IP可能會(huì)被黑客利用打DDoSUPNPNTP和DNS1.7DDoS反射攻擊資源數(shù)量分列前三位，分別198,539個(gè)、189,225187,397個(gè)。圖1.7DDoS反射攻擊資源地理分布TOP10省市使用停更數(shù)據(jù)庫的主機(jī)通過綠盟威脅情報(bào)中心的統(tǒng)計(jì)分析發(fā)現(xiàn)，仍有大量用戶在使用已經(jīng)停止更新的數(shù)據(jù)庫版MySQL數(shù)據(jù)庫中，大45.6MySQL5.6（41,905個(gè)）5.5（32,497個(gè)），1.8所示。圖1.8MySQL數(shù)據(jù)庫版本分布TOP51.1MySQL數(shù)據(jù)庫暴露數(shù)量最多的五個(gè)版本的發(fā)布時(shí)間和停止更新時(shí)間，從表中可5.1、5.55.65.18年，但是仍在被大量用戶使用。表1.1MySQL暴露版本發(fā)布和停更時(shí)間版本發(fā)布時(shí)間停更時(shí)間MySQL5.12008年12月2013年12月MySQL5.52010年12月2018年12月MySQL5.62013年2月2021年2月MySQL5.72015年10月2023年4月MySQL8.02018年4月2026年4月MySQL1.9所示，與暴露數(shù)據(jù)庫服務(wù)的地理分布基本重合，排名前三的是香港、北京和浙江，已停更但仍在使用的MySQL數(shù)據(jù)4.6%、10.011.5%。網(wǎng)絡(luò)安全2022：守望高質(zhì)量網(wǎng)絡(luò)安全2022：守望高質(zhì)量態(tài)勢(shì)篇態(tài)勢(shì)篇011011012012圖1.9已停更MySQL數(shù)據(jù)庫仍被使用情況地理分布IP態(tài)勢(shì)攻擊類型IP攻擊類型來看，主要包括拒絕服務(wù)、僵尸網(wǎng)絡(luò)、掃描、垃圾郵件、Web攻擊、1.10所示。拒絕服務(wù)攻擊因攻擊成本低、攻擊效果明顯等特點(diǎn)，72.8%，其次是僵尸6.55.0%。圖1.10攻擊類型分布攻擊源地理分布從攻擊源IP的地理分布來看，廣東省、山東省和浙江省的攻擊源IP數(shù)量分列前三位，分別是593,714個(gè)、508,104個(gè)和456,542個(gè)，具體分布如圖1.11所示。圖1.11攻擊源全國分布TOP10攻擊目標(biāo)地理分布IPIP787,348個(gè)、734,885556,5011.12所示。圖1.12攻擊目標(biāo)全國分布TOP102威脅篇威脅篇威脅篇網(wǎng)絡(luò)安全2022：守望高質(zhì)量網(wǎng)絡(luò)安全2022：守望高質(zhì)量014014015015漏洞態(tài)勢(shì)漏洞總體態(tài)勢(shì)NVD20211231日，2021年新增加的漏洞數(shù)量為19780個(gè)[1]，相比2020年呈上升趨勢(shì)。圖2.1歷年漏洞數(shù)量統(tǒng)計(jì)2021123119520CVSS3.1CVSS3.1標(biāo)準(zhǔn)，2.2所示。[1] 2021年內(nèi)新增的往年漏洞數(shù)據(jù)圖2.2漏洞CVSS3.1按數(shù)量分布危急漏洞占比13.05%，高危漏洞占比42.56%，兩者占比達(dá)到55.61%，攻擊者利用此類漏洞可以遠(yuǎn)程執(zhí)行任意命令或者代碼，有些漏洞甚至無需交互就可以達(dá)到遠(yuǎn)程代碼執(zhí)行的效果。。圖2.32021年TOP10漏洞類型其中跨站腳本(CWE-79)類型的漏洞數(shù)量最多?？缯灸_本漏洞主要是由于Web應(yīng)用程序?qū)τ脩舻妮斎霙]有進(jìn)行嚴(yán)格的過濾所導(dǎo)致的，攻擊者利用此類漏洞可以將惡意的JS或HTML代碼注入到用戶瀏覽的網(wǎng)頁上。[1] NVD-CWE-noinfo（信息不足）NVD-CWE-Other（其他）的數(shù)據(jù)。威脅篇威脅篇網(wǎng)絡(luò)安全2022：守望高質(zhì)量網(wǎng)絡(luò)安全2022：守望高質(zhì)量016016017017漏洞利用2021102.1所示。表2.12021年漏洞利用告警數(shù)量TOP10漏洞編號(hào)漏洞名稱告警數(shù)量ms17-010windowsms17-010系列漏洞掃描攻擊8265202CVE-2016-7288microsoftedge遠(yuǎn)程內(nèi)存破壞漏洞(ms16-145)6442952CVE-2017-0144windowssmb遠(yuǎn)程代碼執(zhí)行漏洞((ms17-010)1877732CVE-2016-0800opensslsslv2弱加密通信方式易受drown攻擊1759425CVE-2014-6271gnubash環(huán)境變量遠(yuǎn)程命令執(zhí)行漏洞(cve-2014-6271)707579CVE-2017-5638struts2遠(yuǎn)程命令執(zhí)行漏洞(s2-045)(s2-046)536958CNNVD-201211-555fckeditor‘fileupload()’函數(shù)任意文件上傳漏洞511677CVE-2016-6277netgeardgn1000bsetup.cgi遠(yuǎn)程命令注入漏洞461292CVE-2018-10561/10562gponhomegateway遠(yuǎn)程命令執(zhí)行漏洞442892CVE-2008-2214castlerockcomputingsnmpc超長(zhǎng)團(tuán)體字符串棧溢出漏洞421839從表2.1中數(shù)據(jù)可以發(fā)現(xiàn)，10年以上的高齡漏洞仍然在活躍，說明互聯(lián)網(wǎng)上依然存在著大量長(zhǎng)期未更新的軟件和系統(tǒng)，如物理隔離環(huán)境下的內(nèi)網(wǎng)中，就可能存在沒有及時(shí)更新補(bǔ)丁或版本的核心系統(tǒng)、數(shù)據(jù)庫等系統(tǒng)和軟件，攻擊者一旦進(jìn)入內(nèi)網(wǎng)就可以利用這些成熟的漏洞利用代碼發(fā)起有效的攻擊。根據(jù)監(jiān)測(cè)到的漏洞利用事件，綠盟科技統(tǒng)計(jì)了常見的攻擊類型，如圖2.4所示，TOP3攻擊類型為CGI攻擊、畸形攻擊以及溢出攻擊。圖2.4漏洞利用攻擊類型統(tǒng)計(jì)服務(wù)器漏洞服務(wù)器漏洞主要為服務(wù)器上的系統(tǒng)服務(wù)與程序，用于支撐或提供網(wǎng)絡(luò)管理與實(shí)際業(yè)務(wù)。服務(wù)器類型主要包含Web服務(wù)器、掃描服務(wù)器、Windows服務(wù)器、DNS服務(wù)器中、數(shù)據(jù)庫服務(wù)器、郵件服務(wù)器等。根據(jù)綠盟威脅情報(bào)中心監(jiān)測(cè)到的數(shù)據(jù)，統(tǒng)計(jì)了各類服務(wù)在漏洞利用中的占比，如圖2.5所示。其中Web服務(wù)器受到的攻擊是最多，占比68.14%。圖2.5服務(wù)器漏洞利用統(tǒng)計(jì)綠盟科技對(duì)具體的服務(wù)類型進(jìn)行統(tǒng)計(jì)，統(tǒng)計(jì)數(shù)據(jù)為各服務(wù)類型的漏洞利用數(shù)量相加，統(tǒng)計(jì)結(jié)果如圖2.6所示。從圖中可以看到漏洞利用最多的服務(wù)是CGI（CommonGatewayInterface，公共網(wǎng)關(guān)接口）。CGIWeb服務(wù)器與外部應(yīng)用程序之間交換數(shù)據(jù)的標(biāo)準(zhǔn)接口。CGI漏洞主要是由于配置錯(cuò)誤、輸入驗(yàn)證錯(cuò)誤、邊界條件錯(cuò)誤等引起的，攻擊者利用此類漏洞可以進(jìn)行信息泄露、代碼執(zhí)行等操作。威脅篇威脅篇網(wǎng)絡(luò)安全2022：守望高質(zhì)量網(wǎng)絡(luò)安全2022：守望高質(zhì)量018018019019

