查看原文
其他

管中窥豹 | 2023年网络安全趋势与典型事件分析

绿盟君 绿盟科技 2024-03-31

全文共1626字,阅读大约需3分钟。

近日,绿盟科技发布了《2023年度安全事件观察报告》(以下简称《报告》),深入整理与分析了2023年处理的安全事件,并结合国内外重要安全事件分析2023年的安全态势。


本篇为《报告》解读系列的第二篇,将通过典型网络安全事件分析,探讨网络安全发展趋势,供广大企事业客户、安全运维人员应对漏洞威胁时参考。


01

挥之不去的幽灵

Java应用与ESXi成为勒索攻击热点


近年来,勒索攻击逐渐成为网络犯罪的一大分支,产业活跃度逐年攀升。2023年有害程序事件中,勒索软件相关事件占比达到43%,为有害程序事件占比最高类型,其次为木马程序和虚拟挖矿事件。

图 1 有害程序事件类型占比


在2023年5月,TellYouThePass勒索团伙再次发起大规模勒索攻击,绿盟科技CERT连续收到多个客户遭到加密后缀为.locked1的勒索攻击事件,攻击者利用国产办公软件高风险Nday漏洞作为初始入侵手段进行批量攻击,上传并注入内存Webshell进行连接,同时下载勒索加密程序并在内存中执行。


另一方面,随着VMware ESXi成为最流行的虚拟化平台之一,大量勒索团伙都开始发布针对ESXi平台的勒索加密程序,且各个勒索团伙使用的 ESXi 加密器往往还存在较高相似性。


一个明显趋势是,勒索团伙越来越多地使用Babuk源代码开发ESXi加密程序,自 2022年下半年以来,基于Babuk开发加密器的勒索家族至少有10余个,包括Play、Mario、Conti、REvil、Cylance、Dataf Locker、Rorschach等。绿盟科技CERT也在2023年勒索攻击事件中,捕获到了多个基于Babuk的ESXi加密样本变种。


2023年2月,绿盟科技针对ESXiArgs的大规模勒索软件攻击发出预警,此次攻击针对存在历史漏洞CVE-2021-21974的ESXi ,攻击者通过此漏洞可实现远程代码执行,虽然VMware官方在两年前就发布了相关漏洞补丁,但勒索团伙仍在几天内就攻陷了数百台 ESXi 服务器。

图2 绿盟科技CERT发布ESXiArgs攻击预警


02

K8S逐渐成为主流

云安全意识需提升


云计算一直是技术世界的变革力量,并且持续快速发展。截至2023年,Kubernetes项目的提交次数超过7万次。下图是Stackalytics统计的2023年Kubernetes项目提交次数排名前十的组织,可见Kubernetes目前受到了大型企业和个人开发者的广泛欢迎。由于集群Web控制台可访问和管理整个或者多个集群,其安全性至关重要。若控制台出现口令泄露或者权限失控,可能造成整个集群失控,导致信息泄露。


在2023年的攻防演练中,存在一起攻击者利用内网横向渗透的方式通过kuboard拿下多个集群的事件。经过排查发现,攻击者通过钓鱼投递木马的方式进入了内网,并在内网进行扫描后定位到了kuboard控制台地址。利用kuboard默认的用户名和密码,攻击者直接登录到了集群控制台,并获取了多个集群的访问控制权限,进而在这些集群的容器中植入了后门。

图3 攻击者入侵kuboard控制台进行命令执行

Kubenetes本身已经具备很多的安全措施,并且会定期进行安全审计。官方CVE的数据显示,整个2023年仅有8个CVE编号与Kubernetes相关,这表明Kubernetes在安全性方面取得了相当程度上的成功,漏洞导致集群失控的情况相对较少,而Kubenetes集群的安全风险主要存在于不完善的集群或者容器配置。

图4 2023年Kubenetes的相关CVE漏洞


03

安全意识成攻防演练永恒主题

权限维持另辟蹊径


对于攻击者而言,由于邮件钓鱼收效逐年减弱,进而选择了更为隐蔽的钓鱼手段,包括微信等社交软件钓鱼、招聘类软件钓鱼、内网通信软件钓鱼、内网邮箱钓鱼等,在躲避相关防护设备的同时,还结合挖掘的办公软件相关漏洞,利用信任关系,对内部人员进行精确钓鱼、二次或多次钓鱼。


攻防演练期间,绿盟科技CERT共监测到有效漏洞相较2022年增长近20%,其中0day及1day漏洞占比达到24%,主要集中于办公软件及安全产品。在国内攻防演练期间,办公软件漏洞主要为国产OA系统,以命令执行、文件上传、未授权访问等可获取权限或数据的高危漏洞为主,相较于2022年频发的网络边界防护类安全设备漏洞,终端安全防护产品逐步成为漏洞挖掘的重点关注对象,包括端点检测与响应(EDR)产品、桌面管理类软件等,攻击者利用此类软件漏洞可进行本地权限提升、定向精准钓鱼或批量植入后门等。

图5  演练期间漏洞类型分布

为了降低企业终端安全管理建设成本,部分安全厂商面向中小企业推出了SaaS架构的终端云安全产品,具备病毒防护、软件管理、补丁下发等终端管理常用功能,通过快速部署,可实现轻量化在线终端安全与运维管理。


此类产品大部分均集成了桌面控制、文件传输、命令执行等木马后门常用的远程控制功能,同时还具有命令行部署功能,可通过命令行参数进行静默安装,此外,由于是SaaS模式,部分安全厂商还对外提供了免费试用服务。


攻击者正是利用上述功能,首先注册为企业用户,申请试用并获取合法下载链接,然后通过钓鱼邮件、定向投递等方式,对目标参演单位主机进行远程控制,利用合法的安全软件作为掩护,逃过终端侧或流量层防护产品的检测。


点击“阅读原文”查看报告完整版 



继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存