《Fortinet：2023上半年全球威胁态势研究报告（15页）.pdf》由会员分享，可在线阅读，更多相关《Fortinet：2023上半年全球威胁态势研究报告（15页）.pdf（15页珍藏版）》请在三个皮匠报告上搜索。

1、2023 年 8 月全球威胁态势研究报告 FortiGuard Labs 半年度报告FortiGuard Labs 半年度报告.3.3.56891112.142.目录摘要 .2023年上半年全球威胁态势概览 .近五年威胁态势发展趋势回顾.红区解读 .从漏洞利用预测到威胁爆发 .全球 ATT&CK 热图 .源自终端遥测的技术洞察 .保护您的企业免受不断演进的威胁攻击 未来展望 .摘要摘要随着整体威胁态势和组织的攻击面在不断变化，不法分子快速设计和调整攻击技术的能力也在不断提升，并伺机利用不稳定的网络环境，持续对各行各业及不同地理位置的不同规模企业构成重大威胁。重新审视 2023 年上半年威胁活动

2、趋势时，我们不难发现，网络犯罪组织和攻击组织纷纷掀起新技术武装潮流。值得关注的是，其中一些参与者的运作方式与传统企业运营模式非常相似，具有明确的岗位职责、可交付成果和业务目标。凭借以往漏洞利用手段或竞争性集团支持，此类组织架构能够进一步试验和整合颠覆性新技术，如利用新一轮的 Generative AI（生成式人工智能）技术，令攻击技术更为复杂，更难以察觉。恶意行为者的攻击技术复杂性显著提升，攻击频次和复杂程度均有所升级，这一趋势在网络安全领域尤为明显。显著特点是，针对各行各业的高针对性攻击数量均有所增加，如复杂的勒索软件攻击、大量敏感数据泄露及 MITRE ATT&CK 战术的显著转变，这些均

3、与 Fortinet全球人工智能（AI）增强检测技术所监测到的内容一致。2023年上半年全球威胁态势概览2023年上半年全球威胁态势概览我们检测到，在MITRE识别的138个APT组织中，41个组织（30%）处于活跃状态。这些攻击更具针对性和计划性，且进展快速。已归类的ATP组织中，三分之一处于活跃状态，令人倍感担忧。APT组织进入红区勒索软件漏洞利用倍数ICS 和 OT 攻击 ATT&CK观测 APT组织进入红区勒索软件漏洞利用倍数ICS 和 OT 攻击 ATT&CK观测 相比去年同期，2023 年上半年，攻击者针对终端漏洞发起的攻击比率趋于稳定（约 8%）。截止2023 年上半年，勒索软件

4、攻势不减，与年初相比，攻击数量超 13 倍。目前仅有13%的组织成功检测到勒索软件，以往这一比例为22%。再次表明，勒索软件攻击更具复杂性和针对性。Fortinet Labs分析表明，经EPSS识别的最易被利用的漏洞，其在一周内遭受攻击的次数是其他已检测漏洞的327倍。针对工业控制系统（ICS）和运营技术（OT）的攻击数量未出现大规模增长，但 2023 年上半年仍呈上升趋势。半数组织已能够成功检测ICS或OT漏洞，其中能源和公用事业领域组织位列攻击榜首。基于Fortinet检测技术发现，2023 年上半年，所有已知 MITRE ATT&CK 技术中，三分之二（67%）处于活跃状态。327倍自上

5、半年自上半年以来下降以来下降0.6%0.6%ATT&CK 观测观测8.3%91.7%33.3%66.7%Jan0.30%Feb0.72%Mar2.3%Apr4.0%May4.8%Jun3.7%12.6x increase0%2%4%6%of all malware detections32023 上半年全球威胁态势研究报告报告据观察，2023 年上半年出现以下攻击趋势：高级持续性威胁（APT）组织频繁发起攻击活动、勒索软件攻击频次及复杂性均有所升级、僵尸网络活动数量增加、攻击者使用的 MITRE ATT&CK 技术快速转变等等。然而，尽管威胁态势不断变化，但不意味着防御者只能坐以待毙。在本报告

6、中，我们对漏洞进行了深入剖析，并基于漏洞严重程度提出了补丁修复优先级建议。此外，我们发现许多威胁活动采用的攻击战术和技术似曾相识，这一观察为实施针对性策略以有效防范不良行为者创造了先机。最后，我们还为您介绍了充分利用威胁情报等其他当前可采取的诸多可行举措，全方位保护您的组织。2023 年上半年所有归类的APT 组织中三分之一处于活跃状态 2023 年上半年所有归类的APT 组织中三分之一处于活跃状态接下来，我们将重点介绍当前攻击趋势背后的威胁参与者。MITRE 追踪了 138 个网络威胁组织，并将其攻击战术和技术纳入 ATT&CK 框架。1 监控这些 APT 组织的整体活动趋势是绘制和分析当前

7、威胁态势的关键举措。2023 年 1 月至 6 月，我们观察到其中 41 个团体（30%）处于活跃状态。根据恶意软件遗传代码分析，Turla、StrongPity、Winnti、OceanLotus 和 WildNeutron 等组织是目前最活跃的黑客团体。Turla可能是目前现有黑客团体中技能最娴熟的威胁组织之一。近二十年来，Turla曾以多种别名（Snake、Venomous Bear、或Blur Python等）展开活动，并与超45起备受瞩目的攻击活动有关，给全球各地的政府机构、媒体、能源部门组织和大使馆造成不同程度的负面影响。多年来，即便受到严密监控和高度重视，Turla成员仍能成功躲

