《绿盟科技：2021年度高级威胁研究报告（90页）.pdf》由会员分享，可在线阅读，更多相关《绿盟科技：2021年度高级威胁研究报告（90页）.pdf（90页珍藏版）》请在三个皮匠报告上搜索。

1、2021年度高级威胁研究报告APT&Botnet&RansomwareAdvanced Threats Research Report 2021CONTENTS2021 年度高级威胁研究报告2关于绿盟科技绿盟科技集团股份有限公司（以下简称绿盟科技），成立于 2000年 4 月，总部位于北京。公司于 2014 年 1 月 29 日在深圳证券交易所创业板上市， 证券代码：300369。 绿盟科技在国内设有50余个分支机构，为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴

2、西圣保罗设立海外子公司和办事处，深入开展全球业务，打造全球网络安全行业的中国品牌。关于网络安全应急技术国家工程研究中心网络安全应急技术国家工程研究中心的前身是国家发展和改革委员会于 2013 年批复成立的网络安全应急技术国家工程实验室，2022 年1 月纳入新序列管理。研究中心坚持以国家和行业战略需求为出发点，致力于物联网及工控网安全领域的基础理论研究、关键技术研发与实验验证，聚焦解决网络安全“卡脖子”技术问题，开展物联网及工控网相关的安全监测、态势感知、信息通报与应急处置工作，向政府主管部门和行业用户提供威胁情报共享、态势信息通报等服务，为国家关键基础设施的建设和运行提供网络安全保障。版权声

3、明为避免合作伙伴及客户数据泄露 , 所有数据在进行分析前都已经 过匿名化处理 , 不会在中间环节出现泄露 , 任何与客户有关的具体信息，均不会出现在本报告中。CONTENTS01执行摘要001022021 年高级威胁事件总览003032021 年 APT 攻击活动0083.1本年度 APT 活动情况0093.2本年度 APT 技术发展0103.3本年度 APT 发展趋势0143.4本年度 APT 重点攻击目标0153.5针对我国的 APT 攻击活动0213.6各地域的 APT 攻击活动0223.7小结039042021 年僵尸网络活动0404.1僵尸网络攻击活动情况0414.2僵尸网络传播能力

4、0454.3新家族发现情况概述0514.4僵尸网络团伙0624.5小结065052021 年勒索软件活动0665.12021 年勒索软件的家族数量及团伙数量0675.22021 年国内勒索软件攻击概况0685.32021 年勒索软件攻击方法及目标选择0715.4勒索软件防护策略的思考08206高级威胁攻击趋势预测08401执行摘要2021 年度高级威胁研究报告0022021 年，以 APT 攻击、新型僵尸网络攻击、RaaS 型勒索软件攻击为代表的高级威胁攻击事件，在攻击技术、影响范围、造成损失等多个维度上都提升到了全新的高度。伏影实验室对 2021 年全年的高级威胁事件进行了持续追踪研究，整理

5、形成报告，并总结以下主要观点：安全人员成为 APT 组织的新型攻击目标。本年度，绿盟科技发现多个 APT 组织策划了以安全公司和安全研究人员为目标的高等级渗透攻击活动，攻击者通过直接攻击安全公司服务器、伪造 SNS 账号与博客、制作并分发带有后门的工程文件或分析工具等方式，对包括我国在内的多个国家的安全人员进行网络间谍攻击，以获取新型攻击工具和技术；雇佣军形式的 APT 组织开始出现。绿盟科技本年度发现的 APT 组织 Lorec53，是一个受到更高级间谍组织雇佣的，在近期开始承担国家级网络钓鱼攻击任务的黑客团体。此类组织的出现，表明随着地缘冲突加剧、国家级 APT 组织的攻击任务大幅增加，他

6、们不得不探索新的组织形式来快速提升攻击能力。新型网络结构的应用提升了僵尸网络的隐匿性。为躲避溯源追踪，僵尸网络运营者更多使用 Tor 构建的新型网络结构。在 P2P 网络不再安全的情况下，僵尸网络运营者积极升级僵尸网络的通信信道，使用 Tor 网络的比例明显上升，僵尸网络的活动也愈发难以追踪和拦截。“扩招”成为僵尸网络团伙的主要运营思路。本年度，以 KekSec 团伙为代表的僵尸网络团伙，通过高调的自我宣传、合并其他僵尸网络团伙、大量吸纳新的运营人员、大量制作新型僵尸网络木马或变种等方式，持续且迅速地扩张僵尸网络节点的控制范围，使自己快速具备了头部僵尸网络运营者的攻击能力，成为具备强大 DDo