《2022攻擊技術(shù)發(fā)展趨勢(shì)年度報(bào)告》

11綠盟科技2022年度?精華版綠盟科技集團(tuán)股份有限公司(以下簡(jiǎn)稱(chēng)綠盟科技)，成立于2000為避免合作伙伴及客戶(hù)數(shù)據(jù)泄露,所有數(shù)據(jù)在進(jìn)行分析前都已經(jīng)在研究網(wǎng)絡(luò)安全的二十余年中，我常常驚嘆不斷涌現(xiàn)的、充滿(mǎn)了奇思妙想的新攻擊給關(guān)注于實(shí)戰(zhàn)對(duì)抗的安全從業(yè)人員提供了便利。在今年的《2022攻擊技術(shù)發(fā)展趨勢(shì)年興C2為代表的新式網(wǎng)絡(luò)武器工具分析與預(yù)測(cè)，相信對(duì)實(shí)戰(zhàn)安全感興趣的從業(yè)人員都能—綠盟科技核心安全研究部總監(jiān)左磊《2022攻擊技術(shù)發(fā)展趨勢(shì)年度報(bào)告》中，我們對(duì)網(wǎng)絡(luò)空間攻擊與防御之間錯(cuò)綜復(fù)—綠盟科技能力中心總經(jīng)理范敦球執(zhí)行摘要00101技術(shù)觀察003004ABE00602年度攻擊技術(shù)詳解0082.1社會(huì)工程學(xué)與網(wǎng)絡(luò)釣魚(yú)009AD域安全010全0112.4終端對(duì)抗0122.5供應(yīng)鏈安全01303年度高可利用漏洞01504網(wǎng)絡(luò)武器018001執(zhí)行摘要2022年，全球網(wǎng)絡(luò)空間安全形勢(shì)依然復(fù)雜嚴(yán)峻。由美國(guó)引導(dǎo)的大國(guó)博弈和地緣政治趨勢(shì)對(duì)全球網(wǎng)絡(luò)空間安全持續(xù)形成威脅，網(wǎng)絡(luò)空間安全也已成為全球戰(zhàn)略競(jìng)爭(zhēng)的一個(gè)重要方設(shè)，并積極開(kāi)展網(wǎng)絡(luò)攻擊活動(dòng)。特別是俄烏沖突的爆發(fā)改變了全球網(wǎng)絡(luò)空間的游戲規(guī)則，網(wǎng)絡(luò)攻擊活動(dòng)的目標(biāo)變得更加廣泛，涉及政府、軍隊(duì)、金融、能源、交通等重要領(lǐng)域，攻擊目的也從原本的滲透潛伏、信息竊密轉(zhuǎn)向系統(tǒng)癱瘓及數(shù)據(jù)損毀，同時(shí)夾雜對(duì)輿論的影響和爭(zhēng)奪，全球網(wǎng)絡(luò)安全威脅格局正在發(fā)生重大綠盟科技安全團(tuán)隊(duì)持續(xù)保持著對(duì)現(xiàn)網(wǎng)威脅和攻擊活動(dòng)的監(jiān)測(cè)和分析，并剖析高級(jí)威脅組織的熱點(diǎn)和新式攻擊技戰(zhàn)術(shù)，同時(shí)了解如何更好地應(yīng)對(duì)和緩解相關(guān)威脅。去年我們首次發(fā)布的藍(lán)軍視角研判了全球高級(jí)威脅和復(fù)雜攻擊相關(guān)技術(shù)的最新趨勢(shì)，以前瞻性觀察向行業(yè)、客戶(hù)和社區(qū)傳遞了可能出現(xiàn)的威脅形式和手延續(xù)了這一理念，提供了有關(guān)新網(wǎng)絡(luò)安全威脅格局下的攻擊技術(shù)態(tài)勢(shì)、熱點(diǎn)和新式攻擊、網(wǎng)為了更好地理解新形勢(shì)下網(wǎng)絡(luò)空間進(jìn)攻與防御之間的關(guān)系，以便更好地感知和應(yīng)對(duì)復(fù)雜性網(wǎng)絡(luò)空間威脅，我們?cè)诒敬螆?bào)告中重新梳理了網(wǎng)絡(luò)攻擊生命周期，并首次對(duì)外提出對(duì)抗性攻擊技術(shù)及A.B.E對(duì)抗概念，這對(duì)于重新表征攻擊技術(shù)以及進(jìn)一步量化防御能力具有重要●社會(huì)工程學(xué)與網(wǎng)絡(luò)釣魚(yú)攻擊與云、AI技術(shù)緊密結(jié)合。