8、避防御技术并成功入侵组织网络，当前局部地区冲突态势升级，该组织的活跃度出现上升趋势。然而，令人感到些许宽慰的是：过去半年间，APT组织的攻击活动仅对小部分组织造成负面影响。这表明至少目前APT活动仍具有高针对性，不会采取撒网式攻击，浪费网络武器。勒索软件攻势不减勒索软件攻势不减勒索软件已盘踞网络长达数十年之久。但近年来，我们观察到，威胁行为者日渐采用更复杂、更具针对性的攻击战术和技术渗透网络。这一趋势的发展很大程度上归功于勒索软件即服务（RaaS）模式的大肆兴起。2随着勒索软件活动的日益猖獗，全球商业领导者对于此类威胁的关注度日渐提高。据Fortinet 近期一项调查显示，78%的受访企业领导

9、声称已做好应对此类攻击的准备，但不幸的是，仍有半数受访企业遭受勒索软件攻击。3 勒索软件攻击的迅猛势头未出现放缓迹象。相比 2023 年初，勒索软件攻击事件数量超 13 倍，在所有恶意软件总体检测中遥遥领先。然而，我们观察到受影响组织数量仍处于较低点。五年前，近四分之一（22%）受访企业在其网络上检测到勒索软件活动。而2023 年上半年，这一比例已降至 13%。然而令人担忧的是，当前攻击活动显著减少并不意味着勒索软件活动正逐渐消退。相反，这可能是勒索软件攻击更为集中的信号。因为勒索软件团伙正试图采用适用性更强、更复杂的Playbook发起更具针对性的攻击，以助推其商业运营模式的进一步发展。下图

10、为 2023 年上半年通过遥测观察到的当前最流行的恶意软件家族信息，有助于了解加密矿工、信息窃取者（infostealers）、勒索软件和远程访问木马（RAT）四大类关键家族成员。42023 上半年全球威胁态势研究报告报告图 1：恶意软件关键家族（按类型划分）雨刷攻击态势放缓雨刷攻击态势放缓上图未列出的一类勒索软件为Wiper（雨刷）恶意软件。4雨刷之所以得名，是因为其破坏性攻击技术可从受感染系统中“擦除”数据。我们观察到，2022 年初，雨刷使用量的激增主要与局部冲突有关。5虽然这一增长趋势在今年下半年将持续存在，但2023 年上半年的增长趋势有所放缓。我们同样观察到，网络犯罪分子使用此类恶

11、意软件针对特定行业组织发起攻击，如技术、制造、电信、医疗保健业及政府机构。近五年威胁态势发展趋势回顾近五年威胁态势发展趋势回顾作为安全从业者，谈及网络安全，我们中的许多人通常谈虎色变，倾向于预先假设负面结果。但这种假设是事实还是虚言？有时回首审视长期发展趋势至关重要，我们将因此获取观察当前威胁态势的有利视角。接下来，让我们共同回顾一下漏洞利用、恶意软件和僵尸网络的近五年发展趋势。.XMRig Miner加密矿工信息窃取者勒索软件远程访问木马CoinMinerTofseeMoneroPurple FoxPhotoMinerLemonDuckMyKingsIntelRapidH2MinerForm

12、bookLokiRedLine stealerGluptebaAmadeySmokeLoaderAVE_MARIAKRBankerSnake KeyloggerDridexContiLockbitSTOP Ransomware DarkSide TargetCompany Ransomware GandCrabBlackMatter Ransomware TeslaCryptSodinokibiMiraCuba RansomwareAgent TeslaEmotetREMCOSAVE_MARIANetWire RATNanoCoreRATPhorpiexCobalt StrikeAutoKMS

13、NeshtaOceanLotusIndexsinas52023 上半年全球威胁态势研究报告报告漏洞利用变体数量呈上升趋势漏洞利用变体数量呈上升趋势过去五年间，特定漏洞检测数量增加了 68%。这一数据表明，相比以往，目前我们已有更多有效方法成功检测恶意攻击活动。此外，还表明攻击者数量正成倍增加，并采用多样化战术发起漏洞利用活动。但与此同时，我们观察到针对每个组织的漏洞利用尝试攻击下降 75%，严重漏洞利用率下降 10%。漏洞利用尝试攻击数量的下降令威胁态势看似好转，但这一数据从另一方面表明，攻击者正伺机发动更具针对性的攻击行为。网络武器若频繁使用，其杀伤力势必减退，因为组织机构的检测能力将日渐增

14、强，届时有效载荷将失去用武之地。有组织的网络犯罪驱动的恶意软件活动持续增加有组织的网络犯罪驱动的恶意软件活动持续增加过去五年间，恶意软件家族和变体呈爆发式增长，增速分别高达 135%和 175%。更值得关注的是，成功渗透至少 1/10 全球组织的恶意软件家族数量（关键流行阈值）翻倍。毫无疑问，这一结果源于网络犯罪的日益猖獗以及目前活跃团体攻击范围的持续扩大。随着这些对手的攻击手段变得越来越具有针对性、精确性和破坏性，意味着威胁态势逐渐升级，与犯罪分子的对抗将长期持续。借助近几年新兴技术和重大技术的进步，敌人规模迅速发展壮大，其攻击技术变得更强、更狡诈且更具隐蔽性。僵尸网络攻击更具持久化僵尸网络

