2022年度竊密木馬攻擊態(tài)勢報告-新華三主動安全系列報告

2022年度竊密木馬攻擊態(tài)勢報告CONTENTS1概述32全年竊密木馬攻擊態(tài)勢42.1全年攻擊事件4.2地域分布6.3家族統(tǒng)計63竊密攻擊技術(shù)特點8入侵傳播83.2防御規(guī)避123.3數(shù)據(jù)竊取134竊密攻擊發(fā)展趨勢164.1新家族不斷涌現(xiàn)，產(chǎn)品和服務(wù)雙向升級161718195總結(jié)216附錄1:典型竊密木馬家族22RedLine22FormBook26AgentTesla31Raccoon35Lokibot39Vidar41主主動安全31概述CCaaSCyphercrimeasaService興起，網(wǎng)絡(luò)攻時刻侵蝕網(wǎng)絡(luò)安全壁壘。，害性有風(fēng)險。主主動安全42全年竊密木馬攻擊態(tài)勢球范圍內(nèi)，數(shù)據(jù)竊密類惡意軟件活躍度持續(xù)走高，竊密攻擊事件頻頻發(fā)生，網(wǎng)絡(luò)數(shù)據(jù)資產(chǎn)安全B服務(wù)(SaaS,StealerasaService)模式分發(fā)竊密木馬，共感染超過89萬臺主機(jī)，竊取超過5000萬個密木馬等方面進(jìn)行統(tǒng)計分析，現(xiàn)總結(jié)流行竊密木馬全年攻擊態(tài)勢如下：2.1全年攻擊事件密木馬攻擊事件不斷發(fā)生，攻擊方式多種多樣，受害者遍布全球各地，下圖列舉了一些影響較主主動安全5PR下載主機(jī)數(shù)量超過1.3萬。該竊密木馬會收集瀏覽器書簽和歷史數(shù)據(jù)、主主動安全6攻擊過萬次。2.2地域分布的地域分布情況，如下圖所示。中國和高，2.3家族統(tǒng)計竊主主動安全7Vidar其他21.38% PonyVidar其他21.38% Pony11.77% FormBook12.57%AZORult 3.69%SnakeKeylogger42% Lokibot54% Qakbot4.65%AgentTesla14.75%在野樣本超過10萬，躍居FormBook馬在本年度持續(xù)猖獗，據(jù)CPR，本年度活躍度只增不減。主主動安全83竊密攻擊技術(shù)特點了成功入侵并盡可能地獲取更多信息數(shù)據(jù)，在入侵傳播方式、防御規(guī)避技術(shù)、竊密數(shù)據(jù)類型上都做了諸多嘗試。會利用更加高級的手段，如供應(yīng)鏈攻擊方式投放惡意載荷。在防御規(guī)避技術(shù)上，竊密木馬漸傾向于將多種研究分析增加難度。從竊密數(shù)據(jù)類型上來看，竊密的內(nèi)容已發(fā)展為無所不竊，普通用戶使用最頻繁的瀏覽器數(shù)據(jù)仍然是數(shù)據(jù)竊取的主要目標(biāo)，同時，為達(dá)到快速變現(xiàn)，針對加密數(shù)字貨幣的竊取也愈發(fā)受到攻擊者3.1入侵傳播的入侵方式多種多樣。統(tǒng)計顯示，排名TOP3的入侵方式分別為網(wǎng)絡(luò)釣魚、破解/激活軟件以及代碼執(zhí)行漏洞。這些方式由于效果較好而被廣泛使用。4615%25.00%13.46%11.54%網(wǎng)絡(luò)釣魚破解/激活軟件遠(yuǎn)程代碼執(zhí)行漏洞供應(yīng)鏈攻擊其它主主動安全9竊密木馬使用最多的入侵方式是發(fā)送釣魚郵件或短信，攻擊者會精心構(gòu)造郵件或短信內(nèi)容以引誘目標(biāo)上植入。圖5與RedLine相關(guān)的釣魚郵件(圖源Reddit)全意識薄弱的受害者在需求急切的情況下很容易中招。檢測。經(jīng)跟蹤發(fā)現(xiàn)，境內(nèi)受感染主機(jī)每日上線數(shù)量破萬，影響頗為嚴(yán)重。主主動安全由于開發(fā)者的疏忽或架構(gòu)本身的缺陷，攻擊者可以構(gòu)建特定的程序或數(shù)據(jù)，使軟硬件以非預(yù)期方式運行，情況下可以達(dá)到任意代碼執(zhí)行的效果，最終控制受害者的機(jī)器。析研究并迅速武器化。CVEtXFiles供應(yīng)鏈攻擊又稱為第三方攻擊，在供應(yīng)關(guān)系中，攻擊者主要針對上游提供服務(wù)或軟件的供應(yīng)商發(fā)起攻擊，特點，已成為最難以防御的攻擊手段之一。主主動安全epingComputerce馬受害者。主主動安全rundllregsvr 二進(jìn)制填充rundllregsvr 二進(jìn)制填充1.89%加殼/混淆禁用/修改防護(hù)軟件3.2防御規(guī)避種防御規(guī)避手段，隱藏自身的可疑特征，躲避安全軟件的檢測。圖。比進(jìn)程注入 虛擬化/沙箱規(guī)避22.64%主主動安全分析。統(tǒng)計3.3數(shù)據(jù)竊取數(shù)據(jù)竊取量也在不斷增加。