圖2.6TOP10漏洞利用服務(wù)類型常見的應(yīng)用軟件包括瀏覽器、Office辦公軟件、Flash播放器、PDF閱讀器以及移動(dòng)終端軟件等。綠盟科技統(tǒng)計(jì)了各類應(yīng)用軟件在漏洞利用中的占比，如圖2.7所示。攻擊者利用釣魚郵件，通過惡意鏈接、惡意附件的形式投遞惡意程序，在用戶點(diǎn)擊相關(guān)資源時(shí)，對(duì)應(yīng)程序的漏洞會(huì)被觸發(fā)，最終導(dǎo)致感染和信息泄露。瀏覽器作為攻擊的入口在實(shí)際利用中深得攻擊者的關(guān)注，在實(shí)際網(wǎng)絡(luò)攻擊中達(dá)到了83.51%的比例，遠(yuǎn)超2020的48.54%比例。圖2.7應(yīng)用軟件漏洞利用分布瀏覽器的漏洞中告警最多的應(yīng)用是微軟的Edge瀏覽器，相關(guān)的漏洞有CVE-2016-7288、CVE-2016-0193等，大都由Edge處理內(nèi)存對(duì)象不當(dāng)觸發(fā)的，攻擊者利用這些漏洞可達(dá)到任意代碼執(zhí)行的目的。Flash漏洞在實(shí)際利用中的占比持續(xù)下降，2021年更是下降至0.19%，隨著Adobe對(duì)Flash插件的淘汰，各大廠商都對(duì)其采取了一系列的封殺機(jī)制，在今后的一段時(shí)間內(nèi)，F(xiàn)lash的漏洞利用將面臨消亡。惡意軟件態(tài)勢(shì)勒索軟件2021年以來，由于疫情導(dǎo)致遠(yuǎn)程工作增加，勒索軟件攻擊數(shù)量呈上升趨勢(shì)，對(duì)制造業(yè)、服務(wù)業(yè)、金融、醫(yī)療等行業(yè)構(gòu)成重大威脅。勒索軟件攻擊目標(biāo)分布根據(jù)綠盟科技長(zhǎng)期觀測(cè)，2021年較活躍的勒索軟件主要有MountLocker，PYSA，REvil，CLOP，AVADDON及DarkSide，其中REvil家族全年活躍并在9-10月份達(dá)到最高峰。圖2.8勒索軟件月度活動(dòng)分布威脅篇威脅篇網(wǎng)絡(luò)安全2022：守望高質(zhì)量網(wǎng)絡(luò)安全2022：守望高質(zhì)量020020021021在受害者地區(qū)分布方面，歐美國家為勒索軟件的重災(zāi)區(qū)，其中美國占比高達(dá)62.65%。圖2.9勒索軟件國家分布圖2.10勒索軟件受害者行業(yè)分布國內(nèi)勒索軟件攻擊態(tài)勢(shì)北上廣等經(jīng)濟(jì)發(fā)達(dá)地區(qū)為勒索軟件實(shí)施打擊的主要目標(biāo)。圖2.11國內(nèi)勒索軟件受害者行業(yè)分布在受害者目標(biāo)選擇方面，金融，制造，能源，電信，醫(yī)療產(chǎn)業(yè)仍舊為主要行業(yè)。在目標(biāo)脆弱性方面，仍以弱口令，弱憑據(jù)，組件漏洞不及時(shí)修復(fù)所導(dǎo)致。圖2.12勒索攻擊事件中受影響設(shè)備類型占比威脅篇威脅篇網(wǎng)絡(luò)安全2022：守望高質(zhì)量網(wǎng)絡(luò)安全2022：守望高質(zhì)量022022023023在操作系統(tǒng)方面，勒索軟件主要影響服務(wù)器系統(tǒng)，但也有約25%的勒索軟件受害者是桌面系統(tǒng)。圖2.13受勒索攻擊業(yè)務(wù)系統(tǒng)類型占比勒索軟件攻擊者在業(yè)務(wù)類型選擇方面，主要針對(duì)數(shù)據(jù)庫業(yè)務(wù)和文件服務(wù)業(yè)務(wù)。圖2.14勒索攻擊事件中勒索軟件入侵方式勒索軟件攻擊者最常用的入侵手段為RDP暴力破解，在下半年流行的針對(duì)個(gè)人勒索的應(yīng)急與觀察中，也采用了惡意軟件捆綁和水坑攻擊傳播。攻擊模式變化趨勢(shì)滲透方式方面：由于勒索軟件傳播能力較弱，多不具備橫向移動(dòng)特性，因此越來越注重與僵尸網(wǎng)絡(luò)、銀行木馬、遠(yuǎn)控木馬、釣魚郵件等相結(jié)合，以加強(qiáng)其投放能力。CLOP通常依賴釣魚郵件釋放的木馬在受害者機(jī)器立足，SDBbot木馬曾多次釋放CLOP，CLOP采用代碼簽名方式，將自己偽裝成合法軟件；AvaddonSmokeLoader、IRCBotnet、PhorpiexBotnetRDP及VPN在初始階段常采用RDPDarkSide的攻擊往往以RDP爆破及漏洞利用開始，入侵成功后在受害者機(jī)器安裝RCSBeacon工具進(jìn)行橫向傳播。勒索方法方面：勒索軟件多采用加密與泄密相結(jié)合的雙重勒索模式，如果受害者拒付贖金，則勒索團(tuán)伙將公開其敏感文件。一些勒索團(tuán)伙，如CLOP、REvil，還搭建了公示敏感文件的網(wǎng)站。此外，越來越多的勒索團(tuán)伙，如PYSA、Avaddon、REvil、DarkSide，都提供勒索軟件即服務(wù)（RansomwareasaService，RaaS），將勒索軟件租賃給技術(shù)不完善的團(tuán)伙。Avaddon利用與DDoS僵尸網(wǎng)絡(luò)相結(jié)合的優(yōu)勢(shì)，在加密勒索之外加入DDoS攻擊，給受害者施以額外的壓力。漏洞利用方面：CLOP利用Accellion文件傳輸產(chǎn)品漏洞CVE-2021-27101、CVE-2021-27102、CVE-2021-27103、CVE-2021-27104發(fā)起攻擊；REvil利用SonicWall產(chǎn)品漏洞CVE-2021-20016SSLVPN的賬號(hào)密碼憑證，利用ExchangeServerCVE-2021-27065和CVE-2021-26855為后續(xù)行動(dòng)建立根基；DarkSideESXiCVE-2020-3992、CVE-2020-3992進(jìn)行攻擊。攻擊事件方面：20212月，DarkSide團(tuán)伙攻擊CanadianDiscountCarandRentals120G數(shù)據(jù)。3月，REvil團(tuán)伙攻擊電腦巨頭宏碁（Acer）5000萬美元贖金。202157日，DarkSide團(tuán)伙攻擊美國主要的成品油管道公司ColonialPipeline59日，拜登政府宣布美國進(jìn)入緊急狀態(tài)。6月，REvil團(tuán)伙攻JBSFood1100萬美元贖金，導(dǎo)致美國食品加工和交付出現(xiàn)重大中斷。73日，REvilKaseyaVSA服務(wù)器并感染數(shù)千節(jié)點(diǎn)，并利用其更新推送能力傳播勒索軟件，導(dǎo)致數(shù)百企業(yè)數(shù)據(jù)被加密。6CLOP6人，沒收了作案設(shè)備及非法所得，封堵了其數(shù)字貨幣交易渠道。20211141000DarkSide團(tuán)伙主犯。118日，美1000REvil團(tuán)伙主犯。202111月，美國聯(lián)邦司法部逮捕REvil團(tuán)伙的骨干分子，關(guān)停了該團(tuán)伙的數(shù)據(jù)泄露網(wǎng)站，REvil的生命接近尾聲。威脅篇威脅篇網(wǎng)絡(luò)安全2022：守望高質(zhì)量網(wǎng)絡(luò)安全2022：守望高質(zhì)量024024025025僵尸網(wǎng)絡(luò)2021年初，綠盟科技伏影實(shí)驗(yàn)室聯(lián)合CNCERT共同披露了攻擊組織KekSec，該團(tuán)伙通過2021年的運(yùn)作，已發(fā)展至一定規(guī)模，也出現(xiàn)了大量的偽裝為KekSec活動(dòng)的僵尸網(wǎng)絡(luò)運(yùn)營(yíng)者。KekSec組織的運(yùn)營(yíng)者在各類社交渠道標(biāo)榜其攻擊成果，也為該組織博得了大量的關(guān)注。除了該組織外，綠盟科技伏影實(shí)驗(yàn)室也監(jiān)控到了Windows、IoT、MacOS平臺(tái)上的一些新型新的僵尸網(wǎng)絡(luò)家族。伏影實(shí)驗(yàn)室僵尸網(wǎng)絡(luò)威脅追蹤平臺(tái)BotHunter通過對(duì)僵尸網(wǎng)絡(luò)家族進(jìn)行長(zhǎng)期追蹤監(jiān)控，也獲知了諸如Mirai、Gafgyt等家族的DDoS攻擊活動(dòng)信息。攻擊態(tài)勢(shì)根據(jù)綠盟科技伏影實(shí)驗(yàn)室僵尸網(wǎng)絡(luò)威脅平臺(tái)BotHunter9個(gè)熱門僵尸網(wǎng)絡(luò)家族的監(jiān)控?cái)?shù)據(jù)統(tǒng)計(jì)發(fā)現(xiàn)，MiraiGafgytC&C60個(gè)以上，遠(yuǎn)IoT平臺(tái)相對(duì)疏于管理的網(wǎng)絡(luò)安全環(huán)境造成C&C月度數(shù)量在年末都呈現(xiàn)下降態(tài)勢(shì)。不同的是，MiraiGafgyt的C&CC&C月度數(shù)量排在前兩名的分別為遠(yuǎn)控木馬Gh0st和竊密木馬AgentTesla。造成這種情況的原因是，Gh0stAgentTesla則通過階梯式售價(jià)大量售賣而源源不絕，并通過釣魚郵件進(jìn)行廣泛投遞。 圖2.15部分熱門僵尸網(wǎng)絡(luò)家族C&C月度變化MiraiDDoSC&C90左右，3C&CMirai得以保持了全年的活躍度。2020MiraiGafgytC&C數(shù)量都有明顯的下降，造成這種Mirai/Gafgyt源碼的新家族頻生，搶占了過往僵尸網(wǎng)絡(luò)的torMirai/Gafgyt更難以檢測(cè)。圖2.16MiraiGafgyt2021與2020月度新增C&C數(shù)量對(duì)比熱點(diǎn)家族及團(tuán)伙Mirai及其變種Bothunter監(jiān)測(cè)數(shù)據(jù)，MiraiC&C90左右，平均每3C&C2020MiraiC&C數(shù)量有Mirai源碼的新家族頻生，搶占了過tor網(wǎng)絡(luò)節(jié)點(diǎn)的使用，相Mirai更難以檢測(cè)。