2023APT趋势洞察报告.pdf

1、2023APT趋势洞察报告2023 APT TRENDS INSIGHT REPORTS千里目-深瞻情报实验室目录前言主要观点摘要漏洞利用视角0day漏洞利用趋势已披露的各APT组织0day漏洞利用情况攻击技巧视角BYOVD等驱动滥用的相关攻击技巧高隐藏型内核态Rootkit白宿主进程恶意代码执行供应链投毒攻击AI引入的增强网络攻击攻击事件视角：无孔不入的APT高校科研行业定向钓鱼“卷王”银狐日新月异的攻击手法瞄准高性能集群进行的定向计算资源窃取供应链投毒事件频发，沦为“肉鸡”防不胜防边界设备成为攻击者青睐的攻击入口隐蔽的移动设备攻击战线0102020304060910131618192021

2、2830313536地缘视角下的全球APT组织南亚东亚欧洲中东北美未知APT防御视角：如何构建可靠的防御体系APT防御体系框架人员安全意识培训资产管理和保护网域管理与安全设施部署建立研发供应链安全机制建立安全运营中心，完善取证和响应机制附1:深信服智安全风险监测平台APT组织画像平台附2:深信服千里目安全技术中心深瞻情报实验室38394650545660626366676869717375前言2023 年，深信服千里目安全技术中心深瞻情报实验室（以下简称“深瞻情报实验室”）对全球范围内的多个 APT 组织和网络犯罪团伙进行了长期跟踪和分析。从中，我们见证了 APT 组织攻击手段的持续迭代升级、

3、攻击图景的不断扩张以及组织结构的不断分化重组。当前，APT 已是网络空间中社会影响最广、防御难度最高的斗争形态，其危害性不容忽视。政治和经济形势的变化正在推动 APT 威胁快速演变。与此同时，网络黑产犯罪团伙大行其道，高级技术层出不穷，与 APT 的技术界限逐渐模糊。据监测，已经发生多起针对大型计算资源的定向挖矿以及目标明确的定向勒索，攻击者使用的手法和技巧与一些常规 APT 组织几乎无异。然而，企业或组织的安全建设往往难以应对这种高水平的网络攻击威胁。高级的网络攻击不再遥不可及，经济、科技、民生发展行业建立起有效的 APT 防御体系迫在眉睫。在 APT 组织利用 0day 漏洞方面，我们监测

4、到的 0day 漏洞数量达到了历史最高，其中移动端漏洞比例大幅增加，但 PC 端漏洞比重仍然位居第一，随着移动互联网已经渗透到人们生活、工作的各个领域，攻击者的目光也开始转向移动互联网，个人也将更直接地面向复杂危险的网络恶意活动。APT 组织和网络犯罪团伙对社区前沿攻击技术的变化十分敏感，擅长在短时间内将最新技术或工具应用在攻击行动上。近年来，DLL 劫持、高隐藏 Rootkit、BYOVD 等攻击技术在实战中越来越常见。与此同时，针对安全防护软件的绕过或致盲也大幅增加，安全产品的自身防护和有效性也面临前所未有的挑战。回顾 2023 年披露的 APT 事件，国家背景的窃密攻击和渗透仍然在 AP

5、T 事件中占据最大比重。以经济为目的的定向勒索也开始涉及新的行业和地区。与此同时，一些以大型计算资源为攻击目的的攻击者也非常活跃，通过滥用计算资源从中牟取暴利。一些网络犯罪团伙也将网络攻击和诈骗结合，通过高欺骗性的手法造成大量受害者中招和传播，高级的网络攻击逐渐和个人息息相关。基于 2023 年跟踪的 APT 组织动向以及事件响应溯源，深瞻情报实验室将从漏洞利用视角、攻击技巧视角、攻击事件视角、全球 APT 组织视角以及 APT 攻击防御视角五个视角详细阐述本年度 APT趋势洞察。本报告除明确注明来源以外，数据均来自深信服千里目安全技术中心深瞻情报实验室，目的仅为帮助客户及时了解中国或其他地区

6、 APT 威胁的最新动态和发展，仅供参考。本报告中所含内容乃一般性信息，不应被视为任何意义上的决策意见或依据，任何深信服科技股份有限公司的关联机构、附属机构（统称为“深信服股份”）并不因此构成提供任何专业建议或服务。012023APT趋势洞察报告主要观点摘要APT 组织攻击手段的正持续迭代升级、攻击图景不断扩张、组织结构不断分化重组；网络黑产犯罪团伙大行其道，高级技术层出不穷，与 APT 的技术界限逐渐模糊；APT 组织利用 0day 漏洞数量达到了历史最高，其中移动端漏洞激增；APT 组织和网络犯罪团伙对社区前沿攻击技术的变化十分敏感，擅长在短时间内将最新技术或工具应用在攻击行动上；国家背景

7、的窃密攻击和渗透仍然在 APT 事件中占据最大比重，但以经济为目的的定向勒索也开始涉及新的行业和地区。012023 年，深瞻情报实验室监测到的在野 0day 漏洞数量数达到 2015 年以来最高值，达 53 个。这些漏洞对各种组件和系统产生普遍影响，特别是浏览器 0day 漏洞攻击成为 APT 攻击常见入口，且受到“三角行动”的影响，移动设备漏洞呈激增趋势。02BYOVD、Rootkit、DLL 劫持等攻击技术被攻击者大肆改造滥用，网络犯罪团伙也在新攻击技术上展现出敏锐嗅觉，快速迭代其武器库，供应链投毒和 AI 引入的增强网络攻击给安全防护带来前所未有的挑战。03无孔不入的 APT 组织对国内