云文檔、云存儲(chǔ)等高可信云服務(wù)正在為高隱蔽性的網(wǎng)絡(luò)釣魚(yú)攻擊提供便利；同時(shí)基于AI的深度偽造技術(shù)也極可能。社工攻擊是對(duì)人的攻擊，MFA技術(shù)等增強(qiáng)身份認(rèn)證安全●ActiveDirectory域內(nèi)的身份攻擊安全風(fēng)險(xiǎn)愈演愈烈，呈現(xiàn)攻擊面擴(kuò)大、攻擊手段智新型Kerberos中繼攻擊對(duì)AD域身份認(rèn)證安全帶來(lái)了新的挑戰(zhàn)。圍繞復(fù)雜認(rèn)證協(xié)議的身份攻擊手段成為主要威脅。攻擊者善用知識(shí)圖譜技術(shù)生成AD域攻擊002信云環(huán)境完成初始訪問(wèn)、載荷投遞、數(shù)據(jù)滲出等重要攻擊階段。K8S集群組件特性防御削弱的重要手段。睡眠混淆作為對(duì)抗內(nèi)存掃描收緊使文檔攻擊進(jìn)入后宏時(shí)代，在野利用中以SLK/XLL文件等為載體的替代性攻擊的主要威脅之一。另一個(gè)值得注意的地方是，今年已經(jīng)出現(xiàn)如LofyGang攻這樣以開(kāi)自的特點(diǎn)，0day漏洞、網(wǎng)絡(luò)釣魚(yú)、新式武器等特征明顯。俄烏沖突揭示了現(xiàn)代化戰(zhàn)—綠盟科技首席技術(shù)官葉曉虎0041.1攻擊生命周期攻擊生命周期，又稱(chēng)為“殺傷鏈”。這個(gè)概念源自軍事領(lǐng)域發(fā)展到信息化作戰(zhàn)階段，軍事專(zhuān)家對(duì)攻擊行動(dòng)的高度抽象與概括，通常包括探測(cè)目標(biāo)、瞄準(zhǔn)目標(biāo)、與敵交戰(zhàn)并達(dá)成目的這4個(gè)有序環(huán)節(jié)。在網(wǎng)絡(luò)空間作戰(zhàn)領(lǐng)域，最初由美國(guó)國(guó)防工業(yè)承包商洛克希德·馬丁公司 (LockheedMartin)于2011提出網(wǎng)絡(luò)殺傷鏈框架(CyberKillChainFramework)，將攻擊者達(dá)成網(wǎng)絡(luò)入侵目的所需完成的過(guò)程抽象為7個(gè)戰(zhàn)術(shù)階段。2018年，美國(guó)網(wǎng)絡(luò)安全公司e憑借攻擊生命周期框架，網(wǎng)絡(luò)藍(lán)軍能更系統(tǒng)性的將模擬攻擊戰(zhàn)術(shù)意圖拆分、設(shè)計(jì)到各攻擊環(huán)節(jié)，提升有效執(zhí)行攻擊技術(shù)的覆蓋率，并增強(qiáng)各環(huán)節(jié)有序銜接的能力，使攻擊參與者明晰自己的戰(zhàn)術(shù)使命并著手進(jìn)行攻擊、達(dá)成攻擊目的。從防御角度，攻擊生命周期框架所揭示的攻擊活動(dòng)規(guī)律，也能在各個(gè)階段助益安全從業(yè)者：事前威脅評(píng)估；事中及時(shí)響應(yīng)，甚至提前干擾攻擊活動(dòng)；事后對(duì)于還原攻擊路徑、攻擊意圖識(shí)別。在實(shí)際工作中，抽象的框架有益于涉及不同知識(shí)域的攻擊場(chǎng)景的戰(zhàn)略分析，步驟詳盡的框架適合攻防雙方制定具體的戰(zhàn)術(shù)、綠盟科技研究團(tuán)隊(duì)依靠對(duì)高級(jí)攻防技術(shù)多年的研究積累，和對(duì)高級(jí)威脅行為體活動(dòng)的深入理解，研究歸納形成如下圖所示的NS高級(jí)威脅攻擊生命周期框架，結(jié)合國(guó)內(nèi)現(xiàn)網(wǎng)實(shí)戰(zhàn)習(xí)、橫向移動(dòng)、命令控制、目標(biāo)達(dá)成，這9個(gè)典型的網(wǎng)絡(luò)入侵活動(dòng)的主要階段，來(lái)描述攻擊生命NS命周期框架示意圖技術(shù)觀察005●情報(bào)偵察：網(wǎng)絡(luò)攻擊，情報(bào)先行。