不速之客 2022

2021 年第四季度，全球摆脱了长达两年的疫情困扰，在此期间，不法分子利用一切可趁之机，Log4Shell 成为了不速之客。2022 年第一季度，威胁焦点发生了转移，主要是在欧亚地区冲突中利用网络威胁作为武器攻击乌克兰基础设施的活动。我们最新的 Trellix Threat Labs 研究报告包括 2021 年第四季度的调查结果、针对高级政府官员的一场多阶段间谍攻击、对以乌克兰为目标的网络攻击的最新分析以及在第一季度新发现的 HermeticWiper。

我们的首席科学家致大家的一封信

欢迎阅读我们最新的威胁报告。

我们正在慢慢走出疫情阴霾，但欧亚地区近期冲突所带来的不确定性影响着我们的日常生活和对话。首先声明，Trellix 拥护和平。无论哪一方卷入任何冲突，我们的使命始终是保护客户并遵守国际法。

阅读更多

以乌克兰为目标的网络攻击

根据 Trellix Threat Labs 对乌克兰境内的 Wiper 活动的分析，我们认为 Whispergate 和新发现的 HermeticWiper 之间可能存在联系。

阅读更多

勒索软件

在 2021 年的最后一个季度，勒索软件领域继续变化。勒索软件攻击取代了我们在之前报告中所述的其他大规模攻击，勒索软件攻击者不得不找到一个新的地下巢穴，执法部门开始打击几个高调的勒索软件组织。

阅读更多

我们的首席科学家致大家的一封信

欢迎阅读我们最新的威胁报告。

新的一年已经过去了近四分之一，宣称我们今年有个轻松的开端一点都不为过。我们正在慢慢走出疫情阴霾，但欧亚地区近期冲突所带来的不确定性影响着我们的日常生活和对话。

首先声明，Trellix 拥护和平。无论哪一方卷入任何冲突，我们的使命始终是保护客户并遵守国际法。在准备本报告时，我们继续进行研究和保持警惕。例如，Lapsus$ 组织攻击了世界各地的大型公司，最初的主要目标是南美洲地区，导致包括源代码和证书在内的敏感数据泄露。

我们发现这些证书遭到了滥用。例如签署恶意软件二进制文件，一种试图绕过操作系统和安全产品信任的方法。可在此处阅读这个组织的详细信息、他们最新的违规行为以及应对措施。

在新公司自成立以来发布的第二份威胁报告中，我们认识到一些（网络）事件占据着全球新闻的头条。无论是对乌克兰基础设施的攻击，还是 HermeticWiper 恶意软件破坏任何受感染机器的启动扇区，均表明网络安全是许多人在新一年里的首要任务。我们还回顾了 2021 年的第四季度，当时 Log4shell 漏洞对数亿设备造成影响，其中许多设备现已做好准备应对新一年中即将出现的新威胁。

Trellix Threat Labs 团队多年来一直在分析和研究勒索软件领域保持前沿地位。通过与公共部门合作，我们自豪地宣布于 2021 年 12 月成功执行了逮捕并关闭了勒索软件操作。最近曝光的 Conti 勒索软件组织和 Trickbot 恶意软件组织之间的聊天记录揭示了这些操作有多专业。它表明，我们需要公共部门和私营组织开展合作，共同阻止这些攻击造成破坏。

另外，还请查阅我们的 Trellix Threat Labs 博客页面，其中包含最新的威胁内容、视频和指向安全公告的链接。

该报告还重点介绍了我们注意到的其他普遍存在的威胁与攻击。

—Christiaan Beek
首席科学家

Trellix 对以乌克兰为目标的网络攻击的分析，以及 HermeticWiper

Trellix 团队对乌克兰境内的 Wiper 活动进行了分析，他们认为 Whispergate 和新发现的 HermeticWiper 之间可能存在联系。

查看我们对乌克兰地区威胁活动的更多情报与分析

防止初始访问的建议措施

企业应当了解与俄罗斯民族国家活动相关的初始访问策略、技术和程序 (TTP)，主动采取措施保护组织环境不受渗透。

• 利用缩短的恶意域名 URL 进行网络钓鱼/鱼叉式网络钓鱼攻击。
• 监控强力攻击活动以识别有效帐户凭证和 Microsoft 365 帐户。
• 针对所有用户无一例外地启用多重身份验证 (MFA)。
• 利用面向公众的系统 — CISA 拥有一个已知可利用 CVE 的完整列表。
• 禁用所有不必要的端口和协议，尤其是与远程服务相关的任何端口和协议。
• 查找并阻止先前攻击中出现过的与业务活动无关的开源工具，比如 UltraVNC、AdvancedRun、wget 和 imacket。