15、攻击更具持久化多数现代恶意软件家族均已创建针对命令和控制（C2）通信的僵尸网络。随着恶意软件家族和变体的激增，僵尸网络活动也随之更为频繁。如今，组织中的僵尸网络攻击更加活跃（+27%），僵尸网络感染率更高（+126%）。僵尸网络攻击趋势持续上升，其真正的幕后推手离不开“活跃天数”的显著增加，即首次检测到僵尸网络活动到最后一个传感器“成功捕获”之间的时间。该指标衡量的是在前次入侵尝试失败后改变攻击路线前检测并拦截僵尸网络通信的平均天数。在某种意义上，通过该指标可得出成功检测此类活动的传感器所需的“成功检测和消除”威胁的平均时间。过去半年间，平均而言，检测天数为183天（我们测量的最后一天），而威

16、胁入侵天数为83天，几乎占检测周期的一半。相比2018年初，这一测量数据增加了1000多倍。充分表明，过去五年中僵尸网络攻击变得更具持久化。纳入“僵尸网络武器带”的漏洞和漏洞利用的可用性总体增加，这一现状令人担忧，因其能够快速适应并增加自动破坏和控制的设备范围。红区解读红区解读在2022 年下半年全球威胁态势研究报告中，我们引入了“红区”概念，以便更深入地探究威胁参与者利用特定漏洞的可能性（或不可能性）6。虽然终端上常见漏洞和披露（CVE）与攻击者目标 CVE 之间的关系受到部分因素影响，如组织之间的漏洞管理实践或对手工具的开发，但这也能为我们提供极具参考价值的快照，使我们快速了解攻击面状态，

17、安全管理者可使用此类快照快速确定修复工作优先级。漏洞利用检测到10,04210,042 次漏洞利用n过去 5 年+68%每个组织检测到5454 次漏洞利用n过去 5 年+75%69%69%的组织曾遭受严重攻击n过去 5 年-10%恶意软件44,88644,886 个特定恶意软件变体n过去 5 年+172%7,0637,063 个不同家族n过去 5 年+135%1818 个恶意软件家族波及1/10的组织n过去 5 年+100%僵尸网络检测到 330330 个特定僵尸网络n过去 5 年+27%每个传感器平均检测4.34.3 个活跃僵尸网络n 过去 5 年+126%遭受入侵平均天数为8383 天n过

18、去 5 年+1,085%62023 上半年全球威胁态势研究报告报告未在终端上发现的漏洞已发现并处于受攻击状态的漏洞Adobe (13.6%)Linux(5.2%)Microsoft(12.5%)Oracle(3.5%)Apple(6.8%)Google(2.6%)图 2：终端上的所有CVE和受攻击CVE现状2022 年下半年，进入红区的CVE徘徊在 9%左右，即意味着我们观察到的 16,500 多个 CVE 中，约有 1,500 个处于受攻击状态。但在 2023 年上半年，遭受攻击的 CVE 比例降至 8.3%。值得注意的是，攻击中出现的CVE数量大致相同，而在终端上观察到的CVE数量却在增长

19、。虽然这并不一定表明组织在对抗新漏洞方面取得了新进展，但至少表明遭受攻击的漏洞占比似乎略低于以往。我们还发现，处于受攻击状态的漏洞比例可能因平台而异，如下图所示，最高可达 11%。另一个值得关注的是，不同平台之间终端上观察到的所有CVE比例存在差异，如下图黄色方块所示。以Microsoft和Adobe为例，我们观察到半数以上的相关CVE漏洞，而苹果平台为12%，Linux为20%。值得注意的是，我们对所有平台均进行了图表标准化处理。例如，Adobe 图表中的一个正方形代表与Linux不同漏洞的绝对数量。已观察到终端上约 0.7%的 CVE 处于受攻击状态。未在终端上观察到已在终端上观察到已在终

20、端上观察到且处于受攻击状态72023 上半年全球威胁态势研究报告报告已在终端上发现的漏洞 图 3：多个平台终端上的CVE和受攻击 CVE 现状 显而易见，组织在漏洞发布后仍努力快速进行漏洞修复，但网络犯罪分子同样试图加紧发起漏洞利用攻击。因此，在确定漏洞修复优先级时，制定更为合理的决策至关重要。确定优先级时应考虑每个平台的差异，然而在预测哪些开放漏洞可能在不久的将来成为攻击者的目标时，这种考量所提供的参考价值极为有限。幸运的是，防御者已拥有更强大的工具，即漏洞利用预测评分系统（EPSS），下一节将为您详细介绍。7从漏洞利用预测到威胁爆发从漏洞利用预测到威胁爆发漏洞利用预测评分系统由 FIRST

21、.org 的一个特殊兴趣小组领导。作为该小组的成员公司，自小组创建以来，Fortinet 始终是支持 EPSS 漏洞利用活动数据的核心贡献者。漏洞利用预测评分系统主要利用海量数据源预测和评估漏洞被在野外利用的可能性。漏洞管理团队可使用 EPSS 帮助安全团队确定修复工作优先级。但EPSS同样支持威胁情报工作，以跟踪漏洞从最初披露到在野漏洞爆发的进展情况。这也是我们在本报告中重点探究的用例。如果将 EPSS 数据合并至您的威胁情报流程，则能够有效地将其用作威胁爆发预警系统。我们来剖析一个真实案例。5 月 31 日，Progress Software的软件公司向客户发出告警，称旗下MOVEit T