情報(bào)作為制定戰(zhàn)術(shù)攻擊方案的基礎(chǔ)，需要針對(duì)目標(biāo)及戰(zhàn)術(shù)進(jìn)行全面且充分的偵察。通過(guò)本攻擊階段，攻擊者掌握目標(biāo)對(duì)象的組織業(yè)務(wù)，摸排互聯(lián)網(wǎng)服務(wù)和資產(chǎn)，搜集可利用信息，識(shí)別可打擊脆弱面，構(gòu)建攻擊行繞過(guò)邊界防御機(jī)制滲透突破進(jìn)入目標(biāo)內(nèi)部持久化控制甚至保證攻擊行動(dòng)隱匿具有重要意義，對(duì)戰(zhàn)術(shù)進(jìn)程和結(jié)果具有決定性的●權(quán)限維持：對(duì)目標(biāo)系統(tǒng)或網(wǎng)絡(luò)的持續(xù)控制打擊能力是特種化高級(jí)威脅行為體的主要特●內(nèi)部偵察：信息是攻擊者在交戰(zhàn)網(wǎng)絡(luò)上的“無(wú)形彈藥”，對(duì)目標(biāo)的內(nèi)部網(wǎng)絡(luò)和環(huán)境偵006●目標(biāo)達(dá)成：網(wǎng)絡(luò)攻擊活動(dòng)的最終目標(biāo)是要奪取和控制網(wǎng)絡(luò)權(quán)來(lái)破環(huán)目標(biāo)信息資源的可網(wǎng)絡(luò)空間對(duì)抗的本質(zhì)是攻防兩端對(duì)抗能力的較量。在網(wǎng)絡(luò)空間作戰(zhàn)的全過(guò)程當(dāng)中，攻擊和防御技術(shù)的實(shí)現(xiàn)必然伴有強(qiáng)對(duì)抗屬性，對(duì)抗技術(shù)對(duì)于攻防雙方完成各自戰(zhàn)術(shù)任務(wù)的影響是全方位的。在網(wǎng)絡(luò)空間軍事化的進(jìn)程當(dāng)中，對(duì)抗特征會(huì)越來(lái)越明顯。按照攻防角色，我們將在進(jìn)攻性網(wǎng)絡(luò)空間作戰(zhàn)當(dāng)中，攻擊者會(huì)在攻擊生命周期的各個(gè)階段使用不同的攻擊技術(shù)實(shí)現(xiàn)階段性戰(zhàn)術(shù)目標(biāo)，而攻擊性對(duì)抗技術(shù)則是為了規(guī)避敵方網(wǎng)絡(luò)監(jiān)控系統(tǒng)，繞過(guò)網(wǎng)絡(luò)防御封鎖，保障戰(zhàn)術(shù)攻擊順利實(shí)施而最終達(dá)到隱蔽入侵目的。為了更有效的表征攻擊性對(duì)抗技術(shù)，ABEAntiBypassEvasion。●規(guī)則“繞”過(guò)-Bypass：通過(guò)修改混淆攻擊載荷形態(tài)、隱匿攻擊載荷特征來(lái)繞過(guò)防御檢測(cè)規(guī)則和邏輯；利用防御體系中未覆蓋的規(guī)則；具有遙測(cè)能力，但是因規(guī)則未●檢測(cè)“逃”逸-Evasion：利用防御體系中的缺陷，另辟蹊徑，避免被檢測(cè)到；不具夠細(xì)化，無(wú)法很好地描述現(xiàn)網(wǎng)實(shí)戰(zhàn)中白熱化發(fā)展的新型技術(shù)特點(diǎn)的局限性。綠盟科技天元實(shí)007技術(shù)觀察009年度攻擊技術(shù)詳解2.1社會(huì)工程學(xué)與網(wǎng)絡(luò)釣魚(yú)隨著云服務(wù)的廣泛應(yīng)用，利用云服務(wù)的網(wǎng)絡(luò)釣魚(yú)攻擊也日益猖獗。許多高信譽(yù)、廣受歡迎的云服務(wù)正淪為網(wǎng)絡(luò)釣魚(yú)攻擊的溫床。