《Fortinet：2025全球威胁态势研究报告（17页）.pdf》由会员分享，可在线阅读，更多相关《Fortinet：2025全球威胁态势研究报告（17页）.pdf（17页珍藏版）》请在三个皮匠报告上搜索。

1、态势研究报告 FortiGuard Labs2025 年全球威胁3目录introonetwothreefourfivesixconclusion结论：助力 CISO克敌制胜之道6.攻击者现状分析 5.云端战场：网络安全新态势应对指南4.超越初始访问：漏洞利用后、横向移动和 C2 3.从暴露到初始访问和漏洞利用：攻击者从何处登堂入室2.暗网揭秘：攻击者入侵 前准备1.前期侦查数量激增：自动化扫描呈白热化引言：攻击方优势加速扩大 MITRE ATT&CK前期侦查初始访问命令与控制资源开发横向移动权限提升数据窃取危害影响有关本报告的任何问题，请联系：54当前，防御方面临的挑战显而易见：攻击方优势正加

2、速扩大。从攻击前侦测到入侵后的持久化驻留，攻击者正以空前未有的速度、精准度和影响发起攻击。种种迹象表明，组织亟需从传统被动防御模式转变为以威胁暴露管理为支撑、以威胁情报为主导的主动防御模式。关键发现关键发现漏洞侦查空前激增：漏洞侦查空前激增：为加速挖掘并利用新发现漏洞，网络犯罪分子正大肆在全球范围内部署自动化漏洞扫描工具。2024 年，全球网络空间主动扫描量达历史峰值，同比激增 16.7%。FortiGuardLabs（Fortinet 全球威胁情报研究与响应实验室）每月监测到数十亿次侦查扫描活动，相当于每秒 36,000 次扫描，表明攻击者日益关注暴露面测绘服务，如 SIP（会话初始协议）、

3、RDP（远程桌面协议）以及 Modbus TCP等 OT/IoT 协议。与此同时，SIPVicious 等工具和商业扫描工具日益被攻击者武器化，以精准识别防御方尚未实施补丁修复的软目标，这些迹象表明攻击者战术已出现明显“左移”。AI 技术深度赋能网络犯罪供应链：AI 技术深度赋能网络犯罪供应链：威胁行为者大肆利用 AI 技术实施网络钓鱼、敲诈勒索、冒充和规避战术攻击。FraudGPT、Blackmail-erV3和 ElevenLabs 等恶意工具，均可自动生成恶意软件、深度伪造视频、网络钓鱼网站和合成语音，进一步催生更可扩展、可信度 业化水平，投入更多精力专注攻击链特定环节。更高和更有效的攻

4、击活动。正如之前预测，网络犯罪即服务（CaaS）团伙正大肆利用这些新型工具提升专专业化水平，投入更多精力专注攻击链特定环节。网络犯罪即服务（CaaS）模式正规模化助推初始访问攻击：网络犯罪即服务（CaaS）模式正规模化助推初始访问攻击：凭据窃取和直接入侵企业等地下黑色经济活动呈爆发式增长。FortiGuardLabs（Fortinet 全球威胁情报研究与响应实验室）观察到，待售窃取凭据数量激增 42%，而暴力访问 VPN、桌面远程协议（RDP）和管理面板的初始访问代理（IAB）活动显著增加。Redline和 Vidar 等信息窃取恶意软件的滥用，导致暗网论坛凭据日志泄露活动量暴增 500%。攻

5、击者形态碎片化，功能统一化：攻击者形态碎片化，功能统一化：13 个勒索软件团伙初次涌入勒索软件即服务（RaaS）市场，表明攻击者形态呈现碎片化趋势。然而，排名前四的团伙依然占据攻击观测总量的 37%，凸显了强大的集中影响力。与此同时，黑客活动分子始终青睐勒索软件攻击战术，政治性黑客的首要目标仍是制造业、政府机构、教育和科技等关键领域。即时通讯软件（Telegram）仍是攻击者共享漏洞利用与基础设施的核心协调枢纽，为原本分散的威胁组织提供了统一操作平台。攻击方优势加速 扩大2025 年全球威胁态势研究报告全面揭示，当前网络攻击的规模和复杂程度均急剧升级。数据显示，攻击者已实现自动化漏洞侦察，漏洞

6、披露与漏洞利用间隔显著缩短，并借助网络犯罪产业化不断扩大攻击规模，攻击速度日益加快。FortiGuard Labs 观察到，在所有攻击阶段中，威胁行为者正加速利用自动化、商品化工具以及 AI 技术，系统性瓦解防御方传统优势。76漏洞利用数量持续飙升，增速不减：漏洞利用数量持续飙升，增速不减：2024 年新披露漏洞利用平均时间相对稳定，与 2023 年观察到的 5.4 天平均值相近，但漏洞利用尝试规模呈激增趋势。2024 年，FortiGuard Labs（Fortinet 全球威胁情报研究与响应实验室）监测到超 970 亿次漏洞利用尝试，表明攻击自动化程度持续提升且跨行业攻击目标持续扩大。攻击

7、者优先瞄准已暴露的物联网设备、路由器、防火墙和监控摄像头，并常用于发起僵尸网络命令和控制（C2）、横向渗透攻击或构建持久化访问通道。Ivanti 产品中发现的远程命令注入漏洞 CVE-2024-21887，经披露后仅 6 天即遭恶意利用，充分暴露攻击者仍在伺机而动，时刻紧抓一切攻击机会。后渗透战术隐蔽性日益提升：后渗透战术隐蔽性日益提升：2023 年至 2024年，CVE 数量显著增长，增速达 39%，但在已观测威胁总量中，零日攻击仍占比较小。离地攻击（Living-off-the-land）战术成为网络犯罪分子的惯用手段，并基于受信任工具和协议隐蔽地进行权限提升。FortiGuard Lab