CTU研究人員發(fā)現(xiàn)，通過竊密木馬竊取的賬戶憑證，在不斷演化升級中，竊密木馬也衍生出眾多竊取特定目標(biāo)數(shù)據(jù)類型的木馬種類，如專門針對web瀏覽器，收集瀏覽器中的敏竊密木馬旨在獲取更多更充分的數(shù)據(jù)達(dá)到以牟利為主的最終目的。性，下圖主主動安全鍵盤記錄65% 網(wǎng)絡(luò)瀏覽器相關(guān)17.05%系統(tǒng)信息 客戶端軟件相關(guān)鍵盤記錄65% 網(wǎng)絡(luò)瀏覽器相關(guān)17.05%系統(tǒng)信息 客戶端軟件相關(guān) 剪切板遠(yuǎn)程訪問相關(guān)本地數(shù)據(jù)、截屏戶憑據(jù)加密貨幣錢包地址ie幣相關(guān)的失。主主動安全對加密貨幣錢包的竊密攻擊的特點在于，攻擊者會根據(jù)加密貨幣錢包的“冷存儲”(將貨幣離線存儲，通常存儲在物理設(shè)備上)和“熱存儲”(將數(shù)字貨幣存儲在應(yīng)用程序或在線平臺中)分別制定竊取策略。更有甚e化等特點，使攻擊者能夠直接獲得巨額利益的歸屬權(quán)，是本年度竊密攻擊的首選目標(biāo)。竊取數(shù)據(jù)類型種數(shù)占比，如下圖所示。2~3種4~6種6~9種9種以上HawkEyeKeylogger前受害主機(jī)后，還會將鍵盤擊鍵記錄模塊通過USB傳播感染到其它系統(tǒng)主機(jī)，以擴(kuò)大攻擊范圍。類似竊密家族還言，更多種類的數(shù)據(jù)被竊取意味著其面臨的風(fēng)險和威脅更大。主主動安全4竊密攻擊發(fā)展趨勢4.1新家族不斷涌現(xiàn)，產(chǎn)品和服務(wù)雙向升級務(wù)的客戶群體。主主動安全4.2竊密功能更加模塊化和定制化勢，無論在避免被“一鍋端”還是在新技能擴(kuò)展對特定數(shù)密木馬不僅會分階段發(fā)起不同的攻擊，還會分析目標(biāo)環(huán)境和防御措施來調(diào)整竊密策略。例如，老牌竊密家族TrickBot被披露在一次攻擊活動中投放九個功能不同的模塊，有負(fù)責(zé)進(jìn)行自我復(fù)制cookie竊取用戶憑據(jù)的等等，這些模塊被用到攻擊的不同階段中，以竊取受害者敏感數(shù)據(jù)為最終目的。k告費用高達(dá)600,000美元，嚴(yán)重?fù)p害該企業(yè)的數(shù)據(jù)隱私和財產(chǎn)安全。類似攻擊事件如YTStealer竊密家業(yè)使用定制工具、精心構(gòu)造釣魚郵件針對特殊目標(biāo)等。在未來，竊密木馬始終將是以持續(xù)性牟利為目的，。主主動安全4.3開發(fā)跨平臺化，對抗程度加強(qiáng)語言開發(fā)，背后的運營團(tuán)伙宣稱Aurora具有最先進(jìn)的數(shù)據(jù)竊取能力并附帶遠(yuǎn)程訪問功能。同時，由于后續(xù)將會有更多的、更復(fù)雜的跨平臺竊密木馬出現(xiàn)。r主主動安全4.4多因素身份認(rèn)證攻擊日漸加劇方式如靜態(tài)口令、動態(tài)口令、生物特征等組合成一套完整的防御機(jī)制。MFA用MFA機(jī)制的情況下，登錄時需要用戶輸入靜態(tài)密碼以及收到由系統(tǒng)下發(fā)的登錄請求確認(rèn)消息后才允許用工發(fā)送了一個多小時的請求確認(rèn)消息，并偽裝成IT技術(shù)人員說服該員工點擊確認(rèn)請求消息，在成功獲取專門針對MFA的會話令牌，在日志中獲取有效令牌，竊密攻擊者可以在令牌有效期內(nèi)繞過MFA機(jī)制，主主動安全至還會es損失也更為嚴(yán)重。主主動安全5總結(jié)絡(luò)數(shù)據(jù)資產(chǎn)的主要威脅之一。面對日益嚴(yán)峻的網(wǎng)絡(luò)空間安全威脅，以及網(wǎng)絡(luò)攻擊產(chǎn)業(yè)化、生態(tài)化的趨勢，各組織機(jī)構(gòu)、企業(yè)乃至個體，并起的大潮中防患于未然。主主動安全6附錄1:典型竊密木馬家族RedLine以吸引更多的市場用戶。下圖展示了RedLine首次在黑客論壇亮相時發(fā)布的營銷內(nèi)容，詳細(xì)介紹了該木功能和服務(wù)范圍。主主動安全ine附帶RedLine惡意載荷的zip壓縮文件。諸如此網(wǎng)站、偽裝成安裝包等C#(.NET)自動填充等IMN主主動安全數(shù)據(jù)主主動安全4.VPN主主動安全FormBook竊密木馬最早出現(xiàn)于2016年2月，由一個名為ng-Coder的用戶在地下市場宣傳兜售，r主主動安全今，一直保持著較高的流行度，目前已經(jīng)成為最具有代表性的流行竊密木馬之一。與其他竊密軟件相比，F(xiàn)ormBook主要針對Windows用戶發(fā)起攻擊，通常利用廣撒網(wǎng)式的釣魚郵件傳播，在郵件中附帶具有C、C#、歷史記錄、信用卡數(shù)據(jù)等主主動安全主主動安全ok數(shù)據(jù)程信息、網(wǎng)絡(luò)連接信息、USB驅(qū)動信息等