22、ransfer Web 应用程序中发现一个未知的SQL注入(SQLi)漏洞，未经身份验证的攻击者可肆意篡改或删除所用数据库引擎中的元素。8 网络安全社区很快意识到该漏洞可能造成严重影响，FortiGuard Labs 发布了威胁信号以引起用户关注并发布 IPS 签名，全方位监控漏洞利用活动。9图 4：EPSS 漏洞追踪及 MOVEit 漏洞利用进程CVE被公开披露后，EPSS预测未来30天内该漏洞被利用的可能性非常高。预测预警如下：仅在该漏洞首次披露5日后，Fortinet传感器便追踪到攻击者在 6 月 5 日试图针对MOVEit发起漏洞利用，Fortinet在同一天发布了威胁签名。在该案例中

23、，EPSS评分为Fortinet分析师的预期分析提供了独立验证，并帮助我们在这一新兴威胁快速演进期间始终料敌于先。MOVEit 案例令我们开始深究一系列关键问题。漏洞从初始披露到被在野利用通常需多长时间？EPSS 评分较高的 CVE 是否比评分较低的 CVE 更快被利用？若如此，我们是否可以采用 EPSS 预测任何给定漏洞的平均利用时间？82023 上半年全球威胁态势研究报告报告6月2日：CVECVE 公开发布公开发布FortiGuard Labs 发布威胁信号CISA 将CVE添加至KEV6月3日：EPSS 中 87%的 CVE 得分低于此得分6月13日：Github发生漏洞利用NVD 添加

24、详细信息6月14日：添加至 Intrigue EPSS 中 97.8%的 CVE 得分低于此得分6月21日：添加至 NucleiNVD 添加详细信息6月23日：Metasploit 模块发布Fortinet 威胁爆发告警观察到漏洞被在野利用10%20%30%40%50%60%70%80%90%100%6月5日6月12日6月19日6月26日EPSS 百分比排名0%22.3%85.3%EPSS 评分为前 1%的 CVE 需立即给予关注，因其在一周内被利用的可能性是安全工具所检测到的多数其他漏洞的 300 倍以上其他漏洞的 300 倍以上EPSS:前 1%EPSS:后 50%EPSS:前 1%EPS

25、S:后 50%让我们看看是否可以回答上述问题。为此，我们分析了近六年的历史数据，这些数据涉及11,000多个已公开披露的CVE漏洞，我们的传感器检测到这些漏洞均被利用。对于每个CVE，我们确定了从漏洞利用披露到首次被观察到的时间以及相应的EPSS评分。分析结果如下图所示：CVE 披露后一周内CVE 披露后一年内这一差距在第一年显著扩大0.1%0.1%图5：不同EPSS评分漏洞利用率简言之，我们发现，在预测哪些漏洞可能被利用及其利用速度时，EPSS评分数据至关重要。在披露后7日内，EPSS评分最高的漏洞（前1%）中有22%出85%遭受漏洞利用，而评分靠后的多数现漏洞利用活动，而EPSS评分靠后的

26、漏洞中仅有0.07%出现漏洞利用活动。一年后，EPSS 评分最高的 CVE 中约有 CVE 仍未受到攻击者青睐。这意味着，EPSS评分前1%的CVE需立即给予关注，因为其在一周内发生漏洞利用的可能性是多数其他已知漏洞的300倍以上。鉴于此，建议每日更新 EPSS 评分信息，并据此确定修复工作优先级。10全球 ATT&CK 热图 全球 ATT&CK 热图 经过约六个月不间断的数据处理，基于Fortinet超1000万个全球传感器遥测数据，我们编制了一份最常见的在野哈希列表。我们最先进的传感器采用机器学习（ML）技术将原始数据转换为丰富数据集，以检查网络流量是否存在潜在威胁。然后，我们使用Fort

27、inet 产品和解决方案组合深入分析检测到的恶意负载，观察和识别揭露其潜在意图的细微恶意行为。通过此过程生成的威胁洞察对于全球网络安全防御者至关重要，可实现红队精准反制和有效的威胁狩猎活动。MITRE 让我们更深入地了解威胁参与者的技术与战术。ATT&CK 框架易于遵循且可操作性强，使防御者能够系统地采取可重复方式对威胁参与者行为进行分类，最终帮助安全团队更有效地识别潜在攻击并准确评估组织风险。请注意，本报告内容仅基于部分而非全部解决方案。在特定攻击技术检测方面，不同安全解决方案具有其独特的功能和作用。本报告分析结果基于 FortiSandbox 沙箱和 FortiEDR 端点检测和响应解决方

28、案数据。让我们首先审视下列数据。以下攻击技术可视为攻击能力。92023 上半年全球威胁态势研究报告报告如图所示，以上检测数据体现了跨 ATT&CK 框架的全面可见性。纵列重点描述了每种战术最常检测到的前十大技术。为了呈现更好的视觉效果，每个类别项中的子技术已汇总至其父技术。接下来，我们将深入探讨这些技术在过去半年间的部署情况及有效应对方法。经观察发现，在初始访问阶段，攻击者最常采用的技术是通过可移动媒介进行复制。11 虽然该技术并非入侵企业网络的首要切入点，但经我们分析的多数恶意负载均可能通过该方法进行传播。当Windows 恶意软件 Raspberry Robin 蠕虫病毒采用此攻击技术时，