8、s（Fortinet 全球威胁情报研究与响应实验室）已成功识别多种高级入侵后行为，包括基于DCSync 和 DCShadow 等域渗透技术的 Active Directory（活动目录）操纵、基于 RDP（远程桌面协议）的横向移动以及基于 DNS 和 SSL 加密的网络命令和控制（C2）。云攻击战术和技术不断演进，配置错误攻击依然盛行云攻击战术和技术不断演进，配置错误攻击依然盛行：云环境仍是攻击者的首要攻击目标，通常利用存储桶公开访问、身份权限过度分配及服务配置错误等长期存在的漏洞实施入侵。FortiCNAPP 遥测数据显示，云入侵数量稳步上升，涉及身份滥用、不安全的 API 和权限提升。攻击

9、者常在多阶段攻击中叠加使用此类媒介，同时利用自动化技术和合法服务执行隐蔽操作，实现持久化访问。前期侦查仍是最流行的云攻击战术，例如 API 探测、权限枚举和已暴露资产扫描。在已观测到的安全事件中，70%的入侵均涉及攻击者在陌生地理位置登录，突显了身份识别和访问控制机制在云防御环节的关键作用。行动呼吁：防御“左移”，快速行动，减少暴露行动呼吁：防御“左移”，快速行动，减少暴露威胁形势扭转在即：在自动化、前期侦查和可扩展操作方面，攻击者不惜投入大量资金，其研发的攻击 Playbook 凸显速度、隐蔽性和可扩展性优势。但目前，多数组织仍依赖静态被动防御机制以及滞后补丁周期的传统安全模型。为有效应对当

10、前攻击，防御者亟需从传统被动威胁检测模式转向主动持续威胁暴露管理（CTEM）模式。这种积极主动的防御方法强调：持续监控攻击面实战攻防演练优先修复高风险漏洞自动化威胁检测和防御响应 当前安全态势已发生根本性转变。想要始终领先于攻击者，需在对方行动前即精准预判并有效拦截，这意味着传统安全解决方案已难以满足防御者当下需求。1.前期侦查数量激增：1.前期侦查数量激增：自动化扫描呈白热化自动化扫描呈白热化2024 年，全球网络空间主动扫描量达历史峰值，同比激增 16.7%，揭露了攻击者针对已暴露数字基础设施的大规模、高精度情报搜集趋势。FortiGate 下一代防火墙（NGFW）中的入侵防御系统（IPS

11、）引擎检测到，攻击者利用高级供给链“左移”战术在发起针对性攻击前，提前绘制攻击面，导致所有地区的此类扫描数量激增。FortiReconFortiGateFortiOS98这种前所未有的自动扫描量表明，大规模侦察活动显著增加。此类扫描活动主动寻找易发现漏洞，并探测关键基础设施，以挖掘可以被轻松利用的资产。当前，随着攻击武器化阶段的迅速缩短，威胁行为者可以近乎实时地掌控许多目标的攻击面。一旦漏洞可被利用，攻击者便迅速发动攻击，快速渗透至未及时应用补丁修复的组织。数百万次主动扫描：威胁行为者意欲何数百万次主动扫描：威胁行为者意欲何全球每小时扫描尝试检测量达数百万次，深刻揭示了网络犯罪分子在发动攻击前

12、，不间断测绘已暴露系统。每月扫描量累计高达数十亿，印证了前期侦察自动化活动的庞大规模。为有效保护组织，防御者需主动深入了解攻击者的搜索目标，及其如何将扫描活动转化为现实世界的威胁和风险。攻击者以电信业、工业、OT/ICS 和金融服务业等关键领域广泛使用的协议为攻击目标，并常常依赖以下协议漏洞：SIP（VoIP）协议漏洞：SIP 扫描事件占检测扫描总量的 49%以上。SIP 漏洞广泛存在于电信业，此类漏洞可能引发交互攻击和呼叫欺诈。例如，黑客组织 APT28 使用合法凭据非法获取初始访问权限，随后进行权限提升和持久化驻留，进而窃取敏感数据。该团伙还利用制造商设置的默认密码，通过物联网设备，如 V

13、oIP 电话、打印机和视频解码器，获取对受害者网络的初始访问权限。Mo dbus TCP 协议漏洞：Mo dbus TCP 扫描事件约占检测扫描总量的 1.?%，表明组织应加强对工业基础设施和 SCADA 系统的关注。美国能源部（DOE）、网络安全和基础设施安全局（CISA）、国家安全局（N SA）和联邦调查局（F BI）联合发布一份网络安全咨询（CSA），明确警示防御者，某些高级持续性威胁（APT）行为者已能够获得多个工业控制系统（ICS）/监控和数据采集（SCADA）设备的完全系统访问权限。网络犯罪分子惯用哪些扫描工具查找系统漏洞？网络犯罪分子惯用哪些扫描工具查找系统漏洞？威胁行为者正利用

14、各种精心设计的恶意工具，自动开展攻击面测绘，以优化漏洞利用活动。这些工具包括：SIPVicious：SIPVicious 扫描事件占检测扫描总量的 50%。SIPVicious 套件是一组专为审计基于 SIP 协议的 VoIP 系统而设计的恶意工具集。恶意行为者已采用此套件成功利用安全性薄弱的 SIP 服务器。该恶意套件包含 5 款工具：swamp、svwar、svcrack、report 和crash。Qualys：该扫描事件约占检测扫描总量的2.5%，主要群体包括合法安全团队以及寻找关键基础设施漏洞的攻击者。Nmap（Network Mapper）：扫描量占比不足1%，但仍是识别开放端口和

15、易受攻击服务的关键工具。Nmap 是一款用于网络探索和安全审计的开源工具，最初设计用于快速扫描大型网络。Nessus 和 OpenVAS：这两款扫描工具占比较小，但仍被攻击者广泛用于挖掘企业系统中的安全漏洞。攻击行为趋势分析攻击行为趋势分析当前检测量 1.16 1.16 万亿万亿2024 年 检测量9930 亿年同比增长16.71%10暗网已从网络犯罪分子的避难所演变为网络攻击的供应链。FortiGuard Labs（Fortinet 全球威胁情报研究与响应实验室）团队成功发现一个迅速扩张的地下生态系统，其中被盗凭据、企业访问权限、漏洞利用和 AI 驱动工具被大肆购买、出售和开发，为恶意活动的

