2022APT趋势 洞察报告 2022 APT TRENDS INSIGHT REPORTS 深瞻情报实验室目 录写在开始 漏洞利用视角 0day漏洞攻击趋势 已被披露的各APT组织0Day利用情况 APT组织的0Day漏洞利用阶段特征 Initial Access阶段 Privilege Escalation阶段 攻击技巧视角 DLL Hijacking 实战案例分析 技术原理分析 BYOVD/泄露证书 演变过程 应对策略 多款C2或成“新宠” 后起之秀 新型C2带来的挑战 被忽略的破坏性攻击 俄乌战争回顾 俄乌战启发 永不落幕的钓鱼攻击 钓鱼攻击仍会有着一席之位 钓鱼攻击防范01 02 02 05 09 09 11 13 14 14 15 16 16 17 19 19 20 21 21 21 22 22 22攻击事件视角 犯罪团伙忽视内部风险：Conti组织内部数据泄露曝光事件 这个木马有点粗心：Patchwork组织自曝式“远控”了自己 社工+漏洞两手抓：Lazarus组织对全球机构情报的贪婪觊觎 赛博空间的无硝烟暗战：俄乌冲突下的网络情报刺探行动 RaaS模式的持续性威胁：勒索软件仍是全球企业的主要威胁 从CobaltStrike到NightHawk：后渗透利用框架未来何去何从 全球APT组织视角 东亚 东南亚 南亚 东欧 北美 APT攻击防御视角 APT防御体系框架 人员意识安全 资产管理和保护 网域管理与安全设施部署 建立研发供应链安全机制 建立安全运营和事件响应中心 附1：深信服威胁情报中心 附2：深信服千里目安全技术中心深瞻情报实验室 23 23 26 28 30 32 33 35 35 38 39 44 46 49 49 52 53 54 55 57 58 59 目 录写在开始 漏洞利用视角 0day漏洞攻击趋势 已被披露的各APT组织0Day利用情况 APT组织的0Day漏洞利用阶段特征 Initial Access阶段 Privilege Escalation阶段 攻击技巧视角 DLL Hijacking 实战案例分析 技术原理分析 BYOVD/泄露证书 演变过程 应对策略 多款C2或成“新宠” 后起之秀 新型C2带来的挑战 被忽略的破坏性攻击 俄乌战争回顾 俄乌战启发 永不落幕的钓鱼攻击 钓鱼攻击仍会有着一席之位 钓鱼攻击防范01 02 02 05 09 09 11 13 14 14 15 16 16 17 19 19 20 21 21 21 22 22 22攻击事件视角 犯罪团伙忽视内部风险：Conti组织内部数据泄露曝光事件 这个木马有点粗心：Patchwork组织自曝式“远控”了自己 社工+漏洞两手抓：Lazarus组织对全球机构情报的贪婪觊觎 赛博空间的无硝烟暗战：俄乌冲突下的网络情报刺探行动 RaaS模式的持续性威胁：勒索软件仍是全球企业的主要威胁 从CobaltStrike到NightHawk：后渗透利用框架未来何去何从 全球APT组织视角 东亚 东南亚 南亚 东欧 北美 APT攻击防御视角 APT防御体系框架 人员意识安全 资产管理和保护 网域管理与安全设施部署 建立研发供应链安全机制 建立安全运营和事件响应中心 附1：深信服威胁情报中心 附2：深信服千里目安全技术中心深瞻情报实验室 23 23 26 28 30 32 33 35 35 38 39 44 46 49 49 52 53 54 55 57 58 59 写在开始 漏洞利用视角 0Day漏洞攻击趋势 2022年我们监测到多个APT组织利用多个平台以及应用的0Day漏洞开展攻击。APT组织使用的0Day漏洞约21个，漏 洞类型涉及浏览器漏洞、Windows/Linux/iOS等操作系统漏洞、网络设备漏洞、应用程序漏洞等4种，其中应用程序、 浏览器以及操作系统漏洞占比较大。该趋势说明社会工程学攻击，包括各类定向钓鱼、水坑等攻击场景仍是APT攻击组织 获得目标内网初始落脚点的重要途径，安全意识培训、社工攻击的及时发现及事件响应和遏制能力是易受APT攻击的组织 降低定向攻击潜在后果及损失的有价值方法。 2022年0day漏洞类型饼状图 数据来源：《2022APT趋势洞察报告》27 % 浏览器漏洞23 % 应用程序漏洞9% 设备漏洞 41% 系统漏洞2022年，受复杂的国际政治、经济摩擦及疫情等诸多因素影响，网络黑产和APT攻击大行其道，技术界限也正日渐模糊。 浏览器漏洞和操作系统漏洞仍是APT组织的最爱。网络安全企业监测到的在野0Day漏洞在2022年达到20余个，主要 被APT攻击者应用在初始打点和提权阶段。从趋势看，出于经济利益的考虑，各大勒索组织也逐渐成为在黑客论坛购买 0Day漏洞的一大主力。 