威脅篇威脅篇網(wǎng)絡(luò)安全2022：守望高質(zhì)量網(wǎng)絡(luò)安全2022：守望高質(zhì)量026026027027圖2.17Mirai2021與2020月度新增C&C數(shù)量對(duì)比Mirai主要通過漏洞利用和弱口令環(huán)境傳播，8Miraifetch，攜帶312021年以前的多數(shù)常見漏洞以及兩個(gè)疑似0day漏洞。在我們對(duì)漏洞利用情況的監(jiān)測(cè)中發(fā)現(xiàn)，攻擊者對(duì)披露的漏洞利用轉(zhuǎn)化速度也越來越快，2016年Mirai4.520201.80.8天，Mirai因代碼開源而導(dǎo)致大量變種產(chǎn)生，其變種將長(zhǎng)期存在并不斷新增，本年度依舊有大MiraiMiraiMiraimirai_pteaTEAC2ProxyC2建立連接，MiraiZHtrap僵尸網(wǎng)絡(luò)為了提高掃描效率實(shí)現(xiàn)了一個(gè)監(jiān)聽常見端口的簡(jiǎn)易蜜罐，增加了自身掃描的目的性和成功概率。Keksec相關(guān)2021KekSec2021年的運(yùn)作，KekSec活動(dòng)的僵尸網(wǎng)絡(luò)運(yùn)營(yíng)者。僵尸網(wǎng)絡(luò)運(yùn)營(yíng)者在各類社交渠道炫耀其所作所為，也為該組博得了大量的關(guān)注；KekSec黑客組織創(chuàng)建于2016DDoS攻擊和挖礦，攻擊工具豐富，采用多種技術(shù)架構(gòu)，能夠快速利用已公開漏洞。本年度，綠盟科技伏影實(shí)驗(yàn)室發(fā)現(xiàn)該組織增加了新成員ur0a[1]，多個(gè)新增的僵尸網(wǎng)絡(luò)家族都?xì)w功于該成員；ur0a在四月到九月期間新添加了多達(dá)五個(gè)僵尸網(wǎng)絡(luò)，這包括了Simps[1] /ryuk-botnet/Botnet，godsofdestnyBotnet，RyukBotnet，SamaelBotnetAkuryoBotnet。鑒于這ur0aur0aBotnet，依據(jù)發(fā)現(xiàn)時(shí)間的先后順序，排列如下：圖2.18ur0aBotnet發(fā)展時(shí)間線式ur0a急于出名，在入侵設(shè)備后習(xí)慣于留下組織信息以及instagram和Discord聯(lián)絡(luò)方式，帶有很強(qiáng)的宣傳色彩；同時(shí)注意到這些新增的僵尸網(wǎng)絡(luò)家族功能單一，主要攻擊方式以DDoS這在一定程度上反應(yīng)了開發(fā)者的真實(shí)水平。不過，上述這些僵尸網(wǎng)絡(luò)家族版本迭代頻繁，部分變種至今仍保持一定程度的活躍，顯示了該組織人員在運(yùn)營(yíng)所持有僵尸網(wǎng)絡(luò)時(shí)一直保持著信心和耐心。lolfmeBotnetKekSecur0aBotnet卻有著截然不同的風(fēng)格；ur0aBotnet感情熱烈，個(gè)性張揚(yáng)，帶有極強(qiáng)的宣傳目的；lolfme相對(duì)低調(diào)，所有敏感的資源信息加密存儲(chǔ)，通信過程也極為隱蔽，更具實(shí)戰(zhàn)意義；lolfme從發(fā)現(xiàn)至今經(jīng)歷了四次版本的更迭，功能趨于完善，隱蔽性也在不斷增強(qiáng)；lolfme最初涵蓋了x86-64，Intel80386，ARMCPUARM平臺(tái)，雖然該僵尸網(wǎng)MiraiGafgyt，但依然在不斷更新升級(jí)并完善功能，需要給予足夠的重視。Pink2021年10月，綠盟科技伏影實(shí)驗(yàn)室聯(lián)合CNCERT公開披露了一個(gè)藏在我們身邊的巨型Pink201912月份，黑客定向攻擊某運(yùn)營(yíng)商的家庭用戶設(shè)備并Pink，使其成為僵尸網(wǎng)絡(luò)節(jié)點(diǎn)，根據(jù)所涉運(yùn)營(yíng)商和設(shè)備廠商的初步評(píng)估，被黑96%以上的受害者分布在中國境內(nèi)，這或許是已公開的規(guī)模最大的IOTPink的規(guī)模和影響，我們已第一時(shí)間通報(bào)給相關(guān)運(yùn)營(yíng)商和主管部門，并聯(lián)系相關(guān)設(shè)備廠商，協(xié)作處理和解決受影響的設(shè)備，絕大多數(shù)被入侵的設(shè)備已被修復(fù)。威脅篇威脅篇網(wǎng)絡(luò)安全2022：守望高質(zhì)量網(wǎng)絡(luò)安全2022：守望高質(zhì)量028028029029此次事件中，黑客利用了設(shè)備生產(chǎn)供應(yīng)鏈中的某些組件的0-day漏洞，入侵了多個(gè)品牌Pink惡意程序從功能上可以劃分為3植入、駐留、控制。圖2.19Pink的模塊及功能0-day漏洞定向性：針對(duì)特定品牌的設(shè)備設(shè)計(jì)了0-day攻擊，北京區(qū)裝機(jī)量最大定制性：Pink僅適配了特定設(shè)備的處理器架構(gòu)持久性：Pink自己能夠修改設(shè)備固件，保證自身能夠長(zhǎng)期存在潛伏性：Pink沒有暴露自身的多余行動(dòng)，如掃描攻擊等Pink是一個(gè)融合了多種對(duì)抗技術(shù)的僵尸網(wǎng)絡(luò)，攻擊者通過P2PCNCPink進(jìn)行控制和管理，僵尸網(wǎng)絡(luò)家族使用新通信協(xié)議，組合式通信協(xié)議能力上升，從流量上更加難以檢測(cè)，P2P的組網(wǎng)方式也為清除造成了一定的障礙，這也讓我們想起了與Pink同年出MoziP2P僵尸網(wǎng)絡(luò)的代表作，MoziMozi的作者已被執(zhí)法機(jī)關(guān)處置，但殘余節(jié)點(diǎn)仍然會(huì)存活一段時(shí)間。木馬2021年，需要重點(diǎn)關(guān)注挖礦木馬和竊密木馬。挖礦木馬通過利用各種手段，將挖礦程序植入到用戶的計(jì)算機(jī)中，偷偷利用用戶的計(jì)算機(jī)進(jìn)行執(zhí)行挖礦功能，從而獲取收益。竊密木馬主要通過釣魚郵件植入木馬后，設(shè)法控制和篡改計(jì)算機(jī)，以此達(dá)到竊密的目的。挖礦木馬Sysrv20213WindowsLinux平臺(tái)的惡意軟件開始傳播，此惡意軟件結(jié)合的蠕蟲和礦工兩大組件，其中蠕蟲部分主要作為傳播模塊，該蠕蟲利用了企業(yè)常用軟件和框架中的六個(gè)漏洞，其中包括MongoExpress、XXL-Job、XML-RPC、Saltstack、ThinkPHPDrupalAjax；此外，該惡意軟件所帶來的額外風(fēng)險(xiǎn)是它的下載功能，通過下載并執(zhí)行其它惡意程序，為攻擊者提供了進(jìn)一步的入侵。表2.2漏洞利用表ExploitSoftwareCVE-2021-3129LaravelCVE-2020-14882OracleWeblogicCVE-2019-3396WidgetConnectormacroinAtlassianConfluenceServerCVE-2019-10758MongoExpressCVE-2019-0193ApacheSolrCVE-2017-9841PHPUnitCVE-2017-12149JbossApplicationServer個(gè)Sysrvgo64WindowsLinux平臺(tái)的兩Sysrv的更新，Sysrv不斷地結(jié)合新的漏洞利用進(jìn)行更有效地傳播，個(gè)綠盟科技伏影實(shí)驗(yàn)室針對(duì)Sysrv的衍變進(jìn)行了梳理：表2.3Sysrv挖礦程序組件變化時(shí)間衍變版本挖礦組件變化2020.12版本一挖礦工具以gzip方式內(nèi)嵌2020.12版本二挖礦工具分離成模塊化2020.12版本三挖礦部分不變2020.12版本四挖礦部分不變2021.02版本五重新把挖礦工具以gzip內(nèi)嵌2021.03版本六以ELF文件方式內(nèi)嵌挖礦工具2021.04版本七新增混淆功能2021.07版本八以網(wǎng)絡(luò)代理方式訪問礦池威脅篇威脅篇網(wǎng)絡(luò)安全2022：守望高質(zhì)量網(wǎng)絡(luò)安全2022：守望高質(zhì)量030030031031從其衍變過程可以看出，該惡意程序越發(fā)傾向于隱蔽其挖礦模塊，不斷提高對(duì)該惡意程序的追蹤難度。這個(gè)僵尸網(wǎng)絡(luò)的威脅不僅僅是增加了受害主機(jī)的計(jì)算壓力和嚴(yán)重的電力消耗，更嚴(yán)重的是，其同時(shí)可以充當(dāng)一個(gè)加載器，并安裝勒索軟件和其他惡意軟件，大大加劇了該僵尸網(wǎng)絡(luò)的潛在威脅。TeamTNTTeamTNT是一個(gè)主要入侵在線容器并通過挖礦和DDoS進(jìn)行牟利的攻擊團(tuán)伙。2021年Kubernetes集群，通過結(jié)合腳本和現(xiàn)有工具，最終在容器內(nèi)植入挖礦木馬。TeamTNT最初以利用不安全的Docker守護(hù)進(jìn)程和部署惡意容器映像而聞名，隨著不斷地更新和衍變，逐漸地向Kubernetes環(huán)境作為攻擊目標(biāo)，以擴(kuò)大其感染范圍。