例如，在某些特定場(chǎng)景下，云服務(wù)廠商為了提供更好的用戶(hù)體驗(yàn)而內(nèi)置了發(fā)送電子郵件的輔助功能。這使得黑客可以利用云服務(wù)廠商發(fā)出的高一種例子是攻擊者利用GoogleDocs編輯并托管展示其精心制作的釣魚(yú)頁(yè)面，然后借用因此這些釣魚(yú)郵件將輕松地抵達(dá)受害者的收件箱；現(xiàn)今日常辦公越來(lái)越依賴(lài)于可靠的在線(xiàn)存儲(chǔ)服務(wù)(如DropBox和GoogleDrive)。然而，攻擊者也在通過(guò)流行的云服務(wù)投遞惡意文件面對(duì)嚴(yán)峻的網(wǎng)絡(luò)釣魚(yú)威脅，大多數(shù)企業(yè)都為郵箱安全建立起了層層防護(hù)，例如部署郵件防護(hù)產(chǎn)品、終端防護(hù)產(chǎn)品等，隨著安全產(chǎn)品檢測(cè)能力日益提高，大部分的惡意郵件和木馬病毒能被精準(zhǔn)攔截，經(jīng)過(guò)安全意識(shí)培訓(xùn)的員工也能輕易識(shí)別常規(guī)手段的網(wǎng)絡(luò)釣魚(yú)。然而道高一CallBack魚(yú)郵件通知受害者某個(gè)媒體服務(wù)、軟件產(chǎn)品或醫(yī)療服務(wù)需要續(xù)費(fèi)，并在郵件中附帶一個(gè)電話(huà)號(hào)碼。攻擊者會(huì)通過(guò)誘導(dǎo)那些并未訂閱這些服務(wù)的受害者回?fù)茉撎?hào)碼，借機(jī)引導(dǎo)受害者打開(kāi)惡意文件或者進(jìn)入釣魚(yú)網(wǎng)站，以達(dá)到竊取個(gè)人信息或資金盈利等目的。Deepfake釣魚(yú)，本質(zhì)是一種利用AI深度學(xué)習(xí)模型政治家或高管等人物的音頻信息來(lái)掩飾真實(shí)意圖，最終達(dá)到竊取個(gè)人敏感信息或者非法牟利為了增加系統(tǒng)的安全性，企業(yè)開(kāi)始采用MFA策略來(lái)保護(hù)信息系統(tǒng)。相較于傳統(tǒng)的身份驗(yàn)證模式，MFA可以通過(guò)二次驗(yàn)證來(lái)避免用戶(hù)因密碼泄露直接導(dǎo)致賬戶(hù)被接管。但是顯然人們對(duì)MFA機(jī)制的期望太高了，即使部署了嚴(yán)格的MFA，惡意攻擊者依然可以利用社會(huì)工程學(xué)的手段來(lái)誘導(dǎo)受害者通過(guò)多因素認(rèn)證，或者是騙取受害者的二次驗(yàn)證信息。而隨著越來(lái)越多的組織應(yīng)用MFA策略，攻擊者也不斷創(chuàng)新他們的工具和技術(shù)，以規(guī)避MFA策略的總的來(lái)說(shuō)，隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和普及，網(wǎng)絡(luò)釣魚(yú)攻擊已成為當(dāng)前互聯(lián)網(wǎng)安全領(lǐng)域面臨的重要挑戰(zhàn)之一。惡意攻擊者借助不斷發(fā)展的云服務(wù)、新技術(shù)和對(duì)人性弱點(diǎn)的利用，精心制定他們的策略、技術(shù)和程序(TTPs)，屢屢攻破安全防線(xiàn)。在不斷完善安全機(jī)制的同時(shí)，010我們不得不承認(rèn)“人性的漏洞”難以修補(bǔ)。為了有效應(yīng)對(duì)網(wǎng)絡(luò)釣魚(yú)攻擊，個(gè)人和企業(yè)都需要。關(guān)于社會(huì)工程學(xué)與網(wǎng)絡(luò)釣魚(yú)年度趨勢(shì)的更多觀點(diǎn)和細(xì)節(jié)，推薦您閱讀《2022年攻擊技術(shù)2.2AD域安全D構(gòu)和技術(shù)經(jīng)過(guò)多年的迭代更新，目前已趨于成熟和穩(wěn)定，但其核心的安全問(wèn)題仍圍繞AD域NTLM窮，NTLMRelay在域提權(quán)中被大量使用。