以乌克兰为目标的其他威胁活动和组织包括：

ACTINIUM APT

Agent Tesla

CaddyWiper

CERT-AU 4109

DDoS 攻击

Gamaredon APT

GlowSpark

IsaacWiper

NOBEpUM APT

OutSteel

RURansom Wiper

SaintBot

Shuckworm APT

UAC-0056

前往我们的 Trellix 威胁中心，预览包括 HermeticWiper 在内的新威胁并抢先一步做好防范。

Trellix Threat Labs 发现可疑的 DarkHotel APT 活动最新动态

在三月份，Trellix 发现了自 2021 年 11 月下半月以来针对中国澳门豪华酒店的第一阶段恶意活动。该攻击首先将一封鱼叉式网络钓鱼电子邮件发送给酒店管理人员，其中包括人力资源副总裁、助理经理和前台经理等。根据这些职位，我们可以推断出此次攻击的目标人员拥有足够的酒店网络访问权限，包括预订系统。工作原理：

• 用于此鱼叉式网络钓鱼攻击的电子邮件包含一个 Excel 表格附件。该 Excel 表格用于欺骗受害者，打开时会启用嵌入的恶意宏。
• 这些宏支持“技术分析”部分中详述的几种机制，下面的感染流程图对此进行了总结。
• 首先，宏将创建计划任务来执行识别、数据列出和数据导出等任务。
• 随后，为与命令与控制服务器进行通信以导出受害者数据，宏将使用已知的 lolbas (Living Off the Land Binaries and Scripts) 技术，将 PowerShell 命令行作为受信任的脚本执行。

阅读我们的博客，进一步了解 DarkHotel APT 背景、属性、活动和技术分析。

Trellix Threat Labs 发现了对总理办公室的攻击

在一月份，我们的团队宣布发现了一场多阶段间谍活动，此活动的攻击目标是亚洲西部地区负责监管国家安全政策的高级政府官员和国防工业人员。Trellix 向受害者提前公布信息，并提供所有必要内容，帮助他们从环境中删除所有已知的攻击组件。

我们分析了此次攻击的过程。首先，执行一个包含 MSHTML 远程代码执行漏洞 (CVE-2021-40444) 利用技术的 Excel 文件。其目的是执行一个恶意 DLL 文件，充当第三阶段名为 Graphite 的恶意软件的下载器。Graphite 是新发现的基于 One-Drive Empire Stager 的恶意软件样本，它通过 Microsoft Graph API 将 OneDrive 帐户用作命令和控制服务器。

这个多阶段攻击的最后阶段会执行不同的 Empire Stager，目的是将 Empire 代理最终下载到受害者的计算机上，并使用命令和控制服务器来远程控制计算机系统，因此我们认为这与 APT 操作有关。

下图展示了此次攻击的完整过程。

阅读我们的博客，获得更深入的分析，包括阶段、基础设施和属性等。

研究方法

Trellix 的后端系统提供遥测数据，我们以这些数据作为季度威胁报告的信息来源。我们会结合利用遥测数据、与威胁相关的开源情报以及对勒索软件、民族国家活动等普遍威胁的内部调查。

我们所说的遥测是指检测，而非感染。检测的含义是当我们的某个产品检测到文档、URL、IP 地址或其他指标将向我们报告。

客户的隐私至关重要。当需要进行遥测并将数据映射到客户所在的行业和国家/地区时，客户隐私也同样重要。每个国家/地区的客户群不同，数量可能会有所增加，而我们必须更深入地研究数据来做出解释。例如，根据数据分析，电信行业的分数总是很高。这并不一定意味着该行业极易受到攻击。电信行业也包含 ISP 提供商，他们拥有可供企业购买的 IP 地址空间。这有什么含义？来自 ISP 的 IP 地址空间的提交显示为电信行业，但也可能来自不同行业运营的 ISP 客户端。