TeamTNT通過攻破Kubernetes集群暴露在公網(wǎng)上的Kubelet節(jié)點(diǎn)，從而實(shí)現(xiàn)對(duì)KubernetesKubelet配置不當(dāng)，接收未經(jīng)身份驗(yàn)證的請(qǐng)求，導(dǎo)致匿名訪問。正是KubeletKubernetes集群的內(nèi)部并進(jìn)行橫向移動(dòng)滲透的關(guān)鍵跳板。圖2.20入侵方式攻擊者繼續(xù)利用弱密碼和錯(cuò)誤配置來獲取云環(huán)境中的初始訪問權(quán)限，對(duì)于受害者而言，多個(gè)在線容器被植入挖礦木馬，或?qū)?dǎo)致集群內(nèi)主機(jī)資源耗盡，出現(xiàn)崩潰和拒絕服務(wù)的情況。因此，做好容器及容器管理組件的安全防范工作顯得異常重要。Kubernetes環(huán)境中豐富的計(jì)算資源進(jìn)行加密劫持，并完全可以竊取(DoS)是該惡意軟件最顯著的影響，從其豐富的功能模塊和攻擊目標(biāo)可以看出，該惡意軟件已經(jīng)發(fā)展到武器化階段。H2MinerH2MinerLinux下的僵尸網(wǎng)絡(luò)，其主要目的是在受害主機(jī)上運(yùn)行挖礦工具；它可以通Hadoopyarn未授權(quán)漏洞、Docker未授權(quán)訪問漏Redis(RCE)漏洞。攻擊者首先會(huì)對(duì)暴露在公網(wǎng)的Redis服務(wù)器進(jìn)行密碼暴力破解，一旦入侵成功后，攻擊red2.soRedis的主從服務(wù)器之間進(jìn)行同步時(shí)，red2.so文件同時(shí)也在服務(wù)器之間進(jìn)行傳播，攻擊者通過加載此文件，可執(zhí)行任意指令或發(fā)起反向連接圖2.21入侵方式為了避免該惡意軟件不斷消耗主機(jī)系統(tǒng)的計(jì)算資源，Redis組件不應(yīng)暴露在公網(wǎng)上，并使用強(qiáng)密碼進(jìn)行保護(hù)。更為重要的是應(yīng)定期檢查Redis路徑中是否遺留red2.so文件或是否包含名為kinsing的進(jìn)程。竊密木馬竊密木馬主要通過郵件傳播，通常用報(bào)價(jià)單、優(yōu)惠券、求職信、熱點(diǎn)事件等作為誘餌。此外，采用供應(yīng)鏈攻擊的情況也越來越多。2021年11月，研究人員發(fā)現(xiàn)一起針對(duì)開源軟件威脅篇威脅篇網(wǎng)絡(luò)安全2022：守望高質(zhì)量網(wǎng)絡(luò)安全2022：守望高質(zhì)量032032033033倉庫NPM的供應(yīng)鏈攻擊[1]，名為”coa”和”rc”的庫的多個(gè)版本包含惡意程序，用于竊取受害者的口令信息，這2個(gè)庫的累計(jì)下載量超過2000萬次。一些木馬團(tuán)伙，如AgentTesla，提供惡意軟件即服務(wù)（Malwareasaservice,MaaS），使得網(wǎng)絡(luò)攻擊的門檻更低。TrickbotTrickbot2016年，最初是一種銀行木馬，可竊取網(wǎng)銀賬號(hào)密碼、郵件以及主20211Emotet遭到國際執(zhí)法部門打擊后，Trickbot2021年的多個(gè)時(shí)期，Trickbot都位居惡意軟件榜首。Trickbotshellcodeshellcode能夠有效躲避安全防護(hù)軟件的檢測(cè)，通過大量使用加密和內(nèi)存加載技術(shù)，增加了對(duì)其分析和溯源的成本。Trickbot不斷尋求與其它網(wǎng)絡(luò)攻擊團(tuán)伙合作。2021年10月，與Shathak團(tuán)伙合作，投放Conti勒索軟件。Shathak團(tuán)伙又名TA551，其慣用的攻擊手法是發(fā)送釣魚郵件，附件為包含惡意宏文檔的加密壓縮包。惡意宏文檔下載執(zhí)行TrickBot，TrickBot再部署勒索軟件。在中斷十個(gè)月后，Emotet11[2]Trickbot發(fā)送包含文檔或壓縮包的垃圾郵件進(jìn)行傳播。Emotet歸來后，必然會(huì)發(fā)起新的攻擊，未來會(huì)如何發(fā)展，綠盟科技將持續(xù)跟蹤。AgentTeslaAgentTeslat2014FTP客戶端應(yīng)用中的用戶信息、主機(jī)鍵盤記錄、窗口程序中文本、并定時(shí)對(duì)受控端主機(jī)進(jìn)行截屏。主要通過SMTP方式上傳竊取信息至攻擊者，也會(huì)通過HTTP、FTP、TelegramDiscord進(jìn)行發(fā)送。AgentTesla提供惡意軟件即服務(wù)，在一些網(wǎng)站公開售賣，因此本年度長(zhǎng)期位于惡意軟件AgentTesla的身影，常常通過釣魚郵件進(jìn)行投放。/2021/11/two-npm-packages-with-22-million-weekly.htmlhttps://cyber.wtf/2021/11/15/guess-whos-back/6月11日，綠盟科技伏影實(shí)驗(yàn)室捕獲到兩封攜帶cve-2017-11882漏洞利用載荷的釣魚文檔。兩封文檔分別偽裝成土耳其貨運(yùn)公司ALATLI的海關(guān)報(bào)表以及土耳其制造商mgtairfilters物流部門相關(guān)工作人員的參會(huì)表。兩封文檔使用了類似形式的漏洞利用，會(huì)從同一個(gè)網(wǎng)絡(luò)地址下載封裝后的AgentTesla間諜木馬并運(yùn)行。圖2.22釣魚附件截圖一些攻擊者利用XAMPP技術(shù)搭建供AgentTesla訪問的基礎(chǔ)設(shè)施，并申請(qǐng)動(dòng)態(tài)域名，能夠在不固定的IP搭建Web服務(wù)。AgentTesla使用了更多的代碼混淆技術(shù)，以躲避安全防護(hù)軟件的查殺，增加分析成本。FormbookFormbook2016年開始在多個(gè)黑客論壇上售賣。Formbook主要利用釣魚郵件進(jìn)行傳播，主要功能是竊取鍵盤記錄，瀏覽器、EmailFTP的密碼，以及其它HTTP、SMTP、FTP、TelegramDiscord等方式發(fā)送竊取的信息。威脅篇威脅篇網(wǎng)絡(luò)安全2022：守望高質(zhì)量網(wǎng)絡(luò)安全2022：守望高質(zhì)量034034035035Formbook的版本不斷更新，攻擊載荷高度混淆，采用反調(diào)試技術(shù)，并且使用多個(gè)C2C服務(wù)器，具有很強(qiáng)的對(duì)抗分析和反溯源能力，本年度長(zhǎng)期位于惡意軟件排行榜前列。Formbook經(jīng)常與CVE漏洞結(jié)合使用，早期版本多使用CVE-2017-0199和CVE-2017-11882等漏洞。圖2.23釣魚郵件截圖2021年9月份，Office365的CVE-2021-40444漏洞公開后，新的Formbook變種充分使用CVE-2021-40444漏洞進(jìn)行攻擊。Windows的新版本XLoadermacOS49美元的月租金租用macOS系統(tǒng)的安全性帶來很大的威脅。高級(jí)可持續(xù)性威脅態(tài)勢(shì)總覽2021年，受地緣政治影響，南亞、東亞和東歐地區(qū)依然是APT組織最為活躍的地區(qū)。根據(jù)國內(nèi)外各大廠商所披露的報(bào)告，在發(fā)動(dòng)攻擊方面，朝鮮組織Kimsuky和Lazarus及新出現(xiàn)的東歐APT組織Lorec53的活躍度排名前列。而海蓮花以及摩訶草這類針對(duì)中國的APT組織亦在活動(dòng)，情況不容樂觀。 圖2.24APT組織所屬地區(qū)活躍度對(duì)比圖2.25熱門APT組織攻擊事件數(shù)量本年度，綠盟科技伏影實(shí)驗(yàn)室追蹤發(fā)現(xiàn)各國家級(jí)APT組織的攻擊活動(dòng)依然主要圍繞定制化的釣魚郵件展開，最終通過其中的各類惡意附件文件達(dá)成攻擊目的。被廣泛使用的惡意附件類型包括文檔、快捷方式文件、html文件等。威脅篇威脅篇網(wǎng)絡(luò)安全2022：守望高質(zhì)量網(wǎng)絡(luò)安全2022：守望高質(zhì)量036036037037圖2.26釣魚文檔誘餌攻擊類型經(jīng)過多年發(fā)展，釣魚文檔相關(guān)技術(shù)已經(jīng)成熟，惡意宏、漏洞利用、機(jī)制濫用等三類常見攻擊實(shí)現(xiàn)途徑。圖2.27釣魚誘餌內(nèi)容分布情況結(jié)合政府公文、報(bào)告、簡(jiǎn)歷等數(shù)類敏感誘餌內(nèi)容，再搭配長(zhǎng)期發(fā)展過程中形成的自動(dòng)化生成工具，就形成了APT組織鐘愛的高效且覆蓋面廣的魚叉攻擊手段。雖然整體而言，釣魚文檔存在易檢測(cè)、易攔截、易溯源的固有問題，但由于技術(shù)門檻較低、投入回報(bào)比較高，多個(gè)國家級(jí)APT組織依然依靠惡意文檔提供基本面的攻擊能力，為更高精度的定向攻擊提供情報(bào)基礎(chǔ)。