NTLMRelay攻擊是攻擊者處于中間人的位置，觸發(fā)客戶(hù)端與攻擊者機(jī)器的連接，提取信息后轉(zhuǎn)發(fā)至服務(wù)端，從而使攻擊者獲得客戶(hù)端對(duì)服務(wù)的認(rèn)證能力。NTLMRelay攻擊在經(jīng)歷了ugSMBLDAP究人員更是將中繼攻擊擴(kuò)展到了RPC協(xié)議。另一方面，利用中繼攻擊的服務(wù)也在不斷變化，中繼攻擊的目標(biāo)通常是高權(quán)限的機(jī)器和用戶(hù)，比如域控S斷擴(kuò)展升級(jí)，導(dǎo)致兩種協(xié)議越發(fā)復(fù)雜，雖然提高了安全性和實(shí)用性，但同時(shí)也給攻擊者帶來(lái)議查詢(xún)的方式，可以獲取到所有對(duì)象的信息。并且AD域中對(duì)象的存儲(chǔ)本身就是對(duì)象和屬性011年度攻擊技術(shù)詳解的方式，對(duì)象間有明確的關(guān)系，這些數(shù)據(jù)，對(duì)知識(shí)圖譜來(lái)說(shuō)，是沒(méi)有噪聲的數(shù)據(jù)，非常有利于構(gòu)建知識(shí)圖譜。現(xiàn)階段，已經(jīng)有較為成熟的系統(tǒng)利用知識(shí)圖譜輔助攻擊者發(fā)現(xiàn)攻擊路徑，BloodHoundAD域中常(超過(guò)六度關(guān)系鏈)的安全風(fēng)險(xiǎn)，并且可以構(gòu)建出一些基礎(chǔ)的攻擊路徑。而且利用知識(shí)圖譜相關(guān)圖計(jì)算的能力，可以進(jìn)一步發(fā)現(xiàn)知識(shí)圖譜分析攻擊路徑的能力。利用知識(shí)圖譜是一個(gè)充滿(mǎn)挑戰(zhàn)的過(guò)程，應(yīng)用知識(shí)圖譜來(lái)完成在AD域中風(fēng)險(xiǎn)發(fā)現(xiàn)的任務(wù)，相對(duì)于使用常規(guī)手法能更深入、更快速地發(fā)現(xiàn)安全風(fēng)險(xiǎn)，并且基于圖構(gòu)建出可視化的攻擊路徑。未來(lái)在人工智能技術(shù)的幫助下，可實(shí)現(xiàn)對(duì)安全風(fēng)險(xiǎn)和攻擊路徑進(jìn)行更多維度的分析，實(shí)現(xiàn)智能關(guān)于AD安全年度趨勢(shì)的更多觀點(diǎn)和細(xì)節(jié)，推薦您閱讀《2022年攻擊技術(shù)發(fā)展趨勢(shì)版》。2.3云安全隨著云計(jì)算技術(shù)的快速發(fā)展，企業(yè)在應(yīng)用開(kāi)發(fā)、生產(chǎn)運(yùn)行和協(xié)同辦公等方面越來(lái)越離不開(kāi)云計(jì)算的支持。在加快企業(yè)快速完成數(shù)字化轉(zhuǎn)型的同時(shí)，業(yè)務(wù)架構(gòu)環(huán)境的變化也讓攻防兩方來(lái)到了新戰(zhàn)場(chǎng)，攻擊者利用云上身份許可鏈、云產(chǎn)品特性和操作方式對(duì)云平臺(tái)和云租戶(hù)發(fā)起攻擊，進(jìn)而接管云產(chǎn)品的管理能力。而可信云環(huán)境具有高可信性、強(qiáng)匿名性和多出口等特。云產(chǎn)品的廣泛應(yīng)用范圍導(dǎo)致云上應(yīng)用的攻擊也日益增多。云環(huán)境獨(dú)有的用戶(hù)操作方式、云產(chǎn)品特性和眾多API為攻擊者提供了新的利用可能性。用戶(hù)在使用和管理云產(chǎn)品時(shí)的多重身份特性可能帶來(lái)新的風(fēng)險(xiǎn)；傳統(tǒng)漏洞如任意文件讀取和服務(wù)器請(qǐng)求偽造在云場(chǎng)景中可能造成更大的危害；許多云產(chǎn)品都高度依賴(lài)API，因此API安全問(wèn)題在云時(shí)代變得更加在復(fù)雜開(kāi)放的云環(huán)境中，信任關(guān)系是服務(wù)交互的關(guān)鍵。