網路病毒在情人節四處告白

釣魚網站又來打劫“浪漫經濟”

綠盟君特為大家送上情人節安全守則

《2021安全事件響應觀察報告》精華解讀

幫你讀懂那個“TA”

2021年網路攻擊物件的特徵明顯，關鍵基礎設施仍為重災區。網路攻擊“實戰化”是大勢所趨。在利益的驅動下，資料竊取、勒索、挖礦等黑產威脅持續升級，釣魚攻擊成為網路入侵的利器。技術不斷革新發展，大資料、物聯網、人工智慧、移動支付等新興技術在助力數字化業務轉型升級的同時，也暴露出全新的安全風險。

定向的釣魚攻擊行為持續增長，針對性增強

在綠盟科技2021年處理的應急事件中，釣魚事件（釣魚攻擊、釣魚網站、釣魚郵件等）佔26%。儘管人們對於釣魚的防範意識逐漸增強，但釣魚手段也在與時俱進。從2021年的案例中可以發現，釣魚攻擊依然防不勝防。

在釣魚手法方面，攻擊者逐漸不滿足於廣撒網式的垃圾郵件，而傾向於社會工程和技術性欺詐更高的魚叉式網路釣魚，即針對特定組織內執行特定任務的個體，透過獲取其個人身份資訊或網路訪問憑據等敏感資料，編寫非常準確和引人注目的電子郵件。目標受害者一旦點選惡意連結或開啟附件就為攻擊者完成非法行為提供了條件。

某些案例中，攻擊者透過暴力破解、購買資料洩露的賬號密碼等方式攻擊投資公司、企業服務類公司，獲取客戶經理、管理人員、客戶運營人員的郵箱許可權。拿到許可權後，攻擊者會收集客戶資訊，篩選相關郵件，以回覆郵件資訊的方式精準釣魚部分客戶，釣魚郵件中包含了偽造的企業官網連結、含惡意程式碼的附件或者虛假的付款方式。

攻擊案例示意圖

而針對安全研究人員的釣魚攻擊則主要藉助社會工程學來實施，2021年 Lazarus APT 組織就透過在各種社交平臺建立安全研究人員的賬號，提升這些賬號的可信度，之後開始聯絡一些安全研究人員並以向他們傳送惡意樣本的形式發起了攻擊。

這些複雜、具有針對性的攻擊手段逐漸進入攻擊組織視野，這體現了網路犯罪策略的明顯轉變。犯罪分子不再需要透過大量垃圾郵件進行活動，如果能做足功課，且採用精準、精心製作、看似合法的魚叉式網路釣魚電子郵件甚至不採用郵件的形式來傳播惡意樣本，通常該針對性攻擊的回報更高。

供應鏈安全形勢日益嚴峻

全球化趨勢也帶動著供應鏈的全球化發展，這不僅擴大了攻擊者在網際網路的攻擊面，還增加了這些攻擊可能造成的潛在影響範圍以及危害程度。由於供應鏈攻擊的超強破壞性，在未來的網際網路發展過程中，將會有越來越多的駭客或者APT組織參與到供應鏈攻擊中。

軟體供應鏈可以分為開發、交付、執行三大環節，當上遊開發商的產品出現安全漏洞時，受影響的不僅是開發商，還包括了眾多第三方客戶，可造成的破壞範圍極廣，甚至可以藉助開發商的簽名隱藏自身，難以防範。駭客同樣也注意到了供應鏈攻擊的優勢，導致近年類似“SolarWinds供應鏈攻擊”這樣影響極廣的攻擊事件頻發。

許多應用系統基於開源或商業化的框架元件進行開發，因此當某些主流的框架被爆出存在安全漏洞時，實際影響會非常廣泛，如Fastjson、shiro、Chromium等。2021年Chrome的兩個RCE漏洞，存在漏洞的Chromium核心間接影響了多個瀏覽器和廣泛使用的商業軟體。漏洞可利用的方式和環節多樣，易造成軟體供應鏈攻擊。

2021年12月9日，綠盟科技應急響應中心監測到網上披露了“史詩級”漏洞log4shell，由於Apache Log4j的lookup功能存在遞迴解析功能，在進行日誌記錄時可實現JNDI注入，未經身份驗證的攻擊者可以透過傳送特別構造的資料請求包控制部分日誌內容，當程式將使用者輸入的資料進行日誌記錄時將觸發此漏洞，從而在目標伺服器上執行任意程式碼。

MVN引用Log4j2的專案數

Apache Log4j2是一款開源的Java日誌框架，被廣泛地應用在中介軟體、開發框架與Web應用中，用來記錄日誌資訊。根據MVN Repository顯示，有接近7000個專案直接引用了log4j2，間接引用Log4j2的專案超過16萬個。由此引發安全和IT行業的軒然大波，受影響的軟體廠商眾多，引起對供應鏈安全的深入思考與擔憂。

黑產攻擊手法更加成熟

透過對2021年勒索事件進行觀察發現，勒索攻擊手段趨於多樣化、複雜化。勒索軟體攻擊技戰術中包含了憑證訪問、橫向移動、探測、持久化、防禦規避等，其中需要注意的是49%的勒索軟體攻擊有防禦規避的跡象，如今的勒索攻擊不僅僅侷限於簡單的掃描爆破然後加密，還使用了更為複雜的手段，在隱蔽自身的同時進行戰果擴大化。

勒索軟體攻擊技戰術

Conti 勒索軟體是以勒索軟體即服務（RaaS）的方式進行的，核心團隊負責管理惡意軟體和Tor站點，而招募的附屬機構負責破壞網路和加密裝置。2021年8月，一位 Conti 勒索軟體附屬機構成員洩露了該勒索團伙進行勒索實施攻擊的相關資訊，包括C2伺服器的IP地址和一個113MB的檔案，其中包含許多工具和進行勒索軟體攻擊的培訓材料。

Conti勒索培訓材料

材料內容包含內網掃描、提權、接管域控制器、配置和使用Cobalt Strike，透過配置Rclone與MEGA進行資料洩露、AnyDesk配置、隧道使用、密碼轉儲、禁用Windows Defender等。手冊中還詳細教學瞭如何上傳資料以及選取哪些資料上傳。“標準化”的勒索教學材料，反映瞭如今黑產團伙產業化的運作模式和武器化的攻防手法。