2020M-Trends中的变化趋势和最新观察结果报告
15年来FireEye每天都在检测和响应网络攻击 , M-Trends2020是为网络安全社区提供一线安全信息报告的第11年 。
未来威胁分析
2020M-Trends中的变化趋势和最新观察结果包括:
攻击者将跨多种操作系统和设备类型以及本地和云体系结构进行攻击 。 随着时间的推移 , 更多的攻击者可以在更多不同的环境中做更多的事情 。
APT41组织攻击威胁 , 该小组至少可以追溯到2012年 , 当时他们主要是针对视频游戏行业 。
FireEye今年观察到的所有恶意软件中 , 以前未知的占41% 。 研发人员正在创新技术 , 不仅仅是对现有恶意软件更新 。
以经济利益为目标的网络犯罪分子将勒索软件作为其次要收入来源 。 网络犯罪分子也在外包任务 , 以更快地从中获利 。
为了扩大获利方式 , 已经观察到针对公司奖励系统窃取礼品卡 , 然后将这些礼品卡转售或用于直接购买 。
数据分析
报告统计数据基于FireEyeMandiant对2018年10月1日至2019年9月30日之间的攻击活动调查 。 内部检测到的威胁比例下降了12个百分点 , 这是自2011年以来该指标的最大降幅 。 四年来 , 外部威胁首次超过内部 。 这种转变可能是由于多种因素引起的 , 例如网络安全供应商和执法部门的通报 , 网络安全行业的持续扩展 , 公共披露规范更合规 。 数据统计如下:
来源分析
威胁来源分析
不同地区威胁来源分析
不同地区18-19年威胁来源分析
驻留时间
组织能够更快地找到并遏制攻击者 。 去年所有驻留时间都有所改善 , 内部发现事件从50天缩短到30天 。
在2019年有41%的驻留时间为30天或更短 , 去年为31% 。 12%的驻留时间超过700天 , 与上一年相同 。 这些趋势可能是由于攻击者研发的检测程序 , 以及行为变化 。 破坏性攻击持续增加 , 其驻留时间通常比其他攻击类型短 。
在美洲驻留时间中位数呈下降趋势 , 分析回顾美洲驻留时间不超过14天的事件调查 , 43%涉及勒索软件等破坏性攻击 。 研究人员还观察到多次破坏性攻击的驻留时间远高于总体中值 。 美洲平均驻留时间减少的其他原因包括内部探测 , 有效的外部通报 。
亚太地区2019年的平均时间从上年的204天减少到54天 。 统计数据中有大量勒索软件 , 停留时间为零天 。 如果没有这些勒索软件 , 亚太地区的平均时间为94天 , 仍比上一年有所改善 , 但更能反映该地区真实趋势 。 2019年调查中 , 有10%时间超过3年 , 亚太地区报告的最长时间为2854天 , 接近8年 。 与过去几年一样 , 攻击者在亚太地区目标中保持长时间访问权限 。
欧洲、中东和非洲的时间明显减少 , 目前总体上与全球平均数保持一致 。 虽然已经取得了显著的改进 , 但仍有攻击者在目标中长时间未被发现 。 与去年相比 , 外部通报的数量超过了内部检测 。
目标行业
文章图片
过去一年中发现:
7%的攻击源于或使用了有漏洞的第三方访问
15%有多个攻击者
不到1%的攻击涉及内部人员
22%的数据盗窃是知识产权窃取或间谍活动
29%的人有可能获得直接的经济利益 。 包括勒索 , 赎金 , 偷卡 , 非法传输
这些有针对性的攻击中有3%是为了转售在入侵中获得的访问权限
4%创建攻击体系结构进一步渗透
31%的企业组织在12个月内再次受到攻击
威胁组织
威胁来自已建立的组织活动 , 以及去年出现的数百个新的威胁组织 。 来自六个不同国家的10个金融威胁集团和17个APT集团 。
文章图片
恶意软件
2019年观察到超过500个新的恶意软件家族 。 这些新恶意软件中的大多数影响了Windows或多个平台 。
文章图片
技术分析
MITREATT&CKFramework
文章图片
文章图片
APT41
APT41是一个多产的网络威胁组织 , 该小组的活动可以追溯到2012年 , 当时APT41主要针对视频游戏行业 。 APT41进行供应链攻击 , 够将恶意代码注入合法文件中 。 攻击影响了许多组织和个人 , 但是APT41仅对一部分受害者进行了后续活动 , 表明APT41只对特定目标感兴趣 。 根据早期观察到的活动以及APT41对视频游戏行业的关注 , 该组织很可能是出于经济利益或业余爱好发起的攻击活动 。 之后该组织瞄准高等教育 , 电信 , 旅行服务和新闻/媒体公司 。 该组织最新活动包括定位通话记录信息和SMS数据 。
文章图片
安全分析恶意软件家族
作为一个家族 , 不需要代码是100%相同的 , 家族成员之间的差异与配置 , 命令控制 , 地址和功能有关 。 根据功能和恶意软件的演变方式 , 会识别并跟踪恶意软件家族中的子组或子家族 。 2018年10月至2019年9月期间 , 研究人员遇到了186个恶意软件家族 , 数以万计的恶意软件样本 。
