攻防演练场景下的加密流量威胁分析-观成科技-202305-安世加-to安世加.pdf

1、实战攻防场景下的加密流量威胁分析威胁趋势01 01技术创新02 02运营实践03 03实战案例04 0401 01威胁趋势网络中加密流量快速增长2018超过80%的企业网络流量将被加密（Gartner）2019Chrome 加载网页中启用加密的比例已经达到了95%（Google报告）2020密码法正式施行，国家关键信息基础设施持续进行商用密码改造，进一步推升政企网络加密流量占比2021当前互联网加密流量超过90%，并且还在保持快速增长(Google报告)2022从2020年的57%到2022年的85%以上，使用加密通道的攻击呈持续上升趋势。(Zscaler发布的2022年加密攻击状况报告）威胁

2、全面转向加密化随着世界多极化格局形成、云大物移工新场景不断涌现，近年来大国网络空间博弈日趋激烈，使得网络攻击、APT威胁等网络安全威胁日益凸显。恶意软件全面转向加密通信加密威胁成为关基单位主流安全事件2020年全球网络攻击中有70%采用加密（Gartner）2021年60%的恶意软件已采用加密，涵盖各种类型（观成）2022年超过95%的企业遭遇过由于加密流量引起的安全事件（ESG）2023年5月1号“关基安保”国标正式实施，对国家关键信息基础设施安全对抗与保障水平提出具体要求，拉开高烈度实战攻防对抗的序幕HW场景面临严峻的加密流量威胁出联威胁横向威胁威胁类型探测扫描暴力破解漏洞利用拒绝服务We

3、bshell涉及工具APPscanHydraBurpsuiteMetasploit等加密流量SSLShack2HydraFastRDPImmunity_CanvaSSLRDPSSHMetasploit等SSLRDPSSHImddosFbotNitolVJadtre冰蝎哥斯拉蚁剑等SSL威胁类型探测扫描暴力破解漏洞利用涉及工具APPscanHydraBurpsuiteMetasploit等加密流量SSLShack2HydraFastRDPImmunity_Canva等SSLRDPSSHMetasploit等SSLRDPSSH威胁类型木马回联反弹Shell隐蔽隧道代理转发远控工具涉及工具Cobal

4、tStrikeCrossC2Empire各类木马等加密流量SSLNcBashPhpopensslTCPCobaltStrikeMetasploitHTTPTunnelICMPtunnel等DNSICMPHTTPneo-regeorgRegeorgTunna等SSH向日葵TodeskTeamviewer等SSLTCP/UDPRDPHTTPTCPHTTPDNSTCPUDP入联威胁隐蔽隧道ICMPshPingTunnelICMPtunnel等ICMP初始信息搜集初始打点建立据点提升权限内部信息收集横向移动维持权限完成目标APT场景加密通信已成为主流SideWinder响尾蛇组织通信特点：SSLDon

5、ot/SectorE02肚脑虫组织通信特点：SSLLazarus、Group 123拉撒路组织等通信特点：SSL等BITTER蔓灵花通信特点：自定义加密OceanLotus海莲花组织通信特点：SSLPatchwork白象组织通信特点：SSLNSA、CIA方程式组织等通信特点：SSL、TCP加密等Turla、APT28、APT29政府、情报局通信特点：SSL、HTTP加密等数字化时代的战争早已是世界大战，目标是核心领域的关键信息资产顶级APT组织攻击产生加密流量占比基本为100%；重要APT组织攻击产生加密流量占比超过50%02 02技术创新恶意加密流量分类分类标准加密协议隐蔽隧道（非标准加密协

6、议）SSL加密SSH加密RDP加密网络层隧道（ICMP等）传输层隧道（TCP/UDP/SCTP等）应用层隧道（DNS/HTTP等）部分黑客工具入联/横向威胁：burpsuiteHydraMetasploit冰蝎、哥斯拉、蚁剑回联威胁：CobaltStrikeCrossC2EmpireFpipeRtcpReduhHydraK8ReduhRegeorgFastRDPBUbruteICMPshPingTunnelICMPtunnelptunnel-ngICMPdoorICMPtxMetasploit等Cobalt StrikeMetasploitGodzillaBehinderTunnaABPTTS