APT组织在攻击技巧方面的创新性受到红队安全研究社区的影响痕迹明显，同时非常擅长将最新技术、最新工具应用在其 攻击行动上。无论是“白加黑”还是BYOVD，攻击者的应用技巧愈发炉火纯青。而随着攻击者对现代终端安全的研究逐渐深入， 近年来高对抗性的C2工具不断出现，且被越来越多的APT组织应用在实际攻击中，对APT攻击防御以及溯源的挑战也在 不断增加。 从2021~2022年已经披露的APT攻击事件来看，掺杂政治目的的网络监控、情报目的的大规模渗透、金钱目的的定向勒索、 啼笑皆非的“自杀式”网络攻击以及“罗宾汉”式的劫富济贫，各类定向攻击事件让安全研究者面前的网络安全攻防场景 故事目不暇接，而大国博弈背景下，消除勒索软件和供应链攻击影响经济、科技、民生发展的隐患也迫在眉睫。 本报告将从漏洞利用视角、攻击技巧视角、攻击事件视角、全球APT组织活动视角等多个维度，为您呈现深信服千里目安 全技术中心研究人员的技术洞察。本报告初看篇幅较多，读者完全可以选择自己感兴趣的章节阅读，下图是本报告的各章 框架提要： 0Day漏洞的攻击趋势和APT 利用的阶段特点等 攻击技术社区的热门技巧和 APT组织应用的实际案例 令人眼花缭乱但特点鲜明的 APT攻击实例 全球不同地区APT组织的近 期活动追踪 针对APT攻击的防御框架性 建议 01 02 2022APT趋势洞察报告 2022APT趋势洞察报告写在开始 漏洞利用视角 0Day漏洞攻击趋势 2022年我们监测到多个APT组织利用多个平台以及应用的0Day漏洞开展攻击。APT组织使用的0Day漏洞约21个，漏 洞类型涉及浏览器漏洞、Windows/Linux/iOS等操作系统漏洞、网络设备漏洞、应用程序漏洞等4种，其中应用程序、 浏览器以及操作系统漏洞占比较大。该趋势说明社会工程学攻击，包括各类定向钓鱼、水坑等攻击场景仍是APT攻击组织 获得目标内网初始落脚点的重要途径，安全意识培训、社工攻击的及时发现及事件响应和遏制能力是易受APT攻击的组织 降低定向攻击潜在后果及损失的有价值方法。 2022年0day漏洞类型饼状图 数据来源：《2022APT趋势洞察报告》27 % 浏览器漏洞23 % 应用程序漏洞9% 设备漏洞 41% 系统漏洞2022年，受复杂的国际政治、经济摩擦及疫情等诸多因素影响，网络黑产和APT攻击大行其道，技术界限也正日渐模糊。 浏览器漏洞和操作系统漏洞仍是APT组织的最爱。网络安全企业监测到的在野0Day漏洞在2022年达到20余个，主要 被APT攻击者应用在初始打点和提权阶段。从趋势看，出于经济利益的考虑，各大勒索组织也逐渐成为在黑客论坛购买 0Day漏洞的一大主力。 APT组织在攻击技巧方面的创新性受到红队安全研究社区的影响痕迹明显，同时非常擅长将最新技术、最新工具应用在其 攻击行动上。无论是“白加黑”还是BYOVD，攻击者的应用技巧愈发炉火纯青。而随着攻击者对现代终端安全的研究逐渐深入， 近年来高对抗性的C2工具不断出现，且被越来越多的APT组织应用在实际攻击中，对APT攻击防御以及溯源的挑战也在 不断增加。 从2021~2022年已经披露的APT攻击事件来看，掺杂政治目的的网络监控、情报目的的大规模渗透、金钱目的的定向勒索、 啼笑皆非的“自杀式”网络攻击以及“罗宾汉”式的劫富济贫，各类定向攻击事件让安全研究者面前的网络安全攻防场景 故事目不暇接，而大国博弈背景下，消除勒索软件和供应链攻击影响经济、科技、民生发展的隐患也迫在眉睫。 本报告将从漏洞利用视角、攻击技巧视角、攻击事件视角、全球APT组织活动视角等多个维度，为您呈现深信服千里目安 全技术中心研究人员的技术洞察。本报告初看篇幅较多，读者完全可以选择自己感兴趣的章节阅读，下图是本报告的各章 框架提要： 0Day漏洞的攻击趋势和APT 利用的阶段特点等 攻击技术社区的热门技巧和 APT组织应用的实际案例 令人眼花缭乱但特点鲜明的 APT攻击实例 全球不同地区APT组织的近 期活动追踪 针对APT攻击的防御框架性 建议 01 02 2022APT趋势洞察报告 2022APT趋势洞察报告0Day漏洞攻击频度发展趋势 0Day漏洞攻击变化趋势：多为已知漏洞的补丁绕过 在野0Day漏洞的平台选择2022年，在野0Day漏洞已达21个，相较于2021年数量有所下降。但是，从整体趋势上看，0Day漏洞的影响组件/系 统日益通用，0Day攻击对网络空间的威胁程度呈逐年上升趋势。特别说明，这些已被发现的0Day并非全部，黑客个人 或攻击组织通过暗网等渠道对0Day进行交易的情况被安全行业监测的信息十分有限，还有很多0Day攻击未被发现或公开。 我们通过对2015年以来的在野0Day攻击漏洞所属平台进行定量分析，可以看出PC端操作系统和浏览器0Day漏洞攻击 数量较多，