16、持续攀升提供了不竭动力。这意味着，攻击者如今可以肆意使用现成资源，不再仅仅依靠技术技能，网络犯罪准入门槛大大降低，对技术水平较低的攻击者而言尤为有利。因此，我们可以预见，针对性攻击的数量、速度和复杂性都将持续攀升。企业非法渗透业务企业非法渗透业务失窃凭据并非唯一待售的有价值商品。2024 年，暗网初始访问代理（IAB）活动急剧增加。非法出售受害者基础设施直接访问权限服务的盛行，令攻击者无需开展漏洞搜索和利用活动，即可远程渗透至受害者网络。除了个人访问凭据外，初始访问代理（IAB）服务可提供的抢手资产及占比如下：企业 VPN 凭据（20%）RDP 访问权限（19%）管理面板控制权（13%）Web

17、 Shell（网页后门，占比 12%Sandocan（26%）、F13（16%）和 JefryG（12%）等初始访问代理（IAB）组织首当其冲，持续为当前及有野心的网络犯罪分子提供预先入侵企业内部网络的访问权限。失窃凭据沦为新的入侵通行证失窃凭据沦为新的入侵通行证11失窃凭据交易是暗网最活跃的市场之一。2024 年，从以往泄露事件中窃取的用户名、密码和电子邮件地址的“组合列表”信息泄露泛滥，网络犯罪分子在地下论坛共享的泄露记录已逾 1000 亿条，同比激增 42%。超 50%的暗网帖子涉及已泄露数据库，一旦这些数据库落入网络犯罪分子之手，便能轻易发起自动化撞库攻击，从而非法获取受害者系统的访问

18、权限。暗网上，一些知名团伙不仅非法出售泄露信息数据，还对这些资源进行了简化处理。借助这些有利资源，任意技能水平的威胁行为者，都能轻松实施攻击，持续降低了网络犯罪门槛，导致账户劫持、金融欺诈和企业间谍等犯罪活动猛增。当前暗网市场中，最活跃的网络犯罪组织包括：BestCombo（20%）：该组织是一家大规模出售被盗凭据的供应商，将新泄露数据打包成庞大的即用型清单进行出售。BloddyMery（12%）：该组织因擅长汇总泄露数据并提升其可售性而闻名，他们能够使被盗凭据更具转售价值，从而增强针对性攻击的效果和成功率。ValidMail（12%）：该组织专门从事凭据验证服务，仅向买家出售有效的登录信息，

19、提高攻击成功率。2.暗网揭秘：暗网揭秘：攻击者入侵 前准备攻击者入侵 前准备我们获取的大部分遥测数据，已能够揭示攻击者在入侵前所采取的行动，而暗网情报则为我们提供了额外的宝贵信息，有助于我们提前洞悉威胁行为者可能采取的下一步行动。暗网深处的攻击者持续开发、获取并交易资源，使其能以惊人的精度发动大规模攻击。安全漏洞并非始于组织检测到网络异常之时。殊不知，攻击者成功入侵系统之际，早已完成周密的攻击规划与测试，且所有资源均已就位，厉兵秣马只待出击。FortiRecon1312凭据窃取即服务：信息窃取工业化崛起凭据窃取即服务：信息窃取工业化崛起暗网上的失窃凭据不仅源自以往数据泄露。FortiGuard

20、 Labs（Fortinet 全球威胁情报研究与响应实验室）还观察到，2024 年，因信息窃取类恶意软件入侵泄露的系统日志数量暴增 500%。与此同时，地下论坛非法分享的被盗凭据记录数量已高达 17 亿条。攻击者常用的信息窃取工具包括：Redline（60%）：Redline（60%）：作为使用最广泛的信息窃取工具，Redline 因其经济实惠、易于使用和定位多个数据源的能力，备受攻击者青睐。该工具在地下论坛的售价仅为 150 美元，支持攻击者从网络浏览器、电子邮件客户端、加密货币钱包以及Telegram 和 Discord 等消息传递应用程序中非法窃取用户凭据。凭借高利用率，该工具已成为初始

21、访问代理（IAB）活动的热门选择，攻击者将窃取的登录信息出售给勒索软件运营商和其他网络犯罪组织。Vidar（27%）：Vidar（27%）：Vidar 以有别于其他工具的高级功能而闻名，不仅擅长收集凭据，还擅长收集会话令牌和多因素身份验证（MFA）绕过数据，帮助攻击者在重置密码后保持对帐户的持续访问。Vidar 的模块化结构，支持网络犯罪分子轻松定制所需功能，以窃取 VPN 凭据、银行登录信息和云身份验证令牌。Racoon（12%）：Racoon（12%）：与其他信息窃取工具不同，Racoon 专注于海量数据渗漏以及财务日志记录、存储的密码、信用卡信息和加密货币钱包数据的收集。Racoon 恶

22、意软件家族通过钓鱼攻击和破解软件下载渠道进行传播，其隐匿特性使其在攻击者中广受青睐。该木马通常难以被安全系统检测，直至失窃凭据在暗网交易平台出现才暴露入侵痕迹。漏洞利用经纪人：攻击者如何获取资源并扩展攻击能力 漏洞利用经纪人：攻击者如何获取资源并扩展攻击能力 地下论坛不仅是一个交易访问权限和用户凭据的平台，更是一个汇聚了大量针对复杂漏洞利用工具包的市场。2024 年，美国国家漏洞数据库新增 40,000 多个漏洞，同比增长 39%。同年，暗网论坛发现的零日漏洞数量为 331 个，可用漏洞占比居高不下：182 个漏洞（55%）拥有公开可用的概念验证（PoC）漏洞利用代码106 个漏洞（32%）具