今年出现的恶意软件家族中有41%第一次发现 。
确定的样本中有70%属于五个最常出现的家族之一 , 这些家族基于开源工具开发的 。
在此报告期观察到的恶意软件中 , 有23%可公开获得 , 并被一系列攻击者使用 。
绝大多数恶意软件是以提高权限 , 横向移动为目的 。
类别
根据恶意软件样本的功能和行为给它们分类 。 每个文件仅属于一个类别 。
文章图片
文件类型
恶意软件的文件格式或文件结构可能表明攻击者针对的体系结构或操作系统 。 大多数样本都是可执行文件 , 其余部分包括脚本 , WebShell和.NET恶意软件 。
文章图片
可访问性
恶意软件可访问性标记为可获得或私有 。 可获得指该样本可通过开放源访问获得 , 或在地下论坛上获得 。 私有指不容易找到或是封闭源 。
文章图片
混淆
脚本被混淆或打包以阻碍分析 , 尤其是通过自动化系统进行分析 。 例如 , WebShell可以更改变量和函数名称 , 控制流和字符串编码 。 可执行文件使用打包技术来减小其有效负载或阻止分析 。
文章图片
新家族
研究人员过去一年中发现新恶意软件家族占41% 。
文章图片
TOP家族
在2019年分析了186个恶意软件家族的数以万计的恶意软件变体 , 70%的变体属于五个恶意软件家族 , 分别是BEACON、EMPIRE、TRICKBOT、SHORTBENCH、QAKBOT 。
文章图片
勒索软件货币化
勒索软件攻击货币化促进了勒索软件案件的增加 , 2019年发现针对敏感信息的攻击者转向利用访问权获利 。
FIN6
攻击者使用域管理员凭据运行包含psexec命令的批处理文件 , 连接到远程服务器并部署LockerGoga 。 批处理脚本将LockerGoga作为服务执行 , 攻击者试图伪装成合法的Windows服务 。 攻击者使用的批处理文件名为“xaa.bat” , “xab.bat” , “xac.bat”等 。
startcopysvchost.exe10.1.1.1c$windowsempstartpsexec.exe10.1.1.1-udomaindomainadmin-p“password”-d-h-rmstdc-s-accepteula-nobannerc:windowsempsvchost.exe
UNC1733
在2019年 , UNC1733瞄准了一家零售商 , 并试图从POS中获取支付卡信息 。 攻击者利用SharePoint服务器CVE-2019-0604漏洞进行攻击 。 在侦察和横向移动后 , 攻击者从系统中收集凭据来获得域管理员特权 , 从POS中获取支付卡信息 。 攻击者部署了TRINITY和WETLINK以从POS系统的内存中获取支付卡信息 。 攻击者使用了CobaltStrike后门来加载未知的勒索软件变体 。
恶意软件服务
恶意活动常见环节 , 市场产品以及相关问题趋势如下图 。
市场与价格:
文章图片
平均支付价格:
文章图片
网络犯罪分子提供工具或服务提高他们获利的速度:攻击者可购买恶意软件 , 被盗的支付卡数据以及受害者网络 。
内部威胁
在过去的一年中 , 恶意内部人员破坏了关键业务系统 , 泄露了机密数据 , 员工被勒索等 。 一些内部人员参与了经济间谍活动 。 恶意内部人员有第三方承包商 , 现有员工和以前的员工 。 他们的真正目标包括跟踪 , 勒索 , 盗窃和破坏知识产权 。 内部人员通常会采取措施隐藏其恶意活动 , 即使发现了他们的恶意活动 , 内部人员仍会采取措施转移罪责 。 在2019年发现了四种内部威胁类型 , 勒索 , 经济间谍 , 资产破坏 , 工作场所跟踪等 。
勒索
【2020M-Trends中的变化趋势和最新观察结果报告】研究人员发现越来越多的内部人参与了勒索计划 。 多数情况下内部人员通过公开发布被盗数据来勒索他们的组织 。 赎金常要求为数字货币付款 。 大多数勒索案件中攻击者向公司高管发送电子邮件 , 指出某些敏感数据被盗 , 提供被盗数据证明 , 并给出付款信息 。
推荐阅读
- 原创 爱情中的女人,都希望得到男人的这几样东西,男人别假装不懂
- 省油王中的本田CRV怎么样?CRV车主说的是实话!
- 原创 刘备生命中的四大贵人,诸葛亮排名末尾,排第一的是个商人
- 好吃又不增脂,它们才是泡面中的减肥伴侣
- 「连麦两会」两位90后村支书隔空分享战“疫”中的乡村管理经验,共谋致富奔小康之路
- 成功抄底是每个散户心中的梦想,前提得要
- 每个人眼中的洛神不一样,那你眼中的朱婷等女排是什么样?
- 震惊,红小豆竟能帮助你清除血管中的胆固醇!你知道吗?
- 炉石传说:恶毒猎上分攻略,释放你心中的野兽
- 【摄会车】誓做同龄人中的“异类”,00后同学竟成为GLS车主?