29、攻击数量呈小幅上升趋势，我们在上一份报告中对该病毒进行了详细介绍。12此后，Microsoft在许多攻击案例中均发现了该病毒的身影。目前，Raspberry Robin 已发展成为最大的恶意软件分发平台。经FortiGuard Labs 分析，这种蠕虫病毒之所以传播如此迅速和广泛，主要是因为Raspberry Robin蠕虫病毒快捷LNK文件可伪装成受感染USB设备上的合法文件夹，多数人可能因此被诱导而打开该文件。该恶意软件家族已被美国网络安全和基础设施安全局（CISA）确定为当前最活跃的投递器之一，用于投递 IcedID、TrueBot 和Bumblebee等恶意软件。13在执行阶段，我们注

30、意到由用户执行的漏洞利用行为激增。14 这一趋势表明攻击日益依赖用户无意中触发有效负载或启用宏。具体案例包括Microsoft Word 中的一个特定漏洞利用活动，如我们在近期博文中详述的日益流行的 Follina 漏洞。15 我们在FortiEDR 拦截的威胁中也观察到这一趋势。目前，许多攻击者已不再依赖用户交互实现代码执行。保护组织免受该攻击技术侵害的一种有效方法是定期漏洞修复以缩小企业攻击面。ReplicationThroughRemovableMedia:60%Phishing:28%Drive-byCompromise:5%ExploitPublic-FacingApplicatio

31、n:4%ExternalRemoteServices:2%ValidAccounts:1%Exploitationfor ClientExecution:24%WMI:22%Command&ScriptingInterpreter:19%SharedModules:13%ScheduledTask/Job:10%Native API:6%SystemServices:5%Inter-ProcessComm.:0.5%UserExecution:0.06%SoftwareDeploymentTools:0.005%HijackExecutionFlow:30%Boot/LogonAutostar

32、tExecution:20%Create/ModifySystemProcess:19%ScheduledTask/Job:18%OfficeApplicationStartup:11%EventTriggeredExecution:0.3%BrowserExtensions:0.3%Pre-OS Boot:0.2%Boot/LogonInitializationScripts:0.09%CreateAccount:0.03%ProcessInjection:34%HijackExecutionFlow:21%Boot/LogonAutostartExecution:14%Create/Mod

33、ifySystemProcess:13%ScheduledTask/Job:13%Access TokenManipulation:4%EventTriggeredExecution:0.3%AbuseElevationControlMechanism:0.07%Boot/LogonInitializationScripts:0.07%ValidAccounts:0.02%ObfuscatedFiles/Info:19%Masquerading:15%Virtualiz./SandboxEvasion:15%ImpairDefenses:13%ProcessInjection:9%Indica

34、torRemoval onHost:7%HijackExecutionFlow:6%HideArtifacts:4%Deobfuscate/DecodeFiles/Info:3%ModifyRegistry:3%OS CredentialDumping:42%InputCapture:40%UnsecuredCredentials:17%Credentialsfrom PasswordStores:0.6%Steal WebSessionCookie:0.1%NetworkSniffing:0.09%Adversary inthe Middle:0.01%Forge WebCredential

35、s:0.007%ModifyAuthenticationProcess:0.0006%Brute Force:0.0003%System InfoDiscovery:21%File&DirectoryDiscovery:15%SoftwareDiscovery:13%Virtualiz./SandboxEvasion:11%ProcessDiscovery:9%Remote SystemDiscovery:8%QueryRegistry:7%SystemNetworkConfigurationDiscovery:6%ApplicationWindowDiscovery:5%SystemOwne

36、r/UserDiscovery:1%ReplicationThroughRemovableMedia:63%Taint SharedContent:25%RemoteServices:4%Use AlternateAuthenticationMaterial:4%Lateral ToolTransfer:2%Exploitationof RemoteServices:1%SoftwareDeploymentTools:1%Data fromLocal System:29%InputCapture:23%EmailCollection:21%AutomatedCollection:15%Arch

37、iveCollectedData:4%ClipboardData:3%BrowserSessionHijacking:3%ScreenCapture:0.7%VideoCapture:0.4%Datafrom InfoRepositories:0.3%ApplicationLayerProtocol:40%Non-ApplicationLayerProtocol:22%Ingress ToolTransfer:19%EncryptedChannel:12%Non-StandardPort:4%Proxy:2%Web Service:0.7%Remote AccessSoftware:0.07%

38、DataObfuscation:0.02%DataEncoding:0.02%ExfiltrationOverAlternativeProtocol:100%AutomatedExfiltration:0.02%SystemShutdown/Reboot:56%DataManipulation:30%DataEncrypted forImpact:5%InhibitSystemRecovery:3%Service Stop:3%EndpointDenial ofService:1%ResourceHijacking:0.7%DataDestruction:0.7%Defacement:0.08