基于威脅威脅追蹤和長(zhǎng)期研究，C護(hù)、彈性代理節(jié)點(diǎn)部署等攻擊行為，甚至利用云平臺(tái)中的可信子域關(guān)系攻擊云平臺(tái)和云租戶(hù)，獲取對(duì)整個(gè)云012DevOpsCICD部署等多種開(kāi)發(fā)和運(yùn)行環(huán)境。在推進(jìn)云化戰(zhàn)略前進(jìn)的同時(shí)，也為云環(huán)境引入了新的攻擊面，攻擊者也在不斷研究新型環(huán)境下的攻擊利用技術(shù)。以Kubernetes(K8S)為代表的容器編排框架具有獨(dú)特的權(quán)限管理機(jī)制和集群環(huán)境特性，攻擊者利用它實(shí)現(xiàn)集群內(nèi)部的橫向移動(dòng)成為一種新趨勢(shì)，以獲取更高的集群管理權(quán)法也在快速發(fā)展，如CI/CD和DevOps開(kāi)發(fā)體系，雖然加快了應(yīng)用迭代升級(jí)的同時(shí)，也為云上應(yīng)用帶來(lái)了新的問(wèn)題，甚至可能引發(fā)供應(yīng)鏈攻擊，綜上所述，隨著云計(jì)算的快速發(fā)展，企業(yè)在數(shù)字化轉(zhuǎn)型過(guò)程中面臨著新的挑戰(zhàn)。云環(huán)境下的攻擊越來(lái)越多樣化，攻擊者利用云產(chǎn)品特性和操作方式進(jìn)行攻擊，可信云環(huán)境成為攻擊者的理想基礎(chǔ)設(shè)施資源。云原生環(huán)境下的開(kāi)發(fā)和運(yùn)行環(huán)境也帶來(lái)了新的攻擊面和風(fēng)險(xiǎn)。在這樣的復(fù)雜環(huán)境中，建立信任關(guān)系和應(yīng)對(duì)云安全威脅變得至關(guān)重要。企業(yè)需要加強(qiáng)對(duì)云環(huán)境的監(jiān)控和防御能力，采取合適的安全措施來(lái)應(yīng)對(duì)可信云環(huán)境下的攻擊，確保云計(jì)算的安全和穩(wěn)關(guān)于云安全年度趨勢(shì)的更多觀點(diǎn)和細(xì)節(jié)，推薦您閱讀《2022年攻擊技術(shù)發(fā)展趨勢(shì)報(bào)告-2.4終端對(duì)抗的白熱化博弈催生各類(lèi)新型對(duì)抗技術(shù)，并在現(xiàn)網(wǎng)實(shí)戰(zhàn)中發(fā)展完善。根植于不同實(shí)戰(zhàn)環(huán)境對(duì)抗在攻擊鏈的不同階段，攻擊者也會(huì)應(yīng)用不同的A.B.E對(duì)抗策略。BYOVD是將帶漏洞的為攻擊者權(quán)限提升、防御削弱階段的重要手段。除了BYOVD技術(shù)這類(lèi)直擊核心的“Anti”對(duì)抗技術(shù)，攻擊者在命令控制與攻擊潛伏長(zhǎng)期階段也會(huì)利用各種“Bypass”類(lèi)技術(shù)繞過(guò)現(xiàn)有終端防線(xiàn)。圍繞內(nèi)存的攻防對(duì)抗愈發(fā)激烈，各類(lèi)睡眠混淆技術(shù)作為對(duì)抗內(nèi)存掃描的有效013年度攻擊技術(shù)詳解LinuxABELinux弈不及Windows激烈與成熟，但云原生與容器技術(shù)的廣泛應(yīng)用所帶來(lái)的新的攻防場(chǎng)景帶來(lái)了新的契機(jī)。Rootkit等經(jīng)典的隱匿利用技術(shù)借助eBPF等新型隱匿攻擊面繼續(xù)發(fā)揮其在隱蔽潛伏上“多”而“全”的重要作用。無(wú)文件攻擊技術(shù)與內(nèi)存執(zhí)行、持久化等技術(shù)的發(fā)展，也為宏文檔攻擊”這一擁有悠久歷史的攻擊手段“蓋棺定論”，在野利用中LNK/SLK/XLL等文關(guān)于終端對(duì)抗年度趨勢(shì)的更多觀點(diǎn)和細(xì)節(jié)，推薦您閱讀《2022年攻擊技術(shù)發(fā)展趨勢(shì)版》。