23、有功能齐全的漏洞利用代码98个漏洞（30%）在勒索软件和 APT 活动中被积极利用 除了优先开展高危 CVE 漏洞补丁管理实践外，定期监控暗网还可让防御者了解哪些漏洞可能被威胁行为者利用。这类情报有利于帮助安全团队主动防范潜在攻击。网络犯罪：AI 在网络犯罪自动化中的作用网络犯罪：AI 在网络犯罪自动化中的作用“物美价廉”的工具为网络犯罪市场的蓬勃发展提供了源源不断的动力。随着 AI 技术的发展，网络犯罪分子新手无需掌握专业攻击技术和知识，即可获得执行攻击所需策略和情报的机会，大幅降低了网络犯罪分子的准入门槛。除了增强非法访问能力外，AI 技术还可帮助恶意行为者轻松创建高度可信的网络钓鱼攻击。

24、FortiGuard Labs（Fortinet 全球威胁情报研究与响应实验室）团队，已监测到大量帮助攻击者提升攻击效率的 AI 驱动恶意工具，包括：DeepFaceLab 和 Faceswap：DeepFaceLab 和 Faceswap：这些被欺诈攻击者广泛使用的深度伪造工具，能够创建高度逼真的 AI 生成视频，成功绕过银行和加密货币平台上的身份验证程序。攻击者可使用此类工具冒充高管身份进行欺诈、非法访问帐户、参与洗钱等非法活动。FraudGPT 和 WormGPT：FraudGPT 和 WormGPT：此类 AI 驱动的恶意大语言模型，可帮助网络犯罪分子制作高度逼真的网络钓鱼电子邮件、虚

25、假商业通信和欺诈性法律文件。与 ChatGPT 不同，这些工具完全不受道德约束且毫无安全限制，支持黑客优化诈骗技术、生成恶意代码并发起大规模社交工程攻击。BlackmailerV3：BlackmailerV3：一款人工智能驱动的勒索工具包，可自动定制勒索电子邮件，使用抓取的个人和企业数据增加其通信可信度。该工具常被用于色情敲诈、虚假法律威胁以及仿冒 CEO 身份欺诈等攻击企图。AI 生成式网络钓鱼页面（EvilProxy、Robin Banks）：AI 生成式网络钓鱼页面（EvilProxy、Robin Banks）：此类平台使用 AI 自动生成网络钓鱼网站，假冒银行、云服务和企业平台的合法登

26、录门户。EvilProxy 等应用程序还提供中间人攻击（AiTM）功能，帮助攻击者成功绕过多因素身份验证（MFA）工具，窃取用户凭据。ElevenLabs 和 Voicemy.ai：ElevenLabs 和 Voicemy.ai：攻击者利用此类 AI 语音合成工具克隆语音，用于电话钓鱼（语音网络钓鱼）、深度伪造诈骗电话，以及用于绕过金融机构和企业访问控制机制使用的语音身份验证系统。AI 驱动的社交工程机器人（Goose、Telegram 欺诈机器人）：AI 驱动的社交工程机器人（Goose、Telegram 欺诈机器人）：此类聊天机器人可冒充客户服务代表，并利用 AI 生成的对话诱骗受害者分享

27、敏感信息，例如信用卡详细信息、多因素身份验证（MFA）码和密码。14攻击者最青睐的切入点攻击者最青睐的切入点并非所有漏洞都具有同等危险性。某些漏洞因其关键暴露属性，已成为网络犯罪分子持续攻击企业网络的突破口。15FortiGuard Labs（Fortinet 全球威胁情报研究与响应实验）汇总的 IPS 遥测数据，重点揭示了对攻击者仍极具吸引力的关键漏洞。以下是攻击者入侵组织最常见的切入点：Windows S?B 信息披露漏洞（CVE-2017-0147）Windows S?B 信息披露漏洞（CVE-2017-0147）2024 年，该漏洞占漏洞利用尝试总量的 26.7%，仍是攻击者通过服务器

28、消息块（SMB）协议渗透企业网络时最为青睐的漏洞之一。SMB 的高漏洞利用尝试率可能是自动扫描所致，但也提醒各组织必须确保将该服务可能引发的攻击风险降至最低。对于仍在运行搭载过时软件的 OT 产品的组织而言，这一点尤为重要。Apache Log4j 远程代码执行漏洞（CVE-2021-44228）Apache Log4j 远程代码执行漏洞（CVE-2021-44228）该漏洞利用尝试占比为 11.6%。该漏洞持续对众多组织构成严峻威胁，表明许多组织尚未采取必要的安全修复措施，而攻击者仍在针对以往公开披露漏洞发起利用尝试。Netcore Netis 设备硬编码密码漏洞（CVE-2019-1893

29、5）Netcore Netis 设备硬编码密码漏洞（CVE-2019-18935）该物联网漏洞占利用尝试总量的 8%，进一步说明了攻击者专注于入侵安全性薄弱以及存在配置错误的系统。此类攻击媒介揭示了安全团队面临的关键挑战：攻击者总能比防御方更快速地利用漏洞发起攻击，而久经考验的攻击媒介仍能屡试不爽，只因太多组织未能及时修复漏洞，网络卫生状况持续堪忧。3.从暴露到初始访问和漏洞利用：3.从暴露到初始访问和漏洞利用：攻击者从何处登堂入室攻击者从何处登堂入室网络安全攻防战场已发生巨大变革。攻击者不再需要手动识别漏洞，利用自动扫描技术、机器学习算法以及预先打包的漏洞利用工具包，在漏洞披露后的数小时内，