表2.4本年度通過釣魚文檔進(jìn)行攻擊的主要APT組織歸屬區(qū)域APT組織東歐APT28、APT29、Gamaredon、FIN7、Lorec53東亞Lazarus、Konni、Kimsuky南亞Patchwork、SideWinder、SideCopy、Bitter、TransparentTribe、Donot中東APT34、CharmingKitten非洲SWEED未確認(rèn)/未知TA505惡意快捷方式文件成為APT組織在釣魚文檔之外的重要替代選擇。由于歷史遺留問題，windows快捷方式文件能夠提供擴(kuò)展名隱藏、圖標(biāo)偽裝、cmd命令執(zhí)行等多種方便攻擊者使用的特性，可以輕易構(gòu)建具有很強(qiáng)迷惑性的誘餌文件。配合近年來花樣繁多的hta、powershell、JavaScript等腳本式木馬，惡意快捷方式文件可以在無需額外交互的情況下完成提權(quán)、下載、展示誘餌信息、運(yùn)行或注入木馬等一系列操作，并且在整個(gè)過程中不被受害者感知。APT組織在使用惡意快捷方式文件時(shí)，通常將文件與其他誘餌文件、釣魚文檔、無害文件等一同放入壓縮包中，隨魚叉郵件進(jìn)行投遞。本年度，積極使用惡意快捷方式文件的APT組織包括Lazarus、Lorec53、SideWinder等。面對(duì)郵件審查嚴(yán)格或入口相對(duì)封閉的機(jī)構(gòu)或設(shè)施，APT組織通常構(gòu)建精致的水坑站點(diǎn)進(jìn)行攻擊。本年度，APT組織常用的水坑誘餌網(wǎng)頁包括各國主流郵箱服務(wù)的登錄頁面、常用軟件或工具的下載頁面、附帶下載鏈接的政府情報(bào)公示頁面等。廣泛使用水坑站點(diǎn)進(jìn)行攻擊的APT組織包括毒云藤、Lorec53、Lazarus等。在隱匿技術(shù)方面，APT組織通常使用信道加密的手段來躲避網(wǎng)絡(luò)側(cè)的檢測(cè)。在2021年的APT活動(dòng)監(jiān)測(cè)分析中，APT攻擊組織常使用異或算法加密數(shù)據(jù)，進(jìn)行隱匿傳輸。威脅篇威脅篇網(wǎng)絡(luò)安全2022：守望高質(zhì)量網(wǎng)絡(luò)安全2022：守望高質(zhì)量038038039039圖2.28APT組織使用的加密方法本年度，APT組織搭建控制信道時(shí)更偏好使用HTTP協(xié)議，HTTP協(xié)議通信格式松散，可嵌入任意數(shù)據(jù)，不限制流量大小，通常網(wǎng)絡(luò)防護(hù)設(shè)備不會(huì)針對(duì)該協(xié)議進(jìn)行分析和攔截。另一方面，攻擊者傳輸?shù)男袨橐材芎芎玫仉[藏在正常的網(wǎng)頁瀏覽流量中，降低了檢出率。圖2.29C&C信道使用的協(xié)議類型目前，國家級(jí)APT組織，整體上依然以地緣政治上的敵對(duì)勢(shì)力作為主要攻擊目標(biāo)，并重點(diǎn)滲透在當(dāng)前時(shí)段內(nèi)能夠?qū)^(qū)域形勢(shì)產(chǎn)生巨大影響的機(jī)構(gòu)和設(shè)施，這些重點(diǎn)目標(biāo)包括軍事設(shè)施、政府部門、法務(wù)部門等。同時(shí)，由于COVID-19疫情的蔓延，APT組織也開始展開對(duì)各國衛(wèi)生防疫機(jī)構(gòu)的攻擊。此外，為滿足不斷增長(zhǎng)的攻擊能力需求，APT組織開始攻擊安全研究人員，試圖獲取0day漏洞和滲透工具等，豐富自己的攻擊手段。圖2.30APT攻擊目標(biāo)占比分析本年度，綠盟科技伏影實(shí)驗(yàn)室通過高級(jí)威脅檢測(cè)系統(tǒng)成功捕獲到諸多已知APT組織或新興組織對(duì)我國發(fā)起的網(wǎng)絡(luò)攻擊活動(dòng)，對(duì)已經(jīng)對(duì)外披露的APT組織攻擊活動(dòng)的攻擊手法、攻擊目標(biāo)匯總?cè)缦卤?。?.5本年度針對(duì)中國的APT組織名稱、歸屬、手法、目標(biāo)對(duì)照表（已公開部分）組織歸屬攻擊手法本年度主要攻擊目標(biāo)Patchwork印度魚叉郵件式釣魚中國軍隊(duì)Bitter印度水坑站點(diǎn)式釣魚中國高級(jí)政府部門、地方政府、學(xué)術(shù)機(jī)構(gòu)OceanLotus越南基于字典爆破和漏洞掃描的滲透攻擊中國高級(jí)政府部門、疫情防疫相關(guān)部門、重點(diǎn)企業(yè)Lazarus朝鮮魚叉郵件釣魚社交媒體釣魚國內(nèi)安全研究人員毒云藤臺(tái)灣水坑站點(diǎn)式釣魚中國軍隊(duì)、高級(jí)政府部門、高校與研究機(jī)構(gòu)ARTEAM未確認(rèn)魚叉郵件式釣魚港澳臺(tái)執(zhí)法部門威脅篇威脅篇網(wǎng)絡(luò)安全2022：守望高質(zhì)量網(wǎng)絡(luò)安全2022：守望高質(zhì)量040040041041針對(duì)我國的攻擊活動(dòng)數(shù)量與當(dāng)前國際形勢(shì)密切相關(guān)。本年度，各印度APT組織明顯加強(qiáng)了對(duì)我國軍隊(duì)的網(wǎng)絡(luò)攻擊強(qiáng)度，企圖通過此類間諜活動(dòng)增加影響邊境局勢(shì)的籌碼。印度APT組織在本年度的攻擊活動(dòng)中使用了大量與中巴兩國利益相關(guān)的文檔類誘餌，能夠體現(xiàn)攻擊者在相關(guān)領(lǐng)域的積累的深度。隨著國內(nèi)近年來在網(wǎng)絡(luò)安全領(lǐng)域的高速發(fā)展，持續(xù)積累的安全研究資產(chǎn)成為境外APT攻擊者的新目標(biāo)。為獲取我國安全研究人員的工作成果，Lazarus組織在2020年年底到2021年年初的一段時(shí)間內(nèi)策劃了利用社交媒體的釣魚攻擊活動(dòng)，意圖通過有針對(duì)性的社會(huì)工程學(xué)手段，獲取國內(nèi)安全研究人員掌握的未公開漏洞或攻擊工具等資產(chǎn)。由上述表格還可以看出，針對(duì)我國的APT組織對(duì)水坑站點(diǎn)式釣魚攻擊有一定的依賴度。以毒云藤、BitterAPT組織通常會(huì)在短時(shí)間內(nèi)制作大量水坑站點(diǎn)，偽裝163126QQ竊取受害者的郵箱憑證和郵箱內(nèi)容。戰(zhàn)術(shù)變化本年度高級(jí)可持續(xù)性威脅的發(fā)展變化趨勢(shì)中，針對(duì)安全研究人員和供應(yīng)鏈的攻擊需要引起關(guān)注。社交工程的強(qiáng)化2021年，由于攻擊目標(biāo)的變化，導(dǎo)致某些APT組織在誘餌種類和社交工程等方面均發(fā)生變化。攻擊目標(biāo)方面，國外的網(wǎng)絡(luò)安全從業(yè)人員進(jìn)入到Lazarus的攻擊視野中。這主要是為了取長(zhǎng)補(bǔ)短，竊取對(duì)方掌握的安全技術(shù)，有別于傳統(tǒng)的基于政治經(jīng)濟(jì)因素的竊密。誘餌種類方面，也隨著攻擊目標(biāo)的變化而發(fā)生變化。傳統(tǒng)的APT釣魚攻擊，其目標(biāo)多為政府、軍事、工業(yè)、能源機(jī)構(gòu)以及學(xué)術(shù)團(tuán)體，缺乏安全意識(shí)，因此誘餌多采用釣魚郵件配以惡意文檔的方式。而當(dāng)網(wǎng)安人員成為攻擊目標(biāo)時(shí)，安全/開發(fā)工具對(duì)其則更具吸引力，如攜帶后門的VS工程和逆向軟件等。社交工程手法方面，傳統(tǒng)的主要方法是獲取目標(biāo)的個(gè)人以及單位/公司的背景信息，以此制作出高度定向且本地化的釣魚郵件。但這種手段因?yàn)榘踩芯咳藛T而失效，所以攻擊者改變攻擊手段，花費(fèi)了更長(zhǎng)的時(shí)間來進(jìn)行“自我價(jià)值”展示，以此獲取目標(biāo)的信任，充分體現(xiàn)了該組織因地制宜的特點(diǎn)。此外，即便是針對(duì)非安全研究人員，攻擊者也會(huì)花費(fèi)精力與其進(jìn)行更多交互。例如中東CharmingKitten供應(yīng)鏈之痛供應(yīng)鏈攻擊，可通過攻擊上游機(jī)構(gòu)來獲取進(jìn)入下游機(jī)構(gòu)的通道，并達(dá)成一石多鳥的效果。2020UNC2452SolarWinds公司的供應(yīng)鏈，并波及18,000SolarWinds公司的服務(wù)器并在關(guān)鍵產(chǎn)品中添加惡意代碼，并通過該產(chǎn)品的更新，將后門植入到相關(guān)客戶企業(yè)的設(shè)備中。當(dāng)后門啟動(dòng)時(shí)，采取多種手段進(jìn)行隱藏以對(duì)抗安全檢測(cè)。該事件發(fā)生在供應(yīng)鏈安全中最為關(guān)鍵的開發(fā)環(huán)節(jié)，暴露出開發(fā)團(tuán)隊(duì)只關(guān)注程序正常運(yùn)行問題，而忽視了對(duì)自身文件的完整性校驗(yàn)。由于缺失檢測(cè)源碼與最終可執(zhí)行文件匹配度的手段，開發(fā)團(tuán)隊(duì)將無力察覺自身代碼遭到注入，進(jìn)而帶來隱患。