绿盟 2021攻击技术发展趋势报告简版在线下载,免费下载

2021 攻击技术发展趋势报告 b u fen Of ty 1 Of ri 20 20 2 y h t i g sive Se cu r it 21 c . 5 fensive Se cu m o 2021 攻击技术发展趋势报告关于绿盟科技绿盟科技集团股份有限公司（以下简称绿盟科技），成立于 2000 年 4 月，总部位于北京。公司于 2014 年 1 月 29 日在深圳证券交易所创业板上市，证券代码：300369。绿盟科技在国内设有 50 余个分支机构，为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处，深入开展全球业务，打造全球网络安全行业的中国品牌。 b u c . 5 h t i g 版权声明为避免合作伙伴及客户数据泄露 , 所有数据在进行分析前都已经过匿名化处理 , 不会在中间环节出现泄露 , 任何与客户有关的具体信息，均不会出现在本报告中。 2 m o CONTENTS 1 年度攻击技术发展趋势 001 1.1 攻击基础设施云化 1.2 Web 对抗高隐匿性及组合利用链 1.3 社工工程学强伪装性和自动化 1.4 终端侧攻击关注合法功能滥用 006 1.7 云上攻防聚焦云原生安全 1.8 供应链攻击增多并呈现多样化 h t i g 3 参与单位 c . 5 b u 年度高可利用漏洞盘点 004 006 1.6 C2 及隐匿隧道技术多样化 003 005 1.5 AD 域攻击面增大 2 002 m o 008 008 010 013 h t i g b u c . 5 m o 1 b u c . 5 h t 年度攻击技术 i g 发展趋势 m o 2021 攻击技术发展趋势报告随着网络技术的快速迭代，在日益复杂的国际关系和地缘政治斗争的大背景下，网络空间已然成为大国博弈的激烈对抗领域。以 APT（Advanced Persistent Threat，高级持续威胁）为主的体系化攻击已成为网络空间威胁的常态。在网络空间攻防博弈新变局的复杂形势下，如何正确认知网络空间进攻与防御之间的关系，是认识和理解网络空间威慑问题的关键。一般而言，网络空间中普遍存在着进攻占据优势（Offence Dominance）的概念，攻击者日益精进的攻击技术和网络武器不断使得网络空间威胁存在多变。为了弥补攻防不对等的状态，作为防守方需要“知己知彼”，提前了解攻击者的能力与手段，才能在行动中占得先机，提前构建有针对性的防护措施，避免发生灾难。作为网络蓝军，更有义务去跟进研究实网威胁， m o 掌握攻击技术发展趋势，从而更好的完成威胁模拟，推动建设网络空间防御体系，达到制衡效果。 c . 5 绿盟科技联合北京航空航天大学、华中科技大学、成都信息工程大学、浙江警察学院一同发布了行业首个攻击技术发展趋势年度报告，基于对全年网空威胁攻击技术的跟进研究， b u 甄选年度热点攻击技术和在未来可能大规模使用的新型攻击技术，分为八大重点方向进行研究解读并研判攻击技术发展新趋势。 h t i g 1.1　攻击基础设施云化攻击组织在实施攻击活动时，必须要应对高强高压的对抗环境。除了大家熟知的自动化利用工具之外，往往需要一系列辅助技术及支撑设施，才能保障在攻击全生命周期中，能够快速、隐蔽、有效地使用攻击武器、实施攻击活动。如攻击者租赁的服务器、域名、第三方网络服务，通过攻击手段或滥用手段恶意利用的服务器、网站及其他服务等，这些辅助技术 002 年度攻击技术发展趋势及设施都是攻击基础设施。打一个比方，如果将攻防对抗活动看作一次战斗，攻击基础设施则是在战斗前挖掘的阵地战壕。为了更真实地模拟高级攻击活动，验证安全防御体系的防御效果，攻击基础设施已成为蓝军团队必备技术之一。近两年，蓝军研究团队已经开展了体系化的攻击基础设施设计，持续融入前沿技术，维护基础设施，提供辅助能力。在对抗升级的高压下，为了支撑蓝军行动 OPSEC （Operations Security，即行动安全）的要求，攻击基础设施从最初支撑发起攻击活动，发展为作战掩体，同时要具备自动化、弹性、可编排部署等特性。 ●● 今年 C2 保护技术已经从我们熟知的 CDN 前置、Nginx 等 Web 服务器反向代理前置、 m o 端口转发前置及 Tor 前置等技术，转向依托云原生能力，如今年在攻防演练中大量出现的 FaaS 滥用技术，以及我们发现的 CDN 前置结合 FaaS 云原生能力多重隐蔽 c . 5 技术等； ●● 为了满足 OPSEC，支撑高强度对抗和复杂攻击战术的实施，攻击基础设施面临配置 b u 复杂、重复性工作量大、弹性需求急迫的挑战，容器化、编排和其他现代化技术为其注入了新的活力，促进攻击云基础设施 DevOps 发展。 ●● h t i g 云原生服务应用开发和部署的便捷性会为攻击者搭建攻击基础设施提供更灵活的方案，增加其战术技术多样性。