绿盟 2021年度高级威胁研究报告

2021年度高级威胁研究报告 b u t&Ransom wa c ed Th po rt an 202 Adv 1 re T& tne Bo h t i g AP c . 5 re a t s Resea e rc h R m o 2021 年度高级威胁研究报告关于绿盟科技绿盟科技集团股份有限公司（以下简称绿盟科技），成立于 2000 年 4 月，总部位于北京。公司于 2014 年 1 月 29 日在深圳证券交易所创业板上市，证券代码：300369。绿盟科技在国内设有 50 余个分支机构，为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处，深入开展全球业务，打造全球网络安全行业的中国品牌。关于网络安全应急技术国家工程研究中心 b u 网络安全应急技术国家工程研究中心的前身是国家发展和改革委员会于 2013 年批复成立的网络安全应急技术国家工程实验室，2022 年 1 月纳入新序列管理。研究中心坚持以国家和行业战略需求为出发点，致力于物联网及工控网安全领域的基础理论研究、关键技术研发与实验验证，聚焦解决网络安全“卡脖子”技术问题，开展物联网及工控网相关的安全监测、态势感知、信息通报与应急处置工作，向政府主管部门和行业用户提供威胁情报共享、态势信息通报等服务，为国家关键基础设施的建设和运行提供网络安全保障。 h t i g 版权声明为避免合作伙伴及客户数据泄露 , 所有数据在进行分析前都已经过匿名化处理 , 不会在中间环节出现泄露 , 任何与客户有关的具体信息，均不会出现在本报告中。 2 c . 5 m o CONTENTS 01 执行摘要 001 02 2021 年高级威胁事件总览 03 003 2021 年 APT 攻击活动 c . 5 3.1 本年度 APT 活动情况 3.2 本年度 APT 技术发展 b u 3.3 本年度 APT 发展趋势 3.4 本年度 APT 重点攻击目标 h t i g 3.5 针对我国的 APT 攻击活动 3.6 各地域的 APT 攻击活动 3.7 小结 04 2021 年僵尸网络活动 4.1 僵尸网络攻击活动情况 4.2 僵尸网络传播能力 4.3 新家族发现情况概述 4.4 僵尸网络团伙 4.5 小结 m o 008 009 010 014 015 021 022 039 040 041 045 051 062 065 05 2021 年勒索软件活动 5.1 2021 年勒索软件的家族数量及团伙数量 5.2 2021 年国内勒索软件攻击概况 5.3 2021 年勒索软件攻击方法及目标选择 066 067 068 5.4 勒索软件防护策略的思考 071 06 082 高级威胁攻击趋势预测 084 h t i g b u c . 5 m o 01 b u c . 5 h t 执行摘要 i g m o 2021 年度高级威胁研究报告 2021 年，以 APT 攻击、新型僵尸网络攻击、RaaS 型勒索软件攻击为代表的高级威胁攻击事件，在攻击技术、影响范围、造成损失等多个维度上都提升到了全新的高度。伏影实验室对 2021 年全年的高级威胁事件进行了持续追踪研究，整理形成报告，并总结以下主要观点：安全人员成为 APT 组织的新型攻击目标。本年度，绿盟科技发现多个 APT 组织策划了以安全公司和安全研究人员为目标的高等级渗透攻击活动，攻击者通过直接攻击安全公司服务器、伪造 SNS 账号与博客、制作并分发带有后门的工程文件或分析工具等方式，对包括我国在内的多个国家的安全人员进行网络间谍攻击，以获取新型攻击工具和技术； m o 雇佣军形式的 APT 组织开始出现。绿盟科技本年度发现的 APT 组织 Lorec53，是一个受到更高级间谍组织雇佣的，在近期开始承担国家级网络钓鱼攻击任务的黑客团体。此类组织 c . 5 的出现，表明随着地缘冲突加剧、国家级 APT 组织的攻击任务大幅增加，他们不得不探索新的组织形式来快速提升攻击能力。 b u 新型网络结构的应用提升了僵尸网络的隐匿性。为躲避溯源追踪，僵尸网络运营者更多使用 Tor 构建的新型网络结构。在 P2P 网络不再安全的情况下，僵尸网络运营者积极升级僵 h t i g 尸网络的通信信道，使用 Tor 网络的比例明显上升，僵尸网络的活动也愈发难以追踪和拦截。 “扩招”成为僵尸网络团伙的主要运营思路。本年度，以 KekSec 团伙为代表的僵尸网络团伙，通过高调的自我宣传、合并其他僵尸网络团伙、大量吸纳新的运营人员、大量制作新型僵尸网络木马或变种等方式，持续且迅速地扩张僵尸网络节点的控制范围，使自己快速具备了头部僵尸网络运营者的攻击能力，成为具备强大 DDoS 能力的威胁实体。僵尸网络成为高级威胁攻击的主要基础设施。利用僵尸网络进行侦察、入侵，以减少真实目的的暴露，这也是 APT 攻击活动和勒索团体活动的首选手段。高级威胁攻击以组合攻击的形式对目标发起攻击活动，也对现有安全防护措施和方案提出了更大挑战。 