- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
2024年APT
洞察报告
录目
录
前言 01
漏洞利用视角 03
0day漏洞利用趋势 04
已披露的各APT组织0day漏洞利用情况 06
攻击技巧视角 09
初始打点-依然防不胜防 10
执行/持久化-内核态对抗愈发激烈 16
防御规避-失效的马奇诺防线 20
收集/窃取-情报和加密货币并重 22
攻击事件视角 24
针对安全人员的定向攻击 25
针对国防军工的科研情报窃取 29
供应链投毒事件 32
黑产组织持续活跃 37
GenAI时代下的网络攻防 39
网络攻击到物理攻击 42
地缘视角下的全球APT组织 44
南亚 45
东亚 51
欧洲 54
中东 58
北美 62
APT防御视角:如何构建可靠的防御体系 63
防御体系框架 64
人员安全意识培训 67
资产管理和保护 68
网域管理与安全设施部署 69
建立研发供应链安全机制 70
建立安全运营中心完善取证和响应机制 72
附1:深信服智安全风险监测平台APT画像平台 73
附2:深信服千里目安全技术中心深瞻情报实验室75
参考链接 77
前言
2024年,深信服千里目安全技术中心深瞻情报实验室(以下简称“深瞻情报实验室”)持续对全球范围内的多个APT(高级持续性威胁)组织和网络犯罪团伙进行长期跟踪和分析。通过持续监测,我们见证了APT组织攻击手段的持续迭代升级、攻击图景的不断扩张以及组织结构的不断分化与重组,APT组织已从几年前的“乌合之众”演变为更为正规和专业的团伙。当前,APT已成为网络空间中社会影响最广、防御难度最高、与地缘政治博弈关联最紧密的斗争形态,成为国际关系中不可忽视的重要组成部分。
政治和经济形势的变化正在加速APT威胁的演变。地缘政治紧张局势催生了更多由国家主导的情报型网络攻击,而全球经济衰退和动荡则加剧了针对加密货币、敏感信息与科技情报的经济型攻击活动。与此同时,网络黑产犯罪团伙的活动日益猖獗,其高级技术与APT组织的技术界限逐渐模糊。据统计,每三起网络攻击中就有一起是勒索软件攻击,攻击者使用的手法和技巧已与常规APT组织几乎无异。然而,许多企业和组织的安全建设仍难以应对这种高水平的网络攻击威胁。高级网络攻击已不再遥不可及,APT攻击的防御与溯源挑战也不再仅限于政府等关键行业,网络攻击对经济、科技和民生发展的隐患已迫在眉睫。
防御能力与AI技术(特别是生成式AI)的演进也在推动APT攻击组织的技术不断升级。攻击者在获取初始权限后,立即通过各种手法挂起或禁用杀毒软件,已成为众多攻击组织的必选项。各种深入操作系统甚至固件的持久化手法层出不穷,前所未见的钓鱼文档类型被攻击者发现并利用。此外,更具耐心的开源软件供应链攻击逐渐浮出水面,针对安全人员的定向攻击也显示出攻击者目标的多样化。基于大语言模型(LLM)的攻击技术与防御技术成为全球安全厂商讨论的焦点。值得注意的是,攻击者仅需22分钟即可利用AI技术将新披露的0day漏洞转化为可用于实战的攻击工具,这凸显了防御窗口的极大缩短。
在0day漏洞方面,操作系统和浏览器类漏洞数量最多,表明这两类漏洞仍是APT攻击的主要入口,主要原因在于操作系统和浏览器在用户设备中的广泛使用及其低攻击成本。随着移动互联网渗透到人们生活和工作的各个领域,攻击者的目光也开始转向移动互联网,个人用户将更直接地面临复杂且危险的网络恶意活动。此外,国产软件的发展为针对我国的黑客团体提供了新的攻击面。
纵观2024年披露的APT事件,以国家背景的窃密攻击和渗透仍占据最大比重,而以经济为目的的定向勒索攻击也将触角伸向新的行业和地区。展望2025年,随着AI技术的持续发展,网络攻防烈度将进一步加剧;开源软件供应链攻击将不断增加;加密货币价值的升高将推升针对加密数字货币的攻击次数和窃取金额;对操作系统的深入理解将推动更复杂的攻击利用链;在社会工程学攻击中,生成式AI(GenAI)将发挥更大作用。
深瞻情报实验室基于2024年跟踪的APT组织动向及事件响应溯源,将从漏洞利用视角、攻击技巧视角、攻击事件视角、全球APT组织视角以及APT攻击防御视角五个视角详细阐述本年度APT趋势洞察。
声明
本报告除明确注明来源以外,数据均来自深信服千里目安全技术中心深瞻情报实验室,目的仅为帮助客户及时了解中国或其他地区APT威胁的最新动态和发展,仅供参考。
本报告中所含内容乃一般性信息,不应被视为任何意义上的决策意见或依据,任何深信服科技股份有限公司的关联机构、附属机构(统称为“深信服股份”)并不因此构成提供任何专业建议或服务。在作出任何可能影响您的财务或业务的决策或采取任何相关行动前,或您对本报告内容有任何问题
文档评论(0)