39、%AccountAccessRemoval:0.05%图6：云数据中的ATT&CK技术（按战术划分）初始访问执行 持久化权限提升防御绕过凭据访问资产发现 横向移动 收集数据命令与控制信息窃取入侵影响102023 上半年全球威胁态势研究报告报告在持久化阶段，我们继续观察到父技术Hijack Execution Flow项下的 DLL sideloading劫持漏洞的高利用实例。16 3CX 采用此技术实现防御绕过和持久化，我们在近期博文中对此进行了剖析。17该攻击技术较为复杂，可使攻击者成功绕过防御机制，如应用程序控制和其他软件执行限制措施。若要保护组织网络免受该攻击技术影响，请首先确保软件不易

40、遭受 DLL Sideloading劫持攻击，因为除此之外，暂无其他办法有效避免运行非预期代码。虽然网络中的恶意负载最终会被标记，但仅在其成功加载至内存后。防御绕过父项下的前三大战术：混淆文件和信息、伪装及虚拟化/沙箱规避，不足为奇。18、19、20 任意一款恶意软件都包含各种形式的混淆战术，从 API 调用到内存中的字符串。鉴于沙箱解决方案在本地以及作为软件即服务（SaaS）产品的广泛应用，熟练掌握此类攻击战术已成为威胁参与者的必修之术。操作系统凭据转储和输入捕获在凭据访问阶段跃居战术之首。21，22自发布以来，我们观察到多个威胁参与者利用 Mimikatz 实现相关功能。此外，这些技术还可

41、集成至Cobalt Strike、Metasploit和Sliver（使用PowerShell脚本实现载荷渗透）等各种后渗透框架，使其成为攻击者的渗透利器，还常用于无文件攻击。资产发现和横向移动阶段表现出共生关系；资产发现技术使用的增加导致受感染环境中的威胁横向移动攻击加剧。针对这种情况，最有效的防御策略之一是确保拥有对网络流量的适当可见性和控制能力，因为这些阶段往往涉及多种攻击技术，采取适当的控制能力可对其进行检测。收集数据到入侵影响阶段，攻击技术几乎未出现明显变化。攻击者采用相同的技术收集和聚合敏感数据，然后通过与命令和控制通信通道不同的协议泄露数据。约22%的攻击技术采用非应用层（如UD

42、P或ICMP）与其命令和控制（C2）服务器进行通信。由于建立和维护连接的复杂性增加且缺乏纠错能力，该技术不常被使用，但该技术可绕过防御机制，因为这些协议并未受到严密监控。源自端点遥测的技术洞察源自端点遥测的技术洞察审视 FortiEDR 数据，我们可以从另一个角度深度剖析攻击活动及网络犯罪分子所使用的初始访问技术。在多数情况下，部署 EDR 功能的组织同时也部署了某种形式的沙箱技术，因此可以肯定，EDR 工具拦截的威胁很可能是那些设法绕过“传统”沙箱技术的威胁（建议部署纵深防御的典型案例）。了解这些威胁的运作方式可为防御者提供更有针对性的威胁搜寻活动情报。图 7：FortiEDR 按月检测到的

43、最常用 ATT&CK 技术进程注入 （防御绕过）输入捕获（凭据访问）操作系统凭据转储（凭据访问）利用面向公众的应用程序（初始访问）操作系统凭据转储（凭据访问）系统二进制代理执行（防御绕过）操作系统凭据转储（凭据访问）系统二进制代理执行（防御绕过）防御绕过漏洞利用（防御绕过）操作系统凭据转储（凭据访问）操作系统凭据转储（凭据访问）MarApr一月三月四月112023 上半年全球威胁态势研究报告报告二月五月进程注入 （防御绕过）进程注入 （防御绕过）进程注入 （防御绕过）进程注入 （防御绕过）输入捕获（凭据访问）输入捕获（凭据访问）输入捕获（凭据访问）输入捕获（凭据访问）利用面向公众的应用程序（初

44、始访问）利用面向公众的应用程序（初始访问）利用面向公众的应用程序（初始访问）利用面向公众的应用程序（初始访问）防御绕过漏洞利用（防御绕过）防御绕过漏洞利用（防御绕过）以上为每月最活跃的五大攻击技术。一旦在组织设备中开始执行，即便沙箱技术已成功识别和拦截的部分技术也会在其他事件中被再次使用。2023 年上半年，我们观察到的最活跃的攻击技术包括：n进程注入n输入捕获n操作系统凭据转储n利用面向公众的应用程序n防御绕过漏洞利用进程注入跃居所有检测月份攻击技术之首。23 鉴于数十种进程注入攻击类型已被准确分类，攻击者无疑将使用甚至滥用该技术，试图逃避防御技术并实现权限提升。在所有检测月份中，第二和第三

45、大常用技术为凭据访问：输入捕获。潜在威胁参与者使用该技术，可试图拦截用户输入以非法窃取凭据信息或通过在内存中查找凭据来收集数据。在常规系统交互期间，用户通常会在各种端点之间，如身份验证门户或系统提示窗口，共享其凭据。为捕获此类输入数据而部署的窃取机制通常令用户无法辨别真伪，如用于拦截并窃取用户凭据的 API Hooking。最后，我们将防御绕过和初始访问列为另两大常用漏洞利用技术，这两类技术的在野触发数量几乎相同。不法分子热衷于利用软件中的漏洞在受感染系统中占据有利切入点，以便伺机进一步采取恶意行动。过去几年间，随着 CVE 数量呈指数级增长（我们有望在今年追踪高达 30,000 个 CVE，

