《2021年度公有云安全報告》發布:深度剖析網絡安全事件九大特點
2021年,是全球網絡安全行業跌宕起伏的一年。這一年,勒索軟件危害全球,眾多知名跨國企業遭遇勒索軟件攻擊,造成嚴重經濟損失,部分攻擊事件影響到國計民生。
2021年,一批保障網絡安全、數據安全的法律法規先后開始實施。同時,為實現“雙碳”承諾目標,政府強化了對挖礦木馬產業的全鏈條治理,虛擬貨幣相關業務活動均被列入“非法金融活動"。比特幣礦場、虛擬貨幣交易所等被逐出中國。國家層面的治理行動對勒索軟件、挖礦木馬黑灰產業起到“穩準狠”的效果。
勒索軟件、挖礦木馬、高級持續性威脅仍是主要網絡攻擊非法牟利的手段,成為近年來影響范圍最廣的主要網絡安全威脅。騰訊安全威脅情報中心對2021年截獲的各類網絡安全事件進行統計分析,整理出《2021年公有云安全報告》(以下簡稱《報告》),總結當前網絡安全事件的特點,用以指引安全運維人員采取相應的技術措施更好地防范網絡安全威脅。
《報告》總結了2021年
網絡安全事件的九大特點
一、惡意軟件逐年增加且增加迅猛,日均截獲量近14萬個
報告顯示了2021年騰訊安全惡意軟件的截獲情況:
1、全年截獲惡意軟件樣本總量超過5100萬個,相比去年的4642萬個增長接近10%;
2、平均每天截獲新增惡意樣本近14萬個,超過去年日均12.7萬個;
3、從惡意樣本類型構成占比數據看,DDoS木馬、蠕蟲病毒、后門木馬、挖礦木馬、Spyware(不請自來的捆綁安裝、具備惡意彈窗等行為的軟件)占比較去年有所上升。
二、勒索軟件成企業最大安全難題,具有明顯APT化特征
勒索軟件2021年全年攔截量波動幅度較大,10月達到全年峰值。騰訊安全專家在分析勒索軟件技術特點后,發現其具有明顯APT化特征,同時攻擊者最初入侵手段表現為“漏洞攻擊+爆破弱口令攻擊”,攻擊形式十分暴力。
此外,勒索軟件的勒索目標往往是高價值政企機構,專業攻擊者的勒索金額甚至動輒千萬元起步,且普遍采用RaaS(勒索即服務)的運營模式。值得注意的是,勒索軟件團伙濫用竊取的機密數據的行為致使企業面臨數據泄露、經濟損失及商譽受損三大困境。
三、挖礦木馬逐漸成為企業潛在安全風險,攔截量呈波動上升趨勢
從攔截數據來看,2021年挖礦木馬呈現波動上升的趨勢。從入侵手段來看,先是攻克不起眼的低權限帳號或終端系統,再進一步利用漏洞武器、爆破工具進行橫向擴散,進而釋放虛擬貨幣挖礦模塊。騰訊安全專家指出,挖礦木馬危害看似無形而溫和,實則可通過攻擊獲得目標網絡系統的控制權限,造成嚴重的信息泄露事件。
四、漏洞武器是黑客最愛,漏洞利用成黑客攻擊云主機主要通道
據騰訊安全產品攔截到的漏洞攻擊性質統計,2021年黑客最常利用的漏洞武器為各種遠程代碼執行(RCE),其次是掃描探測(指敏感信息探測、WebShell上傳探測等),各類命令注入攻擊則位居第三。
漏洞利用是黑客云主機攻擊的主要通道之一,騰訊安全根據最活躍惡意軟件家族使用的漏洞武器,整理出了2021年度黑客最愛的漏洞武器TOP10:
五、弱密碼爆破依然是黑客攻擊云主機的主要通道
弱密碼爆破是黑客攻擊云主機的又一主要通道,已被黑客掌握的弱密碼字典條數比地球人口總數還要多。云原生安全產品檢測攔截的數據顯示,爆破攻擊次數整體呈現上升趨勢,SSH、RDP、ftp、redis、mysql是弱密碼爆破攻擊常針對的網絡服務組件。
同時,騰訊安全專家對黑客爆破的用戶名進行分析后發現,administrator、root、admin、test、user等系統默認用戶名是最常被爆破的用戶名,專家建議安全運維人員可通過騰訊云防火墻配置使用微信掃描二維碼取代用戶名密碼登錄服務器。