30、即可迅速将新发现安全漏洞转化为攻击武器。经最新分析，Fortinet IPS 传感器检测到超 970 亿次漏洞利用尝试，凸显了网络犯罪分子正持续探测并搜集已暴露系统。当前的棘手问题不再是某个组织是否会成为攻击目标，而是何时和多快遭受入侵。攻击者具有系统性、持久性和无国界特征。虽然所有地区均面临重大风险，但在追踪到的所有漏洞利用尝试中，亚太地区（APAC）占比最大（42%），其次为欧洲、中东和非洲（EMEA，26%）、北美洲（20%）和拉丁美洲（11%）。图 1.IPS 引擎追踪到的漏洞利用尝试全球分布漏洞利用尝试全球分布漏洞利用尝试全球分布拉丁美洲拉丁美洲11.1%北美洲 北美洲 20.2%欧

31、洲、中东和非洲欧洲、中东和非洲26.3%亚太地区 亚太地区 42.4%FortiGateFortiOS1716补丁管理滞后、配置错误以及网络分段不当，为自动化漏洞利用攻击成功渗透网络提供了绝佳机会。物联网设备仍是自动化漏洞利用易受攻击的目标 物联网设备仍是自动化漏洞利用易受攻击的目标 物联网设备漏洞利用活动激增，这一趋势揭示了一个核心安全问题：在物联网安全方面，众多组织并未像管理传统 IT 资产那样严谨对待。攻击者正利用供应商默认登录凭据、过时固件以及暴露的管理接口，非法获取长期访问权限，并将这些设备作为发动更大规模攻击的跳板。此外，这些设备还频繁沦为僵尸网络的庇护所。经最新分析，超 20%的

32、漏洞利用尝试记录涉及物联网设备，凸显了 OT 环境威胁正日益增长。上表中，我们汇总了易受攻击的物联网设备以及关联的 CVE 漏洞、CVSS 评分、MITRE ATT&CK 技术及其潜在影响。漏洞利用活动的激增往往与新漏洞披露同时期发生，表明攻击者能够迅速将物联网漏洞整合至攻击框架。其中，路由器、摄像头和网络硬件是最常被攻击的物联网设备。路由器遭受的攻击占比最高，特别是 Netcore、TP-Link 和 D-Link 等品牌路由器，已在多个 CVE 中频遭积极利用。Zavio 和 GoAhead 等品牌的监控摄像头，仍是寻求持久驻留的攻击者青睐的目标，常被用于发起间谍活动、实现横向移动或构建僵

33、尸网络攻击。4.超越初始访问：.超越初始访问：漏洞利用后、横向移动和 C2漏洞利用后、横向移动和 C2一旦攻击者突破系统，接下来会发生什么？事实是，初始访问只是一个更复杂攻击链的开始。在漏洞利用后阶段，网络犯罪分子会巩固其存在，在网络中悄无声息地移动，并对受感染环境建立持久控制。但组织如何在这些活动升级为全面入侵之前检测到它们？物联网设备漏洞利用尝试占比关联的 CVE 漏洞CVSS 评分潜在负面影响Netcore Netis 路由器18.4%CVE-2019-189359.810.5%CVE-2017-183778.33.2%CVE-2022-305259.82.1%CVE-2023-1389

34、9.0WiFi P2P GoAhead 摄像机Zyxel 防火墙和路由器TP-Link Archer AX21 路由器GPON 路由器（涉及多个品牌）0.9%CVE-2018-105619.4远程控制、招揽至僵尸网络未经授权的访问、间谍活动、数据泄露远程访问、配置篡改流量劫持、凭据窃取、持久化驻留持久访问、招揽至僵尸网络、DDoS 攻击Anti-BotnetFortiNDRFortiGateFortiOS1918本节中，我们分析了 2024 年观察到的一些最关键的后渗透技术，重点关注与权限提升（TA0004）、横向移动（TA0008）和 C2 通信（TA0011）相关的网络检测与响应（NDR）

35、技术，解答了安全团队亟待解决的关键问题，并分享了关键见解，帮助组织抢占先机，领先于攻击者。2024 年，后渗透阶段常用的恶意软件有哪些？2024 年，后渗透阶段常用的恶意软件有哪些？网络犯罪分子主要依赖难以检测的复杂恶意软件，在受感染环境中实现长期驻留。FortiGuard Labs（Fortinet 全球威胁情报研究与响应实验室）团队，成功识别出几款 2024 年尤为活跃且臭名昭著的恶意软件变体或分支（亚型），包括以下远程访问木马（RAT）：Xeno RAT：这款功能丰富的开源恶意软件，可以捕获屏幕、渗漏数据、维持长期驻留，并利用 Socks5 反向代理绕过网络限制，轻松访问远程系统。Spa

36、rkRAT：这款高度复杂的远程访问木马，支持命令执行、系统操纵（关闭、重启、休眠）和文件/进程控制。Async RAT 和 Trickbot：此类臭名昭著的恶意软件系列工具，通常被用于网络间谍活动、凭据窃取和持续网络入侵。这些远程访问木马（RAT）为攻击者提供了凭据窃取、数据泄露及远程执行命令的能力，已成为现代网络攻击者后渗透工具包中的核心组件。攻击者如何实现跨网络横向隐匿移动？攻击者如何实现跨网络横向隐匿移动？一旦潜入受害者网络，网络犯罪分子便四处游走，以扩大访问权限、挖掘敏感信息、提升 访问权限或达成其他目的。通过深入了解攻击者执行这些恶意活动所采用的战术，安全团队能够在横向移动酿成大规模

37、入侵前，成功检测并及时遏制。2024 年，FortiGuard Labs（Fortinet 全球威胁情报研究与响应实验室）团队成功检测到各种横向移动战术，包括：SMB 流量中的恶意可执行文件下载，一种经常用于在 Windows、macOS 和 Linux 系统之间传播恶意软件的方法SMB 协议执行中的异常行为，尤其是Impacket 工具包内进程标识符（PID）字段的错误使用模式，已被识别为系统入侵检测指标WMI ExecMethod 横向移动检测，其中 FortiNDR Cloud 行为模块标记了试图执行远程命令的攻击序列在 2024 年调查的安全事件中，基于 RDP 协议的横向移动战术占比