勒索软件

在 2021 年的最后一个季度，勒索软件领域继续变化。勒索软件攻击取代了我们在之前报告中所述的其他大规模攻击，勒索软件攻击者不得不找到一个新的地下巢穴，执法部门开始打击几个高调的勒索软件组织。其中一个组织是 REvil/Sodinokibi，它在第三季度仍位列勒索软件系列的前几名。然而，REvil 在其基础设施遭到协调拆除、数次内部纠纷以及成员被捕后，退出了历史舞台。Trellix 通过提供恶意软件分析、定位关键基础设施和确定多个嫌疑人协助调查 REvil，我们对此感到非常自豪。

在我们的 2021 年第四季度排名中，位列前三的是 Lockbit、Cuba 和 Conti 勒索软件。我们怀疑未被逮捕的其余 REvil 成员很有可能已经在这些勒索软件系列中重新安家。

该报告发布后不久，这一领域又再次发生变化。Conti 发展成为规模最大的系列，在互联网上泄露了数千条内部聊天记录，基本上暴露了该组织的内部机密。我们将此次泄露称为勒索软件的“Panama Papers”，将在下一个季度报告中重点阐述我们的调查结果。

为帮助企业进一步了解和防御威胁领域中的勒索软件攻击，我们的 Threat Labs 团队提供了自 2021 年第四季度以来对各种勒索软件威胁流行情况的研究和调查结果，包括系列、技术、国家/地区、行业和威胁媒介。

289%

自 2021 年第三季度到第四季度媒体与通信行业增加

61

自 2021 年第三季度到第四季度在美国客户中检测到的勒索软件减少。

勒索软件系列检测

Lockbit

Cuba

Conti

Ryuk

BlackMatter

民族国家活动

我们的团队跟踪并监控民族国家活动以及相关指标和技术。我们的研究反映了自 2021 年第四季度以来威胁攻击者、工具、客户所在国家/地区、客户所处行业以及 MITRE ATT&CK 技术的相关情况。Insights 中提供了与这些事件相关的所有信息，包括指标、YARA 规则和检测逻辑。

95

Cobalt Strike 在 2021 年第四季度的民族国家威胁工具观察结果中排名最高。

30

APT 29 在 2021 年第四季度总的民族国家观察结果中排名最高，比第三季度增加了 30%。

26

土耳其的民族国家活动占 2021 年第四季度检测到的总数的 26%。

普遍威胁统计数据

我们的团队在 2021 年第四季度对不同威胁类别进行了跟踪。该研究反映了观察到的流行恶意软件系列的检测百分比、相关客户所在国家/地区、企业客户所处行业以及 MITRE ATT&CK 技术。

75

RedLine Stealer (20%)、Raccoon Stealer (17%)、Remcos RAT (12%)、LokiBot (12%) 与 Formbook (12%) 在 2021 年第四季度观察到的恶意软件系列工具威胁中占比达到接近 75%。

62

交通运输行业的客户 (62%) 在 2021 年第四季度是最易受到攻击的行业，这一比例超过了十大易受攻击行业中其他九个行业的总和。

80

从 2021 年第三季度开始影响美国客户的观察结果有所增加。

勒索软件系列检测

RedLine Stealer

Raccoon Stealer

Remcos RAT

LokiBot

Formbook

对各国家/地区、各大洲和各行业的威胁以及威胁媒介

2021 年第四季度公开报告的开源威胁事件显著增加的国家/地区和大洲包括：

150

德国在 2021 年第四季度报告的威胁事件增幅最大 (150%)。

38

美国在 2021 年第四季度报告的威胁事件最多，占报告事件总数的 38%。

离地攻击技术

网络犯罪分子不断开发自定义工具，但往往依赖于 Living off the Land (LotL) 技术来滥用合法的二进制文件和管理实用程序，向目标系统提供恶意负载。根据 2021 年第四季度报告的事件，Trellix 发现攻击者使用工具的趋势略有变化，因为它们试图隐匿痕迹。

随着防御措施的加强，安全社区成员之间共享攻击指标，策略、技术和程序也在变化。我们在第四季度报告中重点介绍了生产系统上存在的一些常见 Windows 二进制文件，以及管理人员用于执行日常任务的一些二进制文件。报告还建议部署必要的机器软件，监控异常情况并保持系统效率。从第三季度报告开始，威胁行为者就已在利用这些实用程序的有用性进行恶意活动，我们在第四季度报告中研究了遭到威胁行为者滥用的实用程序，并发现了细微的变化。事实依旧不变：威胁行为者试图隐匿痕迹，并滥用系统上的现有程序来提供负载，包括勒索软件、信标、信息窃取器和侦测工具。