LazarusSolarWinds事件不同，該事件發(fā)生在供應(yīng)鏈安全的渠道分發(fā)環(huán)節(jié)，即替換正常的工具。當(dāng)前，各類機(jī)構(gòu)的IT產(chǎn)品都不再是完全自生自造，都或多或少依賴開源方案或其他公司的基礎(chǔ)產(chǎn)品。這導(dǎo)致當(dāng)今的軟件生態(tài)越來越復(fù)雜，蘊(yùn)含的安全風(fēng)險(xiǎn)也與日俱增。相比軟件公司開發(fā)的產(chǎn)品，由個(gè)人和組織提供的開源方案更加缺少安全約束，更容易成為供應(yīng)鏈攻擊的目標(biāo)。即便攻擊者真正的目標(biāo)只是下游機(jī)構(gòu)中的少數(shù)，也會(huì)因?yàn)檐浖姆职l(fā)而波及到其他無辜單位，從而擴(kuò)大攻擊面。攻擊區(qū)域/前獨(dú)聯(lián)體區(qū)域Lorec53組織是由綠盟科技伏影實(shí)驗(yàn)室在2021年度發(fā)現(xiàn)和披露的新的APT組織[1]，主要針對(duì)烏克蘭和格魯吉亞的政府部門。該組織借鑒了Gamaredon、Lazarus的常用手法，其能力絕非新手范圍，說明其身份可能是受到更高勢(shì)力雇傭的民間攻擊團(tuán)體。Gamaredon2013年開始活動(dòng)，2021年持續(xù)對(duì)烏克蘭和部分俄語群體大量釣魚攻擊。Gamaredon使用的誘餌話題多為俄烏周邊的政治軍事經(jīng)濟(jì)有關(guān)，并取材[1] /lorec-53/威脅篇威脅篇網(wǎng)絡(luò)安全2022：守望高質(zhì)量網(wǎng)絡(luò)安全2022：守望高質(zhì)量042042043043自烏政府各部分的文件。在攻擊方面，Gamaredon采用短時(shí)間內(nèi)大量活動(dòng)的策略，往往使得目標(biāo)難以進(jìn)行有效響應(yīng)。朝鮮半島KimsukyAPT[1]，主要攻擊韓國政府及韓美兩國研究政治的學(xué)術(shù)團(tuán)體，非常Kimsuky全年活躍，攻擊手法依然以投遞釣魚郵件為主，最終執(zhí)行多種惡意自制組件進(jìn)行竊密，同時(shí)也在個(gè)別事件中輔以釣魚網(wǎng)站以獲取目標(biāo)賬號(hào)。此外，KimsukyWindowsAndroid版，PDF著變化。LazarusAPT組織，針對(duì)韓國、中國及多個(gè)亞洲國家，非常活躍。該組織本年度持續(xù)對(duì)自身的攻擊組件進(jìn)行變形升級(jí)，在開發(fā)上保持對(duì)目標(biāo)的威脅能力，并在攻擊上另辟蹊徑，主導(dǎo)了年初針對(duì)安全研究人員的大型間諜活動(dòng)，以竊取最新漏洞利用方法。為了獲取目標(biāo)信任，Lazarus采用了交互性更強(qiáng)的手段。該組織將自身偽造成安全從業(yè)人員，融入社交媒體，花費(fèi)數(shù)月時(shí)間與其他安全人員展開接觸，并搭建了以假亂真的技術(shù)博客并發(fā)布文章，逐步構(gòu)建信任。待時(shí)機(jī)成熟時(shí)，Lazarus便上傳攜帶后門的工具供下載，達(dá)成了釣魚攻擊。同時(shí)，Lazarus還發(fā)起供應(yīng)鏈攻擊，入侵了韓國某些使用特定安全管理軟件的網(wǎng)站，替換了其提供下載的軟件，而由于安全管理軟件在下載軟件時(shí)的驗(yàn)證過程存在漏洞，導(dǎo)致用戶安裝了惡意后門；而在另一起事件中，Lazarus用竊取的證書為后門簽名，并部署在拉脫維亞某公司的網(wǎng)絡(luò)內(nèi)部，以此實(shí)施攻擊。而另一個(gè)同樣擅長(zhǎng)魚叉攻擊的朝鮮APT組織Group123，其活躍度不及Kimsuky和Lazarus。該組織另尋他路，將重點(diǎn)放對(duì)俄羅斯方面，開辟了新的“戰(zhàn)線”。南亞印巴、中印問題爭(zhēng)端不斷，帶動(dòng)了這一區(qū)域APT組織進(jìn)行活動(dòng)。透明部落（TransparentTribe）APT[2]，主要使用釣魚攻擊，以及誘導(dǎo)Android后門。該組織本年度活動(dòng)頻繁，主要針對(duì)的目標(biāo)包括印度陸軍、印度國防部和醫(yī)療行業(yè)等部門。/apt-kimsuky//transparent-tribe-activity-analysis-of-usbworm/與巴基斯坦毗鄰的印度有多個(gè)APT組織，長(zhǎng)期向周邊鄰國發(fā)動(dòng)攻擊進(jìn)行竊密活動(dòng)，目標(biāo)包括中國、巴基斯坦和尼泊爾，甚至還包括個(gè)別東南亞國家。在中印爭(zhēng)端升級(jí)的情況下，印方不斷炒作“中國網(wǎng)絡(luò)威脅”，實(shí)為掩蓋自己的攻擊活動(dòng)。用APT組織，主要針對(duì)中國和巴基斯坦的政府軍工單位。該組織本年度曾利鮮officeesp的漏洞，對(duì)中國發(fā)起釣魚攻擊，而這種利用esp漏洞的攻擊方式多見于朝鮮APT組織針對(duì)韓國的事件中。肚腦蟲（Donot）APTrtf文檔進(jìn)行攻擊。該組織在利用公式編輯器漏洞上增加了一層保護(hù)，將帶有漏洞的文檔設(shè)置為模板放在遠(yuǎn)程服務(wù)器上，通rtfrtf文檔可進(jìn)行混淆用于對(duì)抗靜態(tài)查殺，因此屢次出現(xiàn)在釣魚攻擊中。另一個(gè)印度組織蔓靈花（Bitter）也是長(zhǎng)期針對(duì)中國發(fā)動(dòng)攻擊。本年度該組織在誘餌類型officechm類型的釣魚文件，通過執(zhí)行其中的惡意腳本下載后續(xù)組件。Chm用的風(fēng)險(xiǎn)。東南亞APT[1]，是一個(gè)具有越南政府背景的境外黑客組織。長(zhǎng)期以來針對(duì)中國及其他東亞政府部門和企業(yè)進(jìn)行攻擊。已披露的海蓮花攻擊事件中，大多使用側(cè)加載攻擊的方式，利用各種正規(guī)的應(yīng)用程序，例如Office程序、各類國產(chǎn)軟件組件等，加載和執(zhí)行惡意載荷。2021年海蓮花仍然利用側(cè)載攻擊的手法，并對(duì)利用過程進(jìn)行改進(jìn)，通過下發(fā)的白文件替換服務(wù)、任務(wù)計(jì)劃等涉及的目標(biāo)可執(zhí)行文件，實(shí)現(xiàn)側(cè)載攻擊和系統(tǒng)駐留。中東MuddyWater，伊朗APT組織，歷來以中東各個(gè)國家為目標(biāo)。2021年初，該組織就利用魚叉釣魚郵件，以針對(duì)阿聯(lián)酋、沙特、以色列和阿塞拜疆境內(nèi)的政府機(jī)構(gòu)文件為誘餌，發(fā)動(dòng)對(duì)中東家的釣魚攻擊，傳播合法的遠(yuǎn)程管理工具ScreenConnect。APT34，也是伊朗APT組織，主要針對(duì)中東各國和英語國家，善于采用通信隱匿技術(shù)來規(guī)避檢測(cè)和追蹤，本年度使用新木馬SideTwist發(fā)動(dòng)針對(duì)黎巴嫩目標(biāo)的攻擊活動(dòng)，SideTwist木馬將通信數(shù)據(jù)以注釋形式隱藏于html文本的javascript標(biāo)簽中，有極強(qiáng)的規(guī)避效果。[1] /msmpeng-oceanlotus-0807/威脅篇威脅篇網(wǎng)絡(luò)安全2022：守望高質(zhì)量網(wǎng)絡(luò)安全2022：守望高質(zhì)量044044045045CharmingKitten，伊朗APT，善于使用魚叉式釣魚攻擊投放定制的惡意軟件，既往攻擊活動(dòng)以政府，國防技術(shù)，軍事和外交部門為目標(biāo)，本年度進(jìn)行了針對(duì)醫(yī)學(xué)專家的高級(jí)滲透攻擊活動(dòng)，這也代表著該組織在攻擊目標(biāo)上的轉(zhuǎn)變。根據(jù)披露，CharmingKitten在上半年冒充中東事務(wù)研究人員，以攻擊在英國的同樣研究中東事務(wù)的學(xué)者。為了獲取信任，CharmingKitten竊取了其他教授的姓名和泄露的電子郵箱來與目標(biāo)進(jìn)行對(duì)話。對(duì)話過程來來回回，經(jīng)歷多次討論，直到目標(biāo)有意參與如在線會(huì)議這樣的活動(dòng)，屆時(shí)CharmingKitten則會(huì)推送偽造的注冊(cè)頁面，達(dá)成攻擊。IPv6安全威脅2021年綠盟科技威脅情報(bào)中心通過對(duì)百余家國內(nèi)單位的攻擊告警數(shù)據(jù)進(jìn)行分析，觀察國內(nèi)IPv6環(huán)境下的單位面臨的威脅狀況。IPv6漏洞漏洞數(shù)量（個(gè)）2002IPv6507相關(guān)漏洞大幅增長(zhǎng)，201720207490IPv6相關(guān)漏洞，其中，高危漏洞占比較高。漏洞數(shù)量（個(gè)）圖2.312002年到2021年IPv6相關(guān)漏洞統(tǒng)計(jì)攻擊源