2.5供應(yīng)鏈安全2022年，開(kāi)源軟件供應(yīng)鏈攻擊當(dāng)中已經(jīng)出現(xiàn)了許多值得關(guān)注的技戰(zhàn)法。攻擊者正在利用開(kāi)源軟件之間復(fù)雜的供需關(guān)系以及平臺(tái)特性發(fā)起攻擊，主流的PyPI、NPM包管理平臺(tái)都出現(xiàn)了不同程度的供應(yīng)鏈攻擊事件；企業(yè)內(nèi)部也面臨來(lái)自設(shè)備漏洞帶來(lái)的供應(yīng)鏈安全風(fēng)險(xiǎn)，去年俄烏戰(zhàn)爭(zhēng)之始，高級(jí)供應(yīng)鏈攻擊技戰(zhàn)法也開(kāi)始涌現(xiàn)在國(guó)家之間的博弈當(dāng)中，關(guān)基單位迎來(lái)了更大的安全挑戰(zhàn)?，F(xiàn)如今企業(yè)安全防御能力日漸完善，傳統(tǒng)的攻擊手段已經(jīng)很難對(duì)目標(biāo)造心手段，供應(yīng)鏈攻擊已經(jīng)開(kāi)始趨于規(guī)?；⑾到y(tǒng)化、產(chǎn)業(yè)化，企業(yè)遭受的供應(yīng)鏈攻擊正在呈014開(kāi)源軟件作為降低研發(fā)成本的重要方式，在現(xiàn)代化開(kāi)發(fā)過(guò)程中不可或缺。然而，大多數(shù)開(kāi)源軟件缺乏對(duì)其代碼安全的保障能力，導(dǎo)致安全漏洞頻發(fā)，將安全問(wèn)題傳遞給下游企業(yè)，隱性的傳播方式加大了漏洞的影響力，使得開(kāi)源軟件安全風(fēng)險(xiǎn)成為軟件供應(yīng)鏈安全的焦點(diǎn)問(wèn)題。攻擊者利用Github、NPM等平臺(tái)托管經(jīng)過(guò)精心構(gòu)造的倉(cāng)庫(kù)和依賴(lài)包，利用新型欺詐手企業(yè)網(wǎng)絡(luò)邊界和高風(fēng)險(xiǎn)設(shè)備成為供應(yīng)鏈攻擊的熱點(diǎn)目標(biāo)，僅一個(gè)漏洞就足以使攻擊者突破企業(yè)內(nèi)網(wǎng)。針對(duì)企業(yè)網(wǎng)絡(luò)邊界設(shè)備和高風(fēng)險(xiǎn)設(shè)備進(jìn)行了數(shù)據(jù)調(diào)查和統(tǒng)計(jì)，共覆蓋了126個(gè)桌面軟件、源代碼管理等高風(fēng)險(xiǎn)設(shè)備和系統(tǒng)。關(guān)鍵基礎(chǔ)設(shè)施單位作為支撐國(guó)家關(guān)鍵基礎(chǔ)設(shè)施運(yùn)行的重要組成部分，一旦遭受供應(yīng)鏈攻擊，將嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生和公共利益。全防御能力不斷提升。加強(qiáng)供應(yīng)鏈安全的重要性日益凸顯，企業(yè)需要采取有效和體系化的防。關(guān)于供應(yīng)鏈安全年度趨勢(shì)的更多觀點(diǎn)和細(xì)節(jié)，推薦您閱讀《2022年攻擊技術(shù)發(fā)展趨勢(shì)報(bào)016day野0day漏洞，而這僅是已被曝光day0day漏洞，可以發(fā)現(xiàn)攻擊者集中使用漏洞在權(quán)限提升和打擊突破這些攻擊階段中。在這些已被披露的在野0day漏洞影響的的主要目標(biāo)。此外，在2022年上半年在野利用0day漏其產(chǎn)品的漏洞修復(fù)不夠完善導(dǎo)致的，另一部分則是由于廠商在產(chǎn)品更新迭代時(shí)將漏洞代碼重新引入所導(dǎo)致的漏洞。