为了在侦测阶段识别这些二进制文件或管理人员使用的工具，攻击者可能会从职位发布、供应商宣传的客户评价或内部同谋收集有关所使用技术的信息。

本机操作系统二进制文件 注释（悬停查看更多信息）（点击获取更多信息）

Windows Command Shell (CMD) (53.44%)

T1059.003

Windows Command Shell 是 Windows 的主要 CLI 实用工具，通常用于在交换数据流中执行文件和命令。

PowerShell (43.92%)

T1059.001

PowerShell 通常用于执行脚本和 PowerShell 命令

WMI/WMIC (33.86%)

T1218 T1564.004

WMIC 是 WMI 的命令行界面，攻击者可以使用它在本地、交换数据流中或远程系统上执行命令或负载。

Rundll32 (24.34%)

T1218.011 T1564.004

Rundll32 可用于执行本地 DLL 文件、来自共享的 DLL 文件，以及从互联网和交换数据流获取的 DLL 文件。

Regsvr32 (14.29%)

T1218.010

攻击者可能会使用 Regsvr32 注册 DLL 文件、执行恶意代码并绕过应用程序白名单。

Schtasks (12.70%)

T1053.005

攻击者可能会计划可维护持续性的任务、执行其他恶意软件或执行自动化任务。

MSHTA (10.05%)

T1218.005

攻击者可能会使用 MSHTA 来执行 JavaScript、JScript 和 VBScript 文件，这些文件可能隐藏在本地 HTA 文件和交换数据流中，也可以从远程位置检索。

Excel (8.99%)

T1105

虽然没有以原生方式安装，但许多系统都包含电子表格软件，攻击者可能会向用户发送包含恶意代码或脚本的附件，执行这些恶意代码或脚本后，他们便可从远程位置检索有效负载。

Net.exe (7.94%)

T1087 和子技术

利用该 Windows 命令行实用工具，攻击者可以执行侦测任务，例如识别受害者计算机的用户、网络和服务功能。

Certutil (4.23%)

T1105, 1564.004 T1027

该 Windows 命令实用工具用于获取证书颁发机构信息并配置证书服务。或者，攻击者可以使用 certutil 来收集远程工具和内容、编码和解码文件以及访问交换数据流。

Reg.exe (3.70%)

1003.002 1564.004

攻击者可能会使用 Reg.exe 添加、修改、删除和导出注册表值，这些值可以保存到交换数据流中。此外，reg.exe 还可用于转储 SAM 文件中的凭据。

管理工具 注释 （悬停查看更多信息）（点击获取更多信息）

远程服务 (35.98%)

T1021.001 T1021.004 T1021.005

AnyDesk，ConnectWise Control，RDP，UltraVNC，PuTTY

攻击者可能会使用 Windows 和第三方软件原生的 WinSCP 远程服务工具以及有效帐户来远程访问计算机或基础设施，执行工具和恶意软件的入口传输并泄露数据。

存档实用工具 (6.35%)

T1560.001

7-Zip，WinRAR

WinZip 攻击者可能会使用存档实用工具来压缩收集的准备要泄露的数据，以及解压缩文件和可执行文件。

BITSAdmin (3.70%)

T1105 T1218 T1564.004

BiTSAdmin 通常用来维护持久性、清理工件，以及在满足设置的条件后调用其他操作。

ADFind (2.65%)

T1016 T1018 T1069 和子技术、T1087 和子技术 T1482

攻击者可能会使用该命令行实用工具来发现 Active Directory 信息，例如域信任、权限组、远程系统和网络配置。

PsExec (2.12%)

T1569.002

PsExec 是一种用于在远程系统上执行命令和程序的工具。

fodhelper.exe (0.05%)

T1548.002

Fodhelper.exe 是一个 Windows 实用工具，攻击者可能会使用该实用工具在受害者计算机上通过提升的权限运行恶意文件。

写作与研究

Alfred Alvarado

Douglas McKee

Christiaan Beek

Tim Polzer

John Fokker

Thibault Seret

Alfred Alvarado

Christiaan Beek

Marc Elias

John Fokker

Tim Hux

Max Kersten

Douglas McKee

Tim Polzer

Steve Povolny

Thibault Seret

Leandro Velasco

资源

若要了解最新威胁和研究结果，请参阅我们团队的资源：
威胁中心 — 我们的团队已成功识别多种当今影响最大的威胁。

Twitter：