RaaS 和“双重勒索”模式使勒索软件攻击成为新的致命威胁。由 Maze 勒索软件带来的 RaaS（勒索软件即服务）和“双重勒索”的新型勒索模式，已经在本年度成为了勒索软件领域最普遍、最高效、危害最大的运营模式，进而培养出多个具备千万元以上赎金勒索能力的勒索软件团伙，对个人、大型企业乃至关键基础设施造成极大威胁。 002 02 b u c . 5 m o h t 2021 年高级威胁事件总览 i g 2021 年度高级威胁研究报告 2021 年高级威胁攻击者使用了多种新攻击思路，不仅将目标范围扩大，囊括了各类安全公司，意图通过新的路径完成对核心目标的渗透和攻击，还重新燃起了勒索软件战火。双重勒索从 2020 年开始逐步被勒索软件攻击团伙接纳，并应用在攻击活动中，导致 2021 年出现大规模泄露个人、公司的隐私信息的安全事件。同时，僵尸网络攻击者组建了 KekSec 团伙，成为 2021 年度最活跃的僵尸网络攻击组织，成员遍布全球且仍不断增加。本报告接下来以时间为顺序，向读者展示 2021 年的高级威胁攻击事件。 Lazarus 定向攻击安全研究者国外安全团队 [1] 在 1 月份披露一起针对从事漏洞研究和开发的安全研究人员的定向攻击 m o 活动，并将此次活动归因于朝鲜政府支持的组织。伏影实验室也对该事件和事件中的恶意程序进行了跟踪和分析。攻击者通过在 Twitter 建立多个安全研究者账号和研究博客，发布大 c . 5 量的漏洞分析文章提升影响并吸引漏洞安全研究者的关注，然后筛选并找到潜在的目标，与之互动。攻击者利用了研究者需要实时关注行业中漏洞披露状况的心理，成功吸引了一些研 b u 究者的关注，并通过私信等方式，请求与潜在的攻击目标一起分析所谓的 0day，发送所谓的 “POC”、“EXP”等工程文件。当研究人员编译该工程文件时，嵌入在工程中的恶意代码便会执行起来。 h t i g 根据披露的信息，有些研究人员访问攻击者运营的研究博客时 [2] 也感染了病毒，但研究人员的 Chrome 浏览器为最新版本，由此推测可能存在浏览器 0day。在本次事件中，伏影实验室通过高级威胁检测系统捕获并分析了 STUMPzarus 木马程序，通过分析认为是已披露的另外一起 Lazarus 攻击事件中使用到的 DRATzarus 木马演化而来。通过对木马的分析，确认了其与 Lazarus 组织的紧密联系。 3 月，该组织被发现为一家虚假公司建立了带有安全相关的社交媒体个人资料的网站，并声称该公司是一家位于土耳其的进攻性安全公司，提供软件安全评估和漏洞服务。经过确认 [3]，这一批社交媒体资料延续了冒充对漏洞利用和攻击性安全感兴趣的安全研究人员的趋势。 2021 年 11 月 10 日，国外安全厂商 ESET 曝光了 Lazarus 组织另外一起攻击活动。本次被曝光的攻击活动，是继年初 Lazarus 组织通过社交媒体针对安全研究人员定向社工攻击之后，对相同目标发起的又一起定向攻击的活动。在本次攻击活动中，Lazarus 组织使用了 [1]　 http://blog.nsfocus.net/stumpzarus-apt-lazarus/ [2]　 https://ti.dbappsecurity.com.cn/blog/articles/2021/01/26/lazarus-new-campaign/ [3]　 https://blog.google/threat-analysis-group/update-campaign-targeting-security-researchers/ 004 2021 年高级威胁事件总览带后门文件的 IDA Pro 7.5 软件。IDA 是一款顶级的交互式反汇编和调试工具，是逆向工程、恶意软件分析和网络安全专业相关人员不可或缺的工具。攻击者用恶意的 DLL 替换了 IDA Pro 安装期间执行的内部组件 win_fw.dll，被替换恶意组件执行之后会创建一个 Windows 计划任务。计划任务会启动 IDA Pro 插件目录下另外一个恶意组件 idahelper.dll，该组件会尝试通过 https 下载执行下一阶段恶意载荷。基于域名和木马程序，研究人员将本次活动归因于 Lazarus 组织，与 3 月份活动为同一批次。首个物联网攻击组织 FreakOut of KekSec[1] 2021 年 1 月上旬，CNCERT 物联网威胁分析团队通过实时运转的数据平台捕获到一种未 m o 知恶意程序 out.py，它的典型传播域名为 gxbrowser.net。绿盟科技伏影实验室对该程序样本、传播 Payload 等进行深入研究，并与开源情报进行比对，确认它是一种新型僵尸网络家族， c . 5 由于它的名称为 out.py，且关联到的攻击者代号为 Freak，因此该家族被命名为 FreakOut。1 月中下旬，多家国内外公司也发现了这个恶意程序。 b u 本次事件中出现的 FreakOut 样本是典型的