46、相比 2021 年披露的 20,000 个 CVE，数量增加了 50%），这意味着攻击者工具箱中的可用漏洞数量增多。再加上LLM（用于快速处理大型数据集的大型语言模型，以快速查明入侵威胁和现有漏洞）的问世，利用唾手可得的成果比以往更加容易。因此我们预计这些技术将继续成为网络攻击者的首选武器。保护您的企业免受不断演进的威胁攻击 保护您的企业免受不断演进的威胁攻击 网络犯罪分子永远不会错过获利良机。近年来，诸如 RaaS 集团等有组织的网络犯罪团伙的兴起，不法分子非法获利更加快捷。不良行为者将持续挖掘新的漏洞利用机会，并采用更复杂的攻击技术渗透网络。然而，庆幸的是，过去几个月间，防御者对威胁行为者

47、采用的多数策略已较为熟悉，这意味着防御者比以往任何时候都有更多的机会在攻击真正发生之前有效阻断攻击。然而，随着攻击者运营模式的不断演进，评估和增强组织内的网络防御策略以领先于潜在威胁至关重要。从使用和共享威胁情报到部署正确的防御技术，目前，可采取以下几个步骤有效保护企业的网络和数据。共享和利用威胁情报共享和利用威胁情报为有效应对日益复杂和数量激增的网络威胁，共享和利用威胁情报已成为组织防御策略的重要组成部分。Fortinet 致力于贡献一己之力，推动威胁情报共享技术的发展和普及。Fortinet 是网络威胁联盟（CTA）的创始成员，该组织成立于 2014 年，旨在促进网络安全供应商竞争者之间的

48、威胁情报共享。24 时至今日，该组织对于在全球范围内有效打击网络犯罪至关重要。然而，面对构建信任和机密性、确保数据标准化并管理海量信息等使有效情报共享复杂化的部分障碍，CTA不仅成功应对了这些挑战，团结了全球网络威胁情报（CTI）精英团队，并显著增强了网络威胁全球视角。122023 上半年全球威胁态势研究报告报告全方位了解攻击流以识别入侵模式和入侵指标全方位了解攻击流以识别入侵模式和入侵指标网络攻击日益复杂、频繁且具有破坏性，促使企业必须知己知彼。了解从初始切入点到漏洞利用后的攻击流活动，对于制定有效的网络安全策略至关重要。攻击流是指攻击者用以渗透目标系统并实现其目标所采取的一系列步骤，包含前

49、期侦察、初始访问、权限提升、横向移动、数据泄露和持久化等多个战术阶段。通过对每个阶段的深入了解，组织能够更快速地识别漏洞，并采取适当的安全防御措施，快速有效地响应网络威胁。鉴于多种原因，全面了解攻击流至关重要。首先，可帮助组织更直观地了解攻击战术的步骤及其关系和结果。通过研究攻击者在每个阶段的战术、技术和流程（TTP），安全团队可快速识别入侵模式和入侵指标（IOC），从而有效识别正在进行的攻击并及时采取制敌行动。此外，全面了解攻击流还有助于组织更有效地分配资源。通过关注初始访问或权限提升等最薄弱的攻击阶段，企业可优先考虑投资并部署相关安全防御技术，最大限度提升其网络安全态势。最后，了解攻击流可

50、助力组织增强事件响应能力。通过绘制各个攻击阶段和潜在活动路线图，安全团队可针对每个战术阶段制定Playbook和响应计划，确保在网络攻击期间实现快速有效响应。充分了解攻击流量的优势是 Fortinet 作为研究赞助商参与非盈利性基金会 MITRE Engenuity 威胁情报防御研究中心（CTID）攻击流量项目的重要因素。25 我们坚信，随着威胁情报研究的巨大进步，我们可根据威胁特征精准识别和响应威胁，从而转变防御者当前所处的攻击劣势，使天平向有利于防御者的方向倾斜。图 8：MITRE ATT&CK Flow Builder（流程生成器）流程示例132023 上半年全球威胁态势研究报告报告至此

51、，我们也将相关标准纳入我们的研究报告中，例如由我们的两位研究人员披露的情报：Wintapix driver work（WINTAPIX：针对中东国家的新内核驱动程序）。26技术与流程支持技术与流程支持当下是部署新的安全技术或重新评估当前架构的最佳时机。无论您选择哪种安全工具，都必须确保其能够充分利用人工智能（AI）、机器学习（ML）、深度学习（DL）和高级分析等智能技术。这些高级功能对于快速处理组织生成的海量数据和告警至关重要，还可助力组织快速精准识别潜在威胁或其他风险活动或异常流量。若想料敌于先并先发制敌，就必须重新审视并调整当前流程。如重新定义安全团队的职能和职责，构建或更新 Playbo

52、ok，开展桌面演练以测试团队抗压能力或确定亟待解决的流程差距。如今，许多组织正积极携手值得信赖的供应商，并将其作为自身安全人员的能力扩展。我们的 FortiGuard AI 安全服务涵盖下一代防火墙（NGFW）、网络遥测和分析（EDR）、扩展检测和响应（XDR）、数字风险保护（DRP）、安全信息和事件管理（SIEM）、内联沙箱、欺骗技术、安全编排、自动化和响应（SOAR）等各种强大和先进的安全工具及服务。这些解决方案可为组织提供高级威胁检测和防御功能，助力组织快速检测和响应整个攻击面的安全事件。总结与未来展望总结与未来展望希望我们所创建的报告能够对您有所助益。众所周知，网络安全有时可能表现地极

