数字基础设施篇 网络安全2022.pptx

;;;;重点观察;网络安全2022：守望高质量;002;网络安全2022：守望高质量;;网络安全2022：守望高质量;006;网络安全2022：守望高质量;008;网络安全2022：守望高质量;已经停止更新但仍在被使用的MySQL数据库地理分布如图1.9所示，与暴露数据库服务的地理分布基本重合，排名前三的是香港、北京和浙江，已停更但仍在使用的MySQL数据库占各省市暴露数据库服务的比例分别是4.6%、10.0%和11.5%。

010;网络安全2022：守望高质量;012;;014;网络安全2022：守望高质量;016;网络安全2022：守望高质量;018;网络安全2022：守望高质量;020;网络安全2022：守望高质量;图2.14勒索攻击事件中勒索软件入侵方式

勒索软件攻击者最常用的入侵手段为RDP暴力破解，在下半年流行的针对个人勒索的应急与观察中，也采用了恶意软件捆绑和水坑攻击传播。

2.2.1.3 攻击模式变化趋势

渗透方式方面：由于勒索软件传播能力较弱，多不具备横向移动特性，因此越来越注重

022;网络安全2022：守望高质量;024;网络安全2022：守望高质量;威胁篇;网络安全2022：守望高质量;图2.19Pink的模块及功能

此次攻击事件已经超出了僵尸网络的范畴，可以定性为一次高级定向攻击事件，特点如下：高级性：黑客挖掘了运营商的特定设备、特定固件的0-day漏洞

定向性：针对特定品牌的设备设计了0-day攻击，北京区装机量最大定制性：Pink仅适配了特定设备的处理器架构

持久性：Pink自己能够修改设备固件，保证自身能够长期存在潜伏性：Pink没有暴露自身的多余行动，如扫描攻击等

Pink是一个融合了多种对抗技术的僵尸网络，攻击者通过P2P和CNC两种方式对Pink进行控制和管理，僵尸网络家族使用新通信协议，组合式通信协议能力上升，从流量上更加难以检测，P2P的组网方式也为清除造成了一定的障碍，这也让我们想起了与Pink同年出现的僵尸网络Mozi，其最显著的特点就是特有的通信协议，作为P2P僵尸网络的代表作，Mozi僵尸网络健壮性极好，即使部分节点瘫痪，整个网络仍然能工作，虽然Mozi的作者已被执法机关处置，但残余节点仍然会存活一段时间。

2.2.3 木马

2021年，需要重点关注挖矿木马和窃密木马。??矿木马通过利用各种手段，将挖矿程序植入到用户的计算机中，偷偷利用用户的计算机进行执行挖矿功能，从而获取收益。窃密木

028;网络安全2022：守望高质量;030;网络安全2022：守望高质量;032;网络安全2022：守望高质量;034;网络安全2022：守望高质量;036;网络安全2022：守望高质量;图2.29CC信道使用的协议类型

目前，国家级APT组织，整体上依然以地缘政治上的敌对势力作为主要攻击目标，并重点渗透在当前时段内能够对区域形势产生巨大影响的机构和设施，这些重点目标包括军事设

038;网络安全2022：守望高质量;针对我国的攻击活动数量与当前国际形势密切相关。本年度，各印度APT组织明显加强了对我国军队的网络攻击强度，企图通过此类间谍活动增加影响边境局势的筹码。印度APT组织在本年度的攻击活动中使用了大量与中巴两国利益相关的文档类诱饵，能够体现攻击者在相关领域的积累的深度。

随着国内近年来在网络安全领域的高速发展，持续积累的安全研究资产成为境外APT攻击者的新目标。为获取我国安全研究人员的工作成果，Lazarus组织在2020年年底到2021年年初的一段时间内策划了利用社交媒体的钓鱼攻击活动，意图通过有针对性的社会工程学手段，获取国内安全研究人员掌握的未公开漏洞或攻击工具等资产。

由上述表格还可以看出，针对我国的APT组织对水坑站点式钓鱼攻击有一定的依赖度。以毒云藤、Bitter为代表，攻击我国的APT组织通常会在短时间内制作大量水坑站点，伪装成163邮箱、126邮箱、QQ邮箱等国内主流的邮箱登录页面或政府部门的内网邮箱登录页面，窃取受害者的邮箱凭证和邮箱内容。

战术变化

本年度高级可持续性威胁的发展变化趋势中，针对安全研究人员和供应链的攻击需要引起关注。

社交工程的强化

2021年，由于攻击目标的变化，导致某些APT组织在诱饵种类和社交工程等方面均发生变化。

攻击目标方面，国外的网络安全从业人员进入到Lazarus的攻击视野中。这主要是为了取长补短，窃取对方掌握的安全技术，有别于传统的基于政治经济因素的窃密。

诱饵种类方面，也随着攻击目标的变化而发生变化。传统的