38、高达 88%攻击者频繁滥用远程桌面协议（RDP），通过凭据在网络间横向移动，已成为多数检测策略中的重大盲区。攻击者如何利用 Windows 系统入侵组织？攻击者如何利用 Windows 系统入侵组织？攻击者经常滥用内置系统实用程序，以躲避安全控制机制并执行恶意代码。2024 年，FortiGuard Labs（Fortinet 全球威胁情报研究与响应实验室）团队观察到网络犯罪分子采用多种远程执行技术，包括：跨网络下载的恶意可移植可执行文件（PE），是攻击者持续渗透组织的关键入侵指标。APT 组织使用的木马下载程序，凸显了对隐蔽恶意软件传播机制的持续依赖。基于 Windows Managemen

39、tInstrumentation（WMI）执行经编码的PowerShell 命令，是实施无文件攻击和隐蔽横向移动的常见技术手段。攻击者还频繁使用离地攻击技术与合法 Windows 操作相结合地方式，绕过传统基于签名的威胁检测工具。因此，实施行为分析，通过对系统行为的监测与分析，全面识别偏离正常行为模式的异常活动，是发现并应对传统安全工具可能遗漏威胁的重要手段。攻击者如何测绘和操纵活动目录（Active Directory）？攻击者如何测绘和操纵活动目录（Active Directory）？网络犯罪分子在发动全面攻击前，通常须深入了解目标环境。然而，组织如何成功检测未经授权的前期侦查活动？For

40、tiGuard 成功识别了攻击者在 2024 年使用的多种发现技术，包括：DCShadow 攻击，攻击者引入流氓域控制器操纵活动目录（Active Directory）；DCSync 攻击，允许未经授权复制域控制器数据；活动目录（Active Directory）枚举，涉及对用户、组和域信任的可疑查询；网络扫描技术，主动探测尝试枚举网络会话及共享资源的被标记设备。攻击者如何保持对受感染系统的持续控制？攻击者如何保持对受感染系统的持续控制？一旦攻击者成功渗透至目标网络，便会悄然建立一个 C2（命令与控制）通道，以便我与被感染的设备进行秘密通信。作为防御方，们该如何洞察并揭露这些隐匿的交互行为呢？

41、FortiNDR Cloud 成功识别了多种 C2 技术，包括：SSL C2 信标，通常用于逃避加密流量中的安全检测Cobalt Strike DNS 请求，一款攻防双方都青睐的工具DNS 隧道和长 DNS 查询，经常被攻击者用于绕过传统安全控制机制 凭借基于深度神经网络的机器学习模型，FortiGuard Labs（Fortinet 全球威胁情报研究与响应实验室）团队，成功标记了多个由域名生成算法（DGA）生成的域名，这些域名被恶意软件用于创建不断变换的 C2 终端。此外，通过与 Fortinet Security Fabric 安全平台的无缝集成，搭载深度神经网络的机器学习模型，能够有效检

42、测僵尸网络 IP 地址，帮助组织在防火墙层面精准锁定和阻断恶意通信。2120 前期侦察初始访问执行 持久驻留权限提升防御规避Active ScanningExploit Public-Facing ApplicationCommand and Scripting Interpreter:PowerShellExternal Remote ServicesValid AccountsObfuscated Files or Information:Stripped PayloadsHardware AdditionsCommand and Scripting InterpreterServer S

43、oftware Component:Web ShellScheduled Task/Job:Scheduled TaskIndicator Removal:Clear Windows Event LogsPhishing:Spearphishing LinkWindows Management InstrumentationValid Accounts:Domain AccountsRogue Domain ControllerUser ExecutionCreate or Modify System Process:Windows ServiceDeobfuscate/Decode File

44、s or InformationExploitation for Client ExecutionSubvert Trust ControlsSystem Binary Proxy Execution:Regsvr32System Services:Service ExecutionAdversary-in-the-Middle:LLMNR/NBT-NS Poisoning and SMB RelayScheduled Task/Job:AtExploitation for Privilege EscalationCreate or Modify System ProcessBoot or L

45、ogon Autostart Execution凭据访问资产发现横向移动命令与控制危害影响Brute ForceNetwork Service DiscoveryRemote ServicesApplication Layer ProtocolNetwork Denial of ServiceForced AuthenticationAccount Discovery:Domain AccountRemote Services:SMB/Windows Admin SharesProxy:External ProxyResource HijackingOS Credential Dumping:

46、DCSyncFile and Directory DiscoveryRemote Services:Windows Remote ManagementRemote Access SoftwareSteal or Forge Kerberos Tickets:AS-REP RoastingPermission Groups Discovery:Local GroupsLateral Tool TransferIngress Tool TransferSteal or Forge Kerberos Tickets:KerberoastingNetwork Share DiscoveryRemote

47、 Services:VNCProxy数据窃取Exfiltration Over Alternative Protocol:Exfiltration Over UnencryptedNon-C2 ProtocolExfiltration Over Alternative ProtocolExfiltration Over C2 ChannelExfiltration Over Alternative Protocol:Exfiltration Over Asymmetric Encrypted No n-C2 Pro to?lExfiltration Over Web ServiceOS Cre

48、dential DumpingPermission Groups Discovery:Domain GroupsExploitation of Remote ServicesApplication Layer Protocol:DNSSystem Network Connections DiscoveryApplication Layer Protocol:Web ProtocolsSystem Information DiscoveryNon-Standard PortSystem Owner/User DiscoveryNon-Application Layer ProtocolSyste