53、为复杂。然而，该领域不乏鼓舞人心、热情洋溢的个人和团体，他们孜孜不倦地工作，为网络安全社区提供创新和简化解决方案，以增强整体安全态势。打击网络犯罪是一项任务艰巨且任重道远的挑战，作为网络安全行业的一员，我们已做好充分的防御和对抗准备。强化公共和私营部门之间共享威胁情报的伙伴关系，对于有效打击网络战争至关重要。威胁情报必须通过全面的Playbook立即采取遏制行动，在共享、应对和报告方面，如果没有标准可言，挑战无疑会加剧。然而，威胁情报共享是确保无摩擦、及时有效响应的关键因素。我们坚信，当下的防御者一旦拥有充足的安全工具、专业知识和技能支持等料敌于先的有力反制措施，即可改变当前所处的攻击劣势。1

54、42023 上半年全球威胁态势研究报告报告1“MITRE ATT&CK Matrix for Enterprise,”MITRE,20152023.2 Douglas Jose Pereira dos Santos,“2H 2022 Global Threat Landscape Report:Key Insights for CISOs,”Fortinet,March 3,2023.3“2H 2022 Global Threat Landscape Report,”Fortinet,March 3,2023.4 Geri Revay,“The Year of the Wiper,”Forti

55、net,January 24,2023.5 Derek Manky,“The Latest Intel on Wipers,”Fortinet,March 23,2023.6 Douglas Jose Pereira dos Santos,“2H 2022 Global Threat Landscape Report:Key Insights for CISOs,”Fortinet,March 3,2023.7“Exploit Prediction Scoring System,”FIRST.org,2015-2023.8 James Slaughter,Fred Gutierrez,and

56、Shunichi Imano,“MOVEit Transfer Critical Vulnerability(CVE-2023-34362)Exploited as a 0-Day,”Fortinet,June 8,2023.9“Threat Signal Report:MOVEit Transfer Critical Vulnerability(CVE-2023-34362),”FortiGuard Labs,June 2,2023.10“EPSS API,”FIRST.org,20152023.11“Replication Through Removable Media,”MITRE AT

57、T&CK,May 31,2017.12“IPS Threat Encyclopedia:Raspberry.Robin.Worm,”FortiGuard Labs,July 14,2022.13“Increased Truebot Activity Infects U.S.and Canada-Based Networks,”Cybersecurity and Infrastructure Security Agency,July 6,2023.14“Exploitation for Client Execution,”MITRE ATT&CK,April 18,2018.15 Fortine

58、t Follina Blog Posts,accessed July 27,2023.16“Hijack Execution Flow:DLL Side-Loading,”MITRE ATT&CK,March 13,2020.17 FortiGuard Labs,“3CX Desktop App Compromised(CVE-2023-29059),”Fortinet,March 30,2023.18“Obfuscated Files or Information,”MITRE ATT&CK,May 31,2017.19“Masquerading,”MITRE ATT&CK,May 31,2

59、017.20“Virtualization/Sandbox Evasion,”MITRE ATT&CK,April 17,2019.21“OS Credential Dumping,”MITRE ATT&CK,May 31,2017.22“Input Capture,”MITRE ATT&CK,May 31,2017.23“Process Injection,”MITRE ATT&CK,May 31,2017.24 Derek Manky,“Partnering to Disrupt Cybercrime,”Fortinet,February 14,2023.25 Douglas Jose P

60、ereira dos Santos,“MITRE Attack Flow Gives CISOs Valuable Context for Better Risk Management,”Fortinet,November 3,2022.26 Geri Revay and Hossein Jazi,“WINTAPIX:A New Kernel Driver Targeting Countries in the Middle East,”Fortinet,May 22,2023.2023 上半年全球威胁态势研究报告报告Copyright 2023 Fortinet,Inc.All rights

61、reserved.Fortinet,FortiGate,FortiCare and FortiGuard,and certain other marks are registered trademarks of Fortinet,Inc.,and other Fortinet names herein may also be registered and/or common law trademarks of Fortinet.All other product or company names may be trademarks of their respective owners.Perf

62、ormance and other metrics contained herein were attained in internal lab tests under ideal conditions,and actual performance and other results may vary.Network variables,different network environments and other conditions may affect performance results.Nothing herein represents any binding commitmen

63、t by Fortinet,and Fortinet disclaims all warranties,whether express or implied,except to the extent Fortinet enters a binding written contract,signed by Fortinets General Counsel,with a purchaser that expressly warrants that the identified product will perform according to certain expressly-identifi

64、ed performance metrics and,in such event,only the specific performance metrics expressly identified in such binding written contract shall be binding on Fortinet.For absolute clarity,any such warranty will be limited to performance in the same ideal conditions as in Fortinets internal lab tests.Fort

65、inet disclaims in full any covenants,representations,and guarantees pursuant hereto,whether express or implied.Fortinet reserves the right to change,modify,transfer,or otherwise revise this publication without notice,and the most current version of the publication shall be August 4,2023 10:40 AM2278529-0-0-EN