圖2.322020年IPv6安全漏洞等級(jí)分布針對(duì)202152,707個(gè)，2020352.4%27,970202068.8%。從觀察的情況看，中國企業(yè)面臨來自境外的攻擊占比約65%、來自中國地區(qū)的攻擊占比約35%，與2020年不同，2021年來源境外的攻擊成為了IPv6網(wǎng)絡(luò)環(huán)境國內(nèi)企業(yè)面臨的主要威脅來源。圖2.332020年及2021年IPv6攻擊源地域分布（右為2021年）威脅篇威脅篇網(wǎng)絡(luò)安全2022：守望高質(zhì)量網(wǎng)絡(luò)安全2022：守望高質(zhì)量046046047047國外2.34所示，在攻擊告警中86.26%4.41%、1.93%和1.60%2020年相同的是，來源國外的攻擊當(dāng)中，美國仍占了大多數(shù)，不同的是，來源德國的攻擊數(shù)量大幅減少。2.3420202021TOP10（2021年）對(duì)境外攻擊源進(jìn)一步分析，可以發(fā)現(xiàn)僵木蠕是境外來源的攻擊事件中常用的攻擊方式，如表2.6所示。表2.6來源境外TOP10攻擊事件攻擊名稱數(shù)量挖礦蠕蟲WannaMine連接DNS服務(wù)器通信10376惡意程序windows/Ramnit_a網(wǎng)絡(luò)通信8517挖礦程序查詢DNS礦池服務(wù)器域名6112驅(qū)動(dòng)人生下載器木馬惡意域名DNS查詢1006PHP代碼執(zhí)行漏洞634可疑Webshell腳本文件上傳行為560惡意程序windows/PowerGhost_a網(wǎng)絡(luò)通信527木馬后門程序ChopperWebshell檢測(cè)506Discuz!X/utility/convert/index.php遠(yuǎn)程代碼執(zhí)行漏洞504FCKEditor‘FileUpload()’函數(shù)任意文件上傳漏洞441國內(nèi)告警數(shù)量（條）針對(duì)攻擊源位于國內(nèi)的攻擊事件進(jìn)行分析，具體分布如圖2.35所示，在攻擊告警數(shù)量排名TOP3的省市是山東省、浙江省和上海市。告警數(shù)量（條）圖2.35來源國內(nèi)攻擊地理分布TOP10IPv6同時(shí)國內(nèi)攻擊源還較多的使用安全漏洞進(jìn)行攻擊。相比來自境外的攻擊，來自國內(nèi)的攻擊方式更復(fù)雜。威脅篇威脅篇網(wǎng)絡(luò)安全2022：守望高質(zhì)量網(wǎng)絡(luò)安全2022：守望高質(zhì)量048048049049表2.7來源國內(nèi)TOP10攻擊事件攻擊名稱數(shù)量ACK-Flood拒絕服務(wù)攻擊7098PHP代碼執(zhí)行漏洞3233遠(yuǎn)程控制工具TeamViewer連接2311HTTP請(qǐng)求敏感路徑訪問嘗試2103HTTP服務(wù)目錄遍歷漏洞1555驅(qū)動(dòng)人生下載器木馬惡意域名DNS查詢936HTTP請(qǐng)求uri/referer字段目錄遍歷824服務(wù)器端口掃描－SYNACK掃描743ApacheShiro身份驗(yàn)證繞過漏洞(CVE-2020-11989)687勒索病毒W(wǎng)annaCry嘗試通信432攻擊類型2021IPv6IP2.36所示，Web42.2%、29.313.6%。受威脅行業(yè)

圖2.36攻擊類型分布2021年，通過對(duì)國內(nèi)IPv6環(huán)境下的教育、能源、金融和交通等多個(gè)單位攻擊數(shù)據(jù)進(jìn)行分析和統(tǒng)計(jì)，觀察不同行業(yè)被攻擊的情況如圖2.37所示。圖2.37不同行業(yè)被攻擊統(tǒng)計(jì)從遭受攻擊數(shù)量上看，排名第一的是教育行業(yè)，占比高達(dá)86.9%，其次是能源行業(yè)和交通行業(yè)，分別占比12.6%和0.4%從觀察結(jié)果來看，教育行業(yè)依舊是遭受攻擊的重點(diǎn)行業(yè)，尤其是各大院校，IPv6建設(shè)走在全國行業(yè)前列，IPv6應(yīng)用成熟度較高，成為攻擊者的重點(diǎn)攻擊目標(biāo)。接下來是能源和交通IPv6IPv63數(shù)字基礎(chǔ)設(shè)施篇網(wǎng)絡(luò)安全2022：守望高質(zhì)量網(wǎng)絡(luò)安全2022：守望高質(zhì)量數(shù)字基礎(chǔ)設(shè)施篇數(shù)字基礎(chǔ)設(shè)施篇051051052052數(shù)據(jù)安全2021年，我國《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》兩部重要的數(shù)據(jù)安全相關(guān)法律相繼正式實(shí)施，這標(biāo)志我國數(shù)據(jù)安全領(lǐng)域進(jìn)入強(qiáng)監(jiān)管時(shí)代。滿足合規(guī)性已經(jīng)成為企業(yè)數(shù)據(jù)安全建設(shè)重要驅(qū)動(dòng)力。本章節(jié)從熱點(diǎn)數(shù)據(jù)安全事件、數(shù)據(jù)安全立法和執(zhí)法事件以及數(shù)據(jù)安全發(fā)展趨勢(shì)三個(gè)維度展開介紹。熱點(diǎn)安全事件全球重大數(shù)據(jù)泄露事件2021全球數(shù)據(jù)大規(guī)模數(shù)據(jù)泄露的代表性事件，一共有103.187154外，其他均是互聯(lián)網(wǎng)暴露與配置錯(cuò)誤，安全意識(shí)培訓(xùn)和基本的配置檢查不可忽視。3.12021年國內(nèi)外大規(guī)模數(shù)據(jù)泄露事件收錄（按泄漏規(guī)模排序）事件時(shí)間規(guī)模事件描述原因12021年7月7億美國LinkedIn公司7億多條用戶信息在論壇RaidForums被黑客出售黑客攻擊22021年4月5.3億美國Facebook公司有超5.3億條用戶數(shù)據(jù)在一個(gè)黑客論壇公開互聯(lián)網(wǎng)暴露與配置錯(cuò)誤32021年1月3.18億國內(nèi)Socialarks公司被曝泄露了400GB數(shù)據(jù)，涉及3.18億條用戶記錄互聯(lián)網(wǎng)暴露與配置錯(cuò)誤42021年1月2.23億巴西官方數(shù)據(jù)庫遭到重大泄露，受影響人員2.2億，幾乎為所有巴西公民售括 未知原因52021年1月2億2 息致 黑客攻擊62021年9月1.4億iOS/億條信息互聯(lián)網(wǎng)暴露與配置錯(cuò)誤72021年8月1.26億美國OneMorelead營(yíng)銷公司發(fā)生數(shù)據(jù)泄露，涉及1.26億美國公民的信息互聯(lián)網(wǎng)暴露與配置錯(cuò)誤82021年8月1.06億泰國游客的ES數(shù)據(jù)庫暴露，泄露數(shù)據(jù)涉及1.06億游客的個(gè)人信息露 個(gè) 互聯(lián)網(wǎng)暴露與配置錯(cuò)誤92021年8月3800萬臺(tái)等存儲(chǔ)的敏感數(shù)據(jù)互聯(lián)網(wǎng)暴露與配置錯(cuò)誤102021年1月800萬印度多個(gè)政府網(wǎng)站發(fā)生數(shù)據(jù)泄露，涉及800萬COVID-19患者檢測(cè)報(bào)告互聯(lián)網(wǎng)暴露與配置錯(cuò)誤/data-700m-linkedin-users-cyber-underground/167362/https:///blog/533-million-facebook-users-data-leaked-onlinehttps:///blog/socialarks-leak-report/https://ernetgovernancehub.blog/2021/02/06/the-largest-personal-data-leakage-in-brazilian-history/https://securityaffairs.co/wordpress/112966/deep-web/chinese-citizens-data-darkweb.html/security/research-popular-android-apps-with-142-5-million-collective-downloadsare-leaking-user-data/https:///yet-another-massive-data-leak-marketing-company-exposes-126-million-us-citizens/293328/[9] /omn/20210824/20210824A02DHP00.htmlhttps:///news/security/over-8-million-covid-19-test-results-leaked-online/IBM發(fā)布的《2021數(shù)據(jù)泄露成本報(bào)告》[1]424萬美元。數(shù)據(jù)安全事件導(dǎo)致的經(jīng)濟(jì)損失居高不下。