深信服：2022 APT趋势洞察报告（64页）.pdf

1、2022APT趋势洞察报告2022 APT TRENDS INSIGHT REPORTS深瞻情报实验室目录写在开始漏洞利用视角0day漏洞攻击趋势已被披露的各APT组织0Day利用情况APT组织的0Day漏洞利用阶段特征Initial Access阶段Privilege Escalation阶段攻击技巧视角DLL Hijacking实战案例分析技术原理分析BYOVD/泄露证书演变过程应对策略多款C2或成“新宠”后起之秀新型C2带来的挑战被忽略的破坏性攻击俄乌战争回顾俄乌战启发永不落幕的钓鱼攻击钓鱼攻击仍会有着一席之位钓鱼攻击防范010202050909111314141516161719192

2、0212121222222攻击事件视角犯罪团伙忽视内部风险：Conti组织内部数据泄露曝光事件这个木马有点粗心：Patchwork组织自曝式“远控”了自己社工+漏洞两手抓：Lazarus组织对全球机构情报的贪婪觊觎赛博空间的无硝烟暗战：俄乌冲突下的网络情报刺探行动RaaS模式的持续性威胁：勒索软件仍是全球企业的主要威胁从CobaltStrike到NightHawk：后渗透利用框架未来何去何从全球APT组织视角东亚东南亚南亚东欧北美APT攻击防御视角APT防御体系框架人员意识安全资产管理和保护网域管理与安全设施部署建立研发供应链安全机制建立安全运营和事件响应中心附1：深信服威胁情报中心附2：深信

3、服千里目安全技术中心深瞻情报实验室 23232628303233353538394446494952535455575859目录写在开始漏洞利用视角0day漏洞攻击趋势已被披露的各APT组织0Day利用情况APT组织的0Day漏洞利用阶段特征Initial Access阶段Privilege Escalation阶段攻击技巧视角DLL Hijacking实战案例分析技术原理分析BYOVD/泄露证书演变过程应对策略多款C2或成“新宠”后起之秀新型C2带来的挑战被忽略的破坏性攻击俄乌战争回顾俄乌战启发永不落幕的钓鱼攻击钓鱼攻击仍会有着一席之位钓鱼攻击防范0102020509091113141415

4、161617191920212121222222攻击事件视角犯罪团伙忽视内部风险：Conti组织内部数据泄露曝光事件这个木马有点粗心：Patchwork组织自曝式“远控”了自己社工+漏洞两手抓：Lazarus组织对全球机构情报的贪婪觊觎赛博空间的无硝烟暗战：俄乌冲突下的网络情报刺探行动RaaS模式的持续性威胁：勒索软件仍是全球企业的主要威胁从CobaltStrike到NightHawk：后渗透利用框架未来何去何从全球APT组织视角东亚东南亚南亚东欧北美APT攻击防御视角APT防御体系框架人员意识安全资产管理和保护网域管理与安全设施部署建立研发供应链安全机制建立安全运营和事件响应中心附1：深信服

5、威胁情报中心附2：深信服千里目安全技术中心深瞻情报实验室 23232628303233353538394446494952535455575859写在开始漏洞利用视角0Day漏洞攻击趋势2022 年我们监测到多个 APT 组织利用多个平台以及应用的 0Day 漏洞开展攻击。APT 组织使用的 0Day 漏洞约 21 个，漏洞类型涉及浏览器漏洞、Windows/Linux/iOS 等操作系统漏洞、网络设备漏洞、应用程序漏洞等 4 种，其中应用程序、浏览器以及操作系统漏洞占比较大。该趋势说明社会工程学攻击，包括各类定向钓鱼、水坑等攻击场景仍是 APT 攻击组织获得目标内网初始落脚点的重要途径，安全

6、意识培训、社工攻击的及时发现及事件响应和遏制能力是易受 APT 攻击的组织降低定向攻击潜在后果及损失的有价值方法。2022年0day漏洞类型饼状图数据来源：2022APT趋势洞察报告27%浏览器漏洞23%应用程序漏洞9%设备漏洞41%系统漏洞2022 年，受复杂的国际政治、经济摩擦及疫情等诸多因素影响，网络黑产和 APT 攻击大行其道，技术界限也正日渐模糊。浏览器漏洞和操作系统漏洞仍是 APT 组织的最爱。网络安全企业监测到的在野 0Day 漏洞在 2022 年达到 20 余个，主要被 APT 攻击者应用在初始打点和提权阶段。从趋势看，出于经济利益的考虑，各大勒索组织也逐渐成为在黑客论坛购买0