据此，我们提出了可扩展云原生攻击基础设施架构，将更多的攻击基础设施与云原生能力相结合，进一步为蓝军行动提供高隐蔽性和持续性的辅助能力。随着云计算、云原生、5G 通信等技术的发展，寻找其可能存在的滥用使用方法，并与之结合在攻击基础设施内，已成为必然趋势。 1.2　Web 对抗高隐匿性及组合利用链 Web 应用作为企业主要的开放入口，仍然是攻击者重点关注的对象。SQL 注入、XSS、反序列化等经典漏洞，由于其利用成本低、攻击效果显著，时至今日仍然被广泛利用。Web 应用从单机架构演变到如今分布式下的云原生架构，DevOps 的各个阶段都离不开 API 的交互调用，Web API 数量正以爆发式的速度增长，传统的 Web 漏洞仍然是其主要的威胁。攻击者常利用 Web 应用来突破目标网络，将 Web 服务器当作跳板转发流量并进入到内网，继而开展后渗透攻击流程。如何在高压对抗环境下支持蓝军 OPSEC 的行动，Web 权限获取以及维持成为了 Web 对抗技术的研究重点。 003 2021 攻击技术发展趋势报告 ●● 随着攻防对抗的强度越来越高，各大厂商的流量分析、EDR 等专业安全设备已被广泛使用，对于 Webshell 的检测能力也愈发成熟，传统的落地文件型 Webshell 生存空间越来越小。内存型 Webshell（MemWebshell）应运而生，其具备无文件落地、高隐匿等 OPSEC 的特点，深受攻击者的青睐。 ●● OWASP Top 10 Web 应用安全风险在 2021 年进行了更新，相比于 2017 年发布的版本已经发生了巨大的变化。随着防御方的安全建设越来越规范，注入类漏洞的利用难度增加，称霸榜首多年的注入类风险也被权限控制类风险所替代。今年已出现的多个漏洞就是将权限类风险与传统漏洞相结合，从而打造出更具杀伤力的漏洞利用链。 m o Web 架构日益复杂，其中涉及的框架、组件、技术越来越多，从底层的云主机的创建和管理，到 CI/CD 持续集成与交付部署的流程，再到上层的 Web 应用服务程序，最后到服务 c . 5 的下线与资源的回收，API 的使用伴随着 DevOps 的生命周期，稍有编码或配置上的不当，就会成为蓝军可以利用的攻击面，突破目标网络最终获取服务器的权限，Web 应用上的攻防 b u 对抗仍然是未来的主要战场。 1.3　社工工程学强伪装性和自动化 h t i g 自《欺骗的艺术》一书问世以来，人们才认识到人为因素才是安全的软肋，利用人心理上的弱点和习惯上的漏洞，一样可以达到攻击效果。利用社会工程学，攻击者可以欺骗用户绕过安全防御措施，甚至使用户主动提供登录凭据等敏感信息。社会工程学已经成为攻击组织、黑灰产组织最常使用的技术手段之一。尽管安全人员已经对社会工程学足够重视，且对其设计了多种防护软件和安全措施，定期组织了人员安全意识培训，但从曝光的多起攻击事件和 APT 组织攻击活动来看，社会工程学结合当前的主流技术进行伪装 , 依然能让受害者轻易的上钩。 ●● 钓鱼网站攻击作为一种典型的社会工程学技术，已经从注册相似域名、模仿页面样式等伪装技术，转向依托一些可信的服务、功能来进行伪装，其中利用可信云服务来托管钓鱼网站的趋势尤为明显； ●● 邮件钓鱼作为最常用的社会工程学攻击方式，在邮件安全网关的严防死守下，钓鱼邮件数量不减反增。利用复杂性技术绕过安全拦截的邮件钓鱼趋势明显，由于邮件天生的便利性和普及性，在未来邮件钓鱼仍是社会工程学攻击的主要手段； 004 年度攻击技术发展趋势 ●● 社会工程学攻击趋向自动化，今年，大量邮件钓鱼活动利用网络钓鱼即服务（PhaaS）进行全过程自动化攻击，而随着自动化技术的进一步发展，水坑攻击、鱼叉钓鱼等其他形式的社会工程学攻击也将出现自动化趋势。今年，社会工程学已经能借助自动化技术，持续地猎取猎物。蓝军攻击技术研究人员需要掌握社会工程学最新的技术手法，模拟攻击，提前预警，防患于未然。此外，从曝光的多起攻击事件和 APT 组织攻击活动来看，社会工程学因为具备很多特殊的优势而被大量高级攻击组织所使用，通过依托一些可信的服务、功能进行伪装后极具欺骗性。 1.4　终端侧攻击关注合法功能滥用 m o 随着 EDR 等现代化安全防御体系的普及，攻击方已从传统的免杀逐步趋于通过主动对抗、 c . 5 规则绕过、检测规避等隐匿手段来保障完成自己的攻击行为，EDR/EPP 对抗已成为攻击安全社区的热点研究内容。其中针对系统合法功能的滥用技术及 .NET 武器化受到了攻击者的热捧。 ●● 围绕 EDR 的检测和规避技术已成为终端对抗中的重中之重。UNHOOK 和 SYSCALL b u 技术已成为攻击者绕过 EDR 挂钩的共识，运用这些技术手段可导致 EDR 检测出现缺失，从而使攻击者可以发起更多的攻击而不被 EDR 检测到，降低了暴露风险。此外， h t i g 针对内核态 EDR 驱动的攻击已出现在今年的安全攻击事件中，围绕内核和驱动相关的攻防或成为未来 EDR 对抗的新热点； ●● 滥用