廠商對(duì)此需要更加重視其產(chǎn)品的漏洞修復(fù)，同時(shí)提高產(chǎn)品開(kāi)發(fā)人員的SSSTPPPTP在2021年，冷門(mén)協(xié)議漏洞只有10個(gè)，僅占協(xié)議類(lèi)漏洞總量的13%左右。然而到了2022年，冷門(mén)協(xié)議漏洞數(shù)量激增至60個(gè)，占協(xié)議類(lèi)漏洞總量的64%。我們分析冷門(mén)協(xié)議類(lèi)漏洞在目前這個(gè)發(fā)展階段具備了三個(gè)特點(diǎn)，一是冷門(mén)協(xié)議漏洞由于未被大量研究，很多漏洞相對(duì)簡(jiǎn)單、易于觸發(fā)。二是協(xié)議使用量較大，大多發(fā)行版系統(tǒng)都內(nèi)置協(xié)議功能。三是漏洞利用難度大，從漏洞觸發(fā)到實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行還要攻破很多問(wèn)題。冷門(mén)協(xié)議漏洞的大量出現(xiàn)仍然提醒人們需要關(guān)注此類(lèi)漏洞未來(lái)可能的攻擊趨勢(shì)。及時(shí)跟進(jìn)各在2022年，漏洞利用和防御技術(shù)取得了顯著進(jìn)展。針對(duì)內(nèi)存漏洞的防御，廠商投入更多資源，例如蘋(píng)果公司在iOS15引入了新的內(nèi)存分配器kalloc_type，以緩解UAF漏洞的利用。蘋(píng)果還在iOS16中推出了鎖定模式，有效防止瀏覽器JIT漏洞的攻擊。此外，微軟在Windows最新的預(yù)覽版中引入了新的Windows事件追蹤(ETW)，用于報(bào)告可疑的NTAPI調(diào)用，有助于檢測(cè)漏洞利用攻擊。同時(shí)，新型漏洞利用技術(shù)也出現(xiàn)，如利用文件刪除漏洞到特權(quán)提升和新的漏洞利用原語(yǔ)的開(kāi)發(fā)。已有部分漏洞利用樣本采用這些技術(shù)進(jìn)行權(quán)限提升。這種新型漏洞利用技術(shù)的出現(xiàn)給系統(tǒng)安全帶來(lái)了新的挑戰(zhàn)，需要安全研究人員和開(kāi)發(fā)者密切，加強(qiáng)對(duì)0day漏洞的防范和應(yīng)對(duì)措施，警惕冷門(mén)協(xié)議漏洞帶來(lái)的潛在威脅，并關(guān)注漏洞利用與防御技術(shù)的最新發(fā)展。只有不斷017年度高可利用漏洞加強(qiáng)漏洞研究、提高網(wǎng)絡(luò)安全意識(shí)和加強(qiáng)安全防護(hù)措施，我們才能更好地應(yīng)對(duì)不斷變化的威關(guān)于高可利用漏洞年度趨勢(shì)的更多觀點(diǎn)和細(xì)節(jié)，推薦您閱讀《2022年攻擊技術(shù)發(fā)展趨勢(shì)019網(wǎng)絡(luò)武器在過(guò)去的幾十年里，網(wǎng)絡(luò)武器經(jīng)歷了快速演變和發(fā)展。早期的網(wǎng)絡(luò)武器主要是簡(jiǎn)單的計(jì)網(wǎng)絡(luò)防御也逐漸加強(qiáng)，使得傳統(tǒng)的網(wǎng)絡(luò)武器變得不再有效。為了應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)防御措施，黑客和攻擊者開(kāi)始使用更高級(jí)的網(wǎng)絡(luò)武器。這些新一代網(wǎng)絡(luò)武器具備更強(qiáng)大的攻擊能力和更隱蔽的行動(dòng)方式。遠(yuǎn)程命令和控制工具(C2)是攻擊者的控制基礎(chǔ)。近年來(lái)，新型C2如Nighthawk、BruteRatel等不斷涌現(xiàn)，相比于CobaltStrike遵循的穩(wěn)定性和易用性，這些新一代C2在實(shí)現(xiàn)逃逸現(xiàn)代檢測(cè)技術(shù)的選擇方面更激進(jìn)，技術(shù)更新更頻繁。常常逆向分析系統(tǒng)