49、m Network Configuration DiscoveryProxy:Multi-hop ProxyRemote System DiscoveryWeb ServiceFortiNDR ATT&CK 矩阵23225.云端战场：5.云端战场：网络安全新态势应对指南网络安全新态势应对指南云计算转型重塑企业安全格局：构建必要敏捷性和可扩展性的同时，组织同样暴露于不断演进的攻击媒介之下。云环境已沦为网络安全新战场，攻击者正加紧利用错误配置、身份凭据泄露和不安全的 API 接口，伺机入侵企业网络。FortiGuard Labs（Fortinet 全球威胁情报研究与响应实验室）团队，使用 Fort

50、iCNAPP 对 2024 年威胁遥测数据进行深入分析，并发现一个令人担忧的趋势：借助自动化和多阶段持久性攻击技术，云攻击日趋复杂化。本节将深入剖析不断演进的云环境威胁态势，为您提供深入见解以及强化云安全防御的战略性建议。静默入侵：云端身份泄露风险静默入侵：云端身份泄露风险试想这样一个场景：一位 DevOps 工程师从一家咖啡店登录至云控制平台。然而，短短数小时内，一个未知源头的设备从另一个国家也访问了该账户。看起来这似乎是因某个未受监管的 VPN 连接引发的一次异常活动。但 FortiCNAPP 复合告警提示，这是身份泄露的第一阶段，随后攻击者将开展横向移动、权限提升和数据泄露。2024 年

51、，攻击者破坏云环境采用的最常用战术包括：资产发现（TA0007）：当前最流行的一种攻击战术，占事件检测总数的 25.3%，表明攻击者发动全面攻击之前，通常进行广泛的云环境探测。初始访问（TA0001）：我们的分析显示，攻击者最常通过泄露的凭据、网络钓鱼攻击和配置错误的云身份验证设置渗透进云环境持久驻留（TA0003）和权限提升（TA0004）：攻击者日益倾向于创建新身份或篡改现有权限，实现长期潜伏于企业云环境的不法目的。资产发现 25.3%初始访问 14.7%持久驻留 12.3%权限提升 10.6%凭据访问 7.9%横向移动 6.8%防御规避 6.1%数据窃取 3.3%攻击执行1.2%信息收集

52、 3.5%危害影响 8.4%Distribution of MITRE ATT&CK 战术分布占比FortiCNAPP2524云身份泄露入侵指标包括：云身份泄露入侵指标包括：异常位置新登录信息：70%的入侵安全事件涉及异常地理位置新登录信息。现有用户新 API 活动：攻击者经常调用受感染用户从未使用过的新 API 接口发起攻击（占比20%）。代码存储库凭据泄漏：攻击者经常利用GitHub和 GitGuardian 上获取的可公开访问的 API 密钥和凭据，非法访问云环境。云工作负载遭围攻：受感染主机数量激增云工作负载遭围攻：受感染主机数量激增云服务器、容器和 Kubernetes 集群，日益成

53、为持续威胁行为者的攻击目标。虽然组织预计攻击者专注于外部入侵，但 FortiCNAPP 分析表明，攻击者经常潜藏于受害者环境，并通过劫持合法服务伪装真实意图。针对受感染云主机的常用战术和技术：利用命令与脚本解释器执行攻击（T1059）：检测到 47 起相关事件，攻击者通过 Bash、PowerShell 和 Python 脚本加载恶意载荷。基于 Web 服务的命令与控制攻击（T1102）：检测到 23 起相关事件，攻击者滥用合法云托管应用程序，建立持久访问通道。资源劫持（T1496）：检测到 24 起加密货币挖矿劫持事件，攻击者通过超额配置云实例实现算力滥用，导致成本激增和性能降级。云威胁演进

54、挑战：首席信息安全官（CISO）需明确的关键事项云威胁演进挑战：首席信息安全官（CISO）需明确的关键事项云服务的快速扩展，要求安全管理者及时转变云风险管理方式。保护云环境时，首席信息安全官（CISO）及其团队在应牢记以下关键挑战：云配置错误仍是当前致命漏洞。开放存储桶和身份过度授权，仍是当前主要攻击媒介。利用面向公众的应用程序（T1190）的战术，在漏洞利用中仍普遍存在。API 安全是重中之重。攻击者日益滥用云 API实现横向移动、权限提升和敏感数据窃取。利用API 窃取身份凭据的攻击行为，已被列入MITRE ATT&CK 框架中的云实例元数据 API 滥用战术（T1556.004）。多阶段

55、云攻击已成新常态。攻击者一改仅依赖单一媒介的攻击方式，转而全面结合凭据窃取、前期侦查和 API 滥用技术，最大限度发挥攻击影响。有效帐户（T1078）战术继续帮助攻击者成功绕过传统安全控制措施。通过使用 FortiCNAPP 分析，进一步揭示了构建主动威胁情报共享、自动化威胁检测、弹性身份验证机制和 API 安全策略的必要性和紧迫性。网络攻击者从未放慢攻击步伐，我们同样也不能懈怠，必须时刻保持警惕。通过构建零信任架构，加强身份安全管理，并优先保护云工作负载保护，首席信息安全官（CISO）能够确保组织在云威胁日益持久且复杂的当下，依然保持强大的网络和安全韧性。安全事件 安全事件 分布分布2726

56、FortiRecon6.攻击者现状分析 6.攻击者现状分析 勒索软件现状：数字有组织犯罪持续演变勒索软件现状：数字有组织犯罪持续演变RaaS 生态系统不断扩大，新团体不断涌现，形成双重和三重勒索模式。2024 年最活跃的勒索软件组织包括：RansomHub（13%）、LockBit 3.0（12%）、Play（8%）Medusa（4%）。在本次分析中使用的 1,638个已识别事件中，上述勒索软件占比达 37%。受影响行业及地理位置分布受影响行业及地理位置分布2024 年，制造业位列攻击榜首，受攻击占比高达 17%，其次为商业服务业（11%）、建筑业（9%）和零售业（9%）。受影响排名前三的国家