為了降低數(shù)據(jù)泄露風(fēng)險(xiǎn)，企業(yè)可從以下各個(gè)方面進(jìn)行改進(jìn)和優(yōu)化：定期開展安全意識(shí)培訓(xùn)，提高員工對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)的認(rèn)知和感知；描與配置檢查、更新軟件補(bǔ)丁、身份權(quán)限管控、部署數(shù)據(jù)庫防火墻等安全措施；果評(píng)估、數(shù)據(jù)加密、隱私計(jì)算等安全措施。源代碼泄露事件源代碼泄露是信息泄露中最常見并且后果最嚴(yán)重的事件之一。源代碼泄露不僅會(huì)造成用戶信息、網(wǎng)站資源等泄露影響企業(yè)競(jìng)爭(zhēng)力，還容易降低攻擊者對(duì)目標(biāo)系統(tǒng)的攻擊難度（黑客通過源代碼級(jí)的研究更容易入侵客戶系統(tǒng)造成更大的損失）。經(jīng)綠盟威脅情報(bào)中心統(tǒng)計(jì)，20213.144%27%9%。這些泄露代碼對(duì)組織和機(jī)構(gòu)造成持續(xù)性威脅，攻擊者可能利用泄露的源代碼分析發(fā)現(xiàn)漏洞，對(duì)系統(tǒng)安全進(jìn)行滲透，上傳惡意程序獲取訪問權(quán)限，從而竊取關(guān)鍵敏感信息，或進(jìn)行勒索攻擊，這些威脅隱患都將給組織帶去不可預(yù)計(jì)的損失。圖3.1源代碼泄露事件行業(yè)分布[1] https:///cn-zh/security/data-breach網(wǎng)絡(luò)安全2022：守望高質(zhì)量網(wǎng)絡(luò)安全2022：守望高質(zhì)量數(shù)字基礎(chǔ)設(shè)施篇數(shù)字基礎(chǔ)設(shè)施篇053053054054根據(jù)源代碼泄露事件中泄露代碼類型和受影響程度，將事件分為高中低三個(gè)風(fēng)險(xiǎn)等級(jí)。其中高風(fēng)險(xiǎn)泄露事件包括泄露賬號(hào)密碼、業(yè)務(wù)代碼、服務(wù)器秘鑰等，中風(fēng)險(xiǎn)泄露事件包括泄API調(diào)用接口、配置文件、網(wǎng)絡(luò)拓?fù)涞刂贰⒆C書、組織業(yè)務(wù)資料等；低風(fēng)險(xiǎn)泄露事件包括78%，其次是中風(fēng)險(xiǎn)泄露事件（17%）和低風(fēng)險(xiǎn)泄露事件（5%）。圖3.2源代碼泄露事件風(fēng)險(xiǎn)等級(jí)分布暗網(wǎng)數(shù)據(jù)泄露事件近幾年，暗網(wǎng)作為數(shù)據(jù)泄露的主要途徑之一以及暗網(wǎng)相關(guān)的網(wǎng)絡(luò)犯罪活動(dòng)頻頻發(fā)生，引起了國家相關(guān)部門的注意。經(jīng)綠盟威脅情報(bào)中心統(tǒng)計(jì)，2021年暗網(wǎng)數(shù)據(jù)泄露事件中，從地理分布來看，東部沿海地區(qū)數(shù)據(jù)泄露較為嚴(yán)重。在經(jīng)濟(jì)發(fā)展程度越高的地區(qū)，數(shù)據(jù)流轉(zhuǎn)、共享和應(yīng)用業(yè)務(wù)更加活躍，數(shù)據(jù)發(fā)生暴露和泄露風(fēng)險(xiǎn)更大。因此，做好數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)、安全防護(hù)相關(guān)管理和技術(shù)措施不可或缺。政策和市場(chǎng)國外現(xiàn)狀

圖3.3暗網(wǎng)數(shù)據(jù)泄露事件地理分布（UNCAD截至2021年11月26日統(tǒng)計(jì)[1]77%（共194個(gè)國家完成了數(shù)據(jù)數(shù)據(jù)安全和隱私立法或者已經(jīng)提出法律草案。其中包括歐盟、美國、中國、俄羅斯和印度和澳大利亞、加拿大和日本等絕大數(shù)國家。隨著數(shù)字化轉(zhuǎn)型的不斷推進(jìn)與深入，數(shù)據(jù)安全與隱私問題越來越嚴(yán)峻，現(xiàn)代化的數(shù)據(jù)安全與隱私保護(hù)立法已成為全球趨勢(shì)。GDPR[2]20211126202136220182020491件；此外，2021GDPR罰單的10.62.4億歐元，相當(dāng)于是以往三年的4.42倍。由此可見，歐盟已經(jīng)進(jìn)入全面和嚴(yán)格的GDPR執(zhí)法階段。[3]GDPR單次罰款事件金額最高的3.23.4所示。可以看出，世界三家巨頭數(shù)字企業(yè)亞馬遜、Facebook、谷WhatsApp（Facebook收購）2021被處罰，金額達(dá)到9.713.53.6/page/data-protection-and-privacy-legislation-worldwidehttps:///https:///網(wǎng)絡(luò)安全2022：守望高質(zhì)量網(wǎng)絡(luò)安全2022：守望高質(zhì)量數(shù)字基礎(chǔ)設(shè)施篇數(shù)字基礎(chǔ)設(shè)施篇055055056056媒體、電信和廣播行業(yè)已經(jīng)成為重災(zāi)區(qū)，這與該行業(yè)的大型平臺(tái)企業(yè)存儲(chǔ)大量的個(gè)人隱私數(shù)據(jù)，同時(shí)有豐富的面向用戶（2C）的業(yè)務(wù)有關(guān)；從罰款的具體原因來看，數(shù)據(jù)處理的法律依Cooike信息的采集與處理，以及與第三方共享個(gè)人隱私數(shù)據(jù)；此外，違反數(shù)據(jù)處理的一般原則也是重要原因，包括透明性、最小化、用戶同意等各項(xiàng)原則。表3.2GDPR單次罰款事件金額最高的前十名[1]（截止日期當(dāng)前2021.12.01）企業(yè)組織所示行業(yè)罰款國家罰款金額日期處罰主要原因1亞馬遜工商業(yè)盧森堡7.46億2021年07月違反數(shù)據(jù)處理的一般原則2WhatsApp媒體、電信和廣播愛爾蘭2.25億2021年09月未能充分履行通知義務(wù)3谷歌媒體、電信和廣播法國5000萬2019年01月數(shù)據(jù)處理的法律依據(jù)不足4H&M在線商店大利電信移動(dòng)就業(yè)德國約3525.9萬2020年10月數(shù)據(jù)處理的法律依據(jù)不足5(TIM)媒體、電信和廣播意大利2780萬2020年01月數(shù)據(jù)處理的法律依據(jù)不足缺乏保障數(shù)據(jù)安全的技術(shù)和6英國航空能源交通英國2204.6萬2020年10月缺乏保障數(shù)據(jù)安全的技術(shù)和7萬豪國際酒店住宿英國2045萬2020年10月組織措施8WindTre媒體、電信和廣播意大利1670萬2020年07月數(shù)據(jù)處理的法律依據(jù)不足9沃達(dá)豐媒體、電信和廣播意大利約12251.6萬2020年11月違反數(shù)據(jù)處理的一般原則10NBB公司就業(yè)德國1040萬2021年01月數(shù)據(jù)處理的法律依據(jù)不足圖3.4GDPR單次罰款事件金額最高前十名以及企業(yè)https:///圖3.5GDPR單次罰款事件金額最高前十名所屬行業(yè)

3.6GDPR單次罰款事件金額最高前十名的原因分析2021610同年8月20（91111日正式實(shí)施。作為數(shù)據(jù)安全與個(gè)人信息領(lǐng)域兩部綜合性法律，《數(shù)據(jù)安全法》更加強(qiáng)調(diào)總體國家安全觀，對(duì)國家利益、公共利益和個(gè)人、組織合法權(quán)益方面給予全面保護(hù)，《個(gè)人信息保護(hù)法》則則更加側(cè)重于對(duì)個(gè)人信息、網(wǎng)絡(luò)安全2022：守望高質(zhì)量網(wǎng)絡(luò)安全2022：守望高質(zhì)量數(shù)字基礎(chǔ)設(shè)施篇數(shù)字基礎(chǔ)設(shè)施篇057057058058隱私等涉及公民自身安全的進(jìn)行個(gè)人信息與權(quán)益的保護(hù)。從國家層面來說，《數(shù)據(jù)安全法》對(duì)于我國的國家安全建設(shè)有著至關(guān)重要的意義，同時(shí)促進(jìn)以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)健康3.32021年11（國家網(wǎng)信辦（征求意見稿對(duì)《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》的法律條款進(jìn)行更加具體的細(xì)化、補(bǔ)充和延伸。表3.32021年國內(nèi)數(shù)據(jù)安全政策法規(guī)標(biāo)準(zhǔn)事件時(shí)間國家部門政策法規(guī)事件2021年01月工業(yè)和信息化部的通知》展工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級(jí)管理試點(diǎn)工作2021年03月國家互聯(lián)網(wǎng)信息辦安部辦公廳、國市場(chǎng)監(jiān)督管理總局辦公廳《