六、云上資產基線管理現狀不樂觀
安全基線檢測數據顯示,云上資產基線管理現狀不容樂觀,每月發現的安全基線問題在百萬量級,存在隱患的基線問題占比超過80%,主要安全基線風險涵蓋未限制匿名FTP、未限制root登陸FTP、MongoDB未禁用systemLog.quiet配置、MongoDB未配置新日志追加策略、MongoDB未禁用本地主機身份驗證繞過等。
騰訊安全專家表示,政企機構通過騰訊主機安全(云鏡)專業版的基線管理方案指引,可檢查存在風險的配置項,對所發現的基線風險逐一進行修改調整,使之滿足等保合規等技術要求,進而大幅提升黑客攻擊的門檻,避免系統配置不當造成的黑客入侵隱患。
七、2021年度最活躍的勒索軟件家族TOP10
在深度剖析公有云用戶面臨的主要風險后,騰訊安全團隊整理出了2021年度最活躍的勒索軟件家族TOP 10,并簡要分析了其戰術特點:
八、2021年度最活躍的挖礦木馬家族TOP10
與此同時,《報告》整理出了2021年度最活躍的挖礦木馬家族TOP 10:
九、2021重大網絡安全事件TOP10
《報告》回顧了2021年重大網絡安全事件,同時詳細梳理了TOP10事件的來龍去脈。騰訊安全云鼎實驗室協助完成了Saltstack多個高危漏洞的修復,同時,騰訊云原生安全漏洞檢測響應平臺通過主機安全(云鏡)、騰訊安全Cyber-Holmes引擎、騰訊安全WeDetect分析引擎有效檢測到Confluence遠程代碼執行漏洞、YAPI遠程代碼執行0day漏洞的在野利用。
2021年重大網絡安全事件TOP 10具體如下:
報告對新的一年新安全風險做了初步評估,判斷勒索軟件風險將會持續。盡管已有多國政府開始聯手打擊勒索軟件,采取了一系列的管制措施,例如共享勒索軟件威脅情報、國際通緝、制裁加密貨幣交易所等,但目前觀察到的結果是:一個勒索軟件家族被執法機構打擊倒下——停止運營、開放源碼,一群勒索軟件會重新站起來——開放的勒索軟件源碼被更多團伙重新改版傳播。
隨著國家重拳出擊,挖礦木馬的危害可能得到一定遏制。一系列關于網絡安全的法律制度出臺,會推動政企機構不斷完善網絡安全體系。在經歷2021年底全球互聯網Log4j高危漏洞(Log4Shell)事件之后,全行業對有關開源軟件供應鏈風險更加重視。政企機構安全運維團隊宜盡早開展對業務系統使用開源組件的基本情況進行調研,對可能存在的風險進行預判,政企機構和安全廠商聯手聯合制定開源組件安全漏洞事件響應預案(漏洞臨時緩解方案和完整處置方案),以預防突發安全事件。
由于多方面的原因,高級持續性威脅(APT)已日趨多見,事關國計民生的各個領域已進入攻擊者視野。APT組織所采用的攻擊技戰術武器引領著網絡攻擊手法的新方向,許多攻擊武器已被黑灰產業大量模仿,比如Cobalt Strike的破解、改版版本已被黑灰產業大量使用。
伴隨著網絡黑灰產業對Cobalt Strike后門、域名偽造、域前置、云函數/服務等新攻擊手法的應用,增加了流量檢測溯源的難度,攻防雙方的技術對抗強度將會持續增強。新威脅對以往的安全解決方案構成挑戰,XDR(擴展威脅檢測與響應)一體化安全解決方案正逐步成為行業共識,未來將逐步得到普及應用。
智能路由器、網絡攝像頭、小型NAS云存儲等IoT設備被僵尸網絡大規模利用漏洞入侵的事件多次出現。2021年因美國燃油管道供應商的業務系統被勒索軟件攻擊,直接引發有關工業互聯網系統安全的討論,亦對我國邁向工業4.0構成挑戰,提醒工業領域、安全廠商需投入更多精力應對工業互聯網安全威脅。
來源:騰訊安全威脅情報中心