57、分别是美国（61%）、英国（6%）和加拿大（5%）。2024 年，在勒索软件领域，我们见证了 13 个运营泄露网站新团伙的崛起，其中包括 RansomHub、HellCat、Argonauts Ransomware、InterLock、Bashe（APT73、Er aleig）、Termite、Sarcoma、Nitrogen、Lynx RansomCortex 和 Valencia，表明网络犯罪生态系统的碎片化和攻击方法的多样化。暗网 RaaS 工具暗网 RaaS 工具在地下论坛中，至少有六大勒索软件即服务（RaaS）工具被公开宣传，包括 Play-Boy、Rape、Medusa、Wing、

58、BEAST和 Cicada 3301。APT 组织 活跃度Lazarus 21%Kimsuky 18%其他 26%APT28 13%APT29 10%Volt Typhoon 12%2024 年威胁态势呈现多样化趋势：网络犯罪集团迅速蜕变、新兴勒索软件攻击者不断涌现、黑客行动主义攻击日趋复杂化，以及政治性间谍组织持续活跃。FortiGuard Labs（Fortinet 全球威胁情报研究与响应实验室）团队，识别并全面剖析上述趋势，针对攻击者战术、技术和流程（TTP）形成全面视图。2928全托管式网络犯罪服务的兴起，显著降低了攻击技术门槛，令威胁行为新手也能发起精密攻击。黑客行动主义和勒索软件：

59、强强联合加剧危机黑客行动主义和勒索软件：强强联合加剧危机CyberVolk、Handala 和 KillSec 等黑客组织，开始利用勒索软件作为攻击手段，这标志着攻击者正转而采用更具破坏性的攻击策略。这一转变趋势，令意识形态激进主义与出于经济动机的网络犯罪之间的界限变得愈发模糊。曾以网站篡改和骚扰攻击而臭名昭著的 Ikaruz Red Team（IRT），已转型为小规模勒索软件运营团队，利用已泄露的 LockBit 3.0 构建器，针对菲律宾组织机构发动攻击。黑客行动主义：地缘政治目标与网络黑客行动主义：地缘政治目标与网络2024 年，黑客活动者采取更加激进的策略，以及时通讯软件作为主要协作平

60、台。最活跃的群体包括：RipperSec（20%）、Z-BL4CX-H4T（14%）和 DATABASE LEAKS CYBER TEAM INDONESIA（11%）超 60%的黑客活动聚焦地缘政治议题，高频使用#SavePalestine、#OpIsrael、#OpIndia 和#OpU-SA 等标签引导舆论。黑客行动主义者使用的及时通讯软件频道公开讨论的漏洞约为 300 个：182 个（61%）漏洞拥有公开可用的 PoC 漏洞利用代码。95 个（32%）漏洞拥有功能齐全的漏洞利用工具。89 个（30%）漏洞在公共活动中被勒索软件和APT 组织利用。间谍活动：无声的网络战间谍活动：无声的网

61、络战政治性黑客继续以高度复杂的方式运作。Lazarus（21%）、KIMSUKY（18%）、APT28（13%）、Volt Typhoon（12%）和 APT29（10%）等组织均开展了高级攻击活动。政府机构仍是主要攻击目标，其次是技术组织和教育机构。结论：助力 CISO克敌制胜之道结论：助力 CISO克敌制胜之道静态防御体系注定失败。大量证据表明，攻击者正在加速侦察行动、快速利用漏洞，其攻击手段持续演变升级，使得漏洞从被发现到被利用的时间窗口急剧缩短。30首席信息安全官（CISO）必须迅速果断地采取行动，将风险降至最低并加强防御。为此，需立即采取战略行动，在攻击者发动攻击前减少暴露面。持续威

62、胁暴露管理（CTEM）解决方案，帮助组织将现有被动防御模式升级为动态风险管控模式，支持首席信息安全官（CISO）模拟真实对抗行为，消除安全盲区。以持续威胁暴露管理（CTEM）解决方案为核心，构建自适应安全体系，是应对新一轮全球性威胁的关键举措。首席信息安全官（CISO）攻击防御 Playbook：首席信息安全官（CISO）攻击防御 Playbook：1.开展对抗性演练模拟实战攻击开展红紫战队实战攻防演练，深度模拟LockBit 勒索软件和 APT29 间谍攻击等多种威胁场景。利用 MITRE ATT&CK 框架，开展精确且贴近实际行为特征的攻击模拟活动。2.减少攻击面暴露部署攻击面管理（ASM

63、）工具，全面检测所有已暴露资产、泄露凭据和可利用漏洞。持续扫描暗网论坛，查找新兴勒索软件域名和网络钓鱼基础设施。3.优先修复高风险漏洞修复工作重点聚焦网络犯罪团伙广泛热议的漏洞。借助风险评估和优先级排序框架（如 EPSS 和CVSS）实施有效的补丁管理。4.使用入侵和攻击模拟（BAS）工具自动开展安全测试定期测试终端、网络和云防御措施，高效抵御真实的勒索软件有效载荷。模拟恶意横向移动，评估零信任架构（ZTA）有效性。5.利用暗网情报和威胁归因实时监控暗网市场新兴勒索软件服务，如PlayBoy、Rape、Medusa。追踪黑客激进分子的招募和协调行动，提前预判和针对性反制分布式拒绝服务（DDoS）和网页篡改等攻击威胁。31网络威胁不会坐等漏洞被修补，往往会在多数组织做出有效响应之前便迅速发起攻击。为有效应对这一日益严峻的威胁态势，首席信息安全官（CISO）必须借助机器般的速度预判威胁，实现防御自动化，并持续不断地管理风险敞口，确保始终领先攻击者。访问官网 F 获取 Fortinet 最新攻击行为者情报及属性分析 本报告相关问题咨询，请发送邮件至 若您已获取纸质版报告，可通过以下方式下载电子版报告：F 此外，组织亟需采用高级威胁情报服务和 FortiRecon 等实时防御工具，全面监控所有攻击面，并采用先进的入侵防御系统（IPS）解决方案，即时阻止漏洞利用活动。四