8、多个行业发起定向攻击，手段包括鱼叉式钓鱼、供应链投毒、安全设备定向绕过等等，多起攻击事件被深瞻情报实验室监测溯源到。04根据对攻击技巧及 APT 组织的长期跟踪分析，深瞻情报实验室针对 APT 防御体系框架、人员安全意识培训、资产管理、安全设施管理等安全建设提出针对性建议和策略。022023APT趋势洞察报告漏洞利用视角032023APT趋势洞察报告2023 年我们监测到多个 APT 组织利用多个平台以及应用的 0day 漏洞开展攻击。2023 年，深瞻情报实验室监测到的在野0day 漏洞数量达到了 53 个，创下自 2015 年以来的最高纪录。从整体趋势来看，这些 0day 漏洞对各种组件和

9、系统的影响日益普遍，0day 攻击对网络空间的威胁程度也在逐年上升。0day漏洞利用趋势01020304050602015292623132126392253201620172018单位：个20192015-2023 年在野 0day 漏洞攻击监测数量2020202120222023数量042023APT趋势洞察报告Apple21（11.23%）其中 2023 年监测到的 0day 漏洞涉及浏览器漏洞、Win/Linux/iOS 等操作系统漏洞、网络设备漏洞、应用程序漏洞等多种类型。我们通过对 2015 年以来的在野 0day 攻击漏洞所属平台进行定量分析，可以看出 PC 端操作系统和浏览器

10、0day 漏洞攻击数量较多，占据主要部分。其中浏览器 0day 漏洞（配合 PC 端操作系统本地提权）是 APT 攻击的常见入口。从攻击难度和攻击效益来看，浏览器 0day 漏洞攻击实施复杂度低、攻击效率高，攻击者只需要诱导用户访问一个 URL 即可获取受害者主机权限，这仍然是众多黑客或 APT 组织追逐的理想攻击方式。与此同时。23 年移动端和 PC 端漏洞数量激增，这主要来自于Apple 2023 年爆出的大量同时影响 iOS、MacOS 和 iPadOS 多种平台的危险漏洞。（“三角行动”带来了多个 0-click 苹果移动设备漏洞异军突起，使移动设备漏洞成为攻击中最突出的问题。）与以往

11、不同的是，2023 年微软和谷歌操作系统漏洞以及浏览器漏洞所占比例不再最大。单位：个2015-2023 年各平台在野 0day 攻击数量1522 年合计23 年新增其他96（51.34%）Linux3（1.61%）Cisco7（3.74%）Microsoft27（14.44%）Samsung8（4.28%）Google7（3.74%）VMware2（1.07%）Adobe6（3.21%）Apache5（2.67%）Oracle5（2.67%）MicrosoftAppleSamsungGoogleVMwareAdobeApacheCiscoOracleLinux其他2023 年已知在野被利用漏洞

12、涉及厂商010203040506070移动端PC 端Web 端浏览器客户端12256031707012227052023APT趋势洞察报告“三角行动”是一项专门针对苹果 iPhone 设备的间谍软件活动，利用了四个 0day 漏洞。这些漏洞被联合使用形成一个零点击漏洞利用链，使攻击者能够在零点击的情况下远程提升特权并执行代码。构成这个高度复杂漏洞链的四个漏洞适用于 iOS 16.2 以下的所有 iOS 版本：攻击始于向目标发送的恶意 iMessage 附件，整个攻击链是零点击的，这意味着它不需要用户互动，也不会留下明显的痕迹或迹象。卡巴斯基在其内部网络中发现了这次攻击，而俄罗斯情报部门（FSB

13、）随即指责苹果向美国国家安全局提供了用于攻击俄罗斯政府和大使馆人员的后门。已披露的各APT组织0day漏洞利用情况方程式组织（EQUATION GROUP）使用复杂0day漏洞攻击链攻击Apple设备CVE-2023-41990：涉及 ADJUST TrueType 字体指令的漏洞，允许通过恶意 iMessage 附件执行远程代码。CVE-2023-32434：涉及 XNU 内存映射系统调用的整数溢出问题，使攻击者能够对设备的物理内存进行广泛的读/写访问。CVE-2023-32435：涉及 Safari 漏洞，用于执行 shellcode，作为多阶段攻击的一部分。CVE-2023-38606：

14、涉及使用硬件 MMIO 寄存器绕过页面保护层（PPL）的漏洞，以覆盖基于硬件的安全保护。Attack chainAttackersiMessageaccountPDF fileTrueTypefont exploitCVE-2023-41990ROP/JOPNSExpressionbplistNSExpressionsKernel exploit(JavaScript)DollarVMPAC bypassCVE-2023-32434CVE-2023-38606SafariImagent(cleaner)ValidatorSafariexploitCVE-2023-32435Kernel exp

15、loit(Binary)CVE-2023-32434CVE-2023-38606ValidatorMalware062023APT趋势洞察报告2023年初，乌克兰网络安全研究人员发现，APT 28利用一个Microsoft Outlook的0day漏洞（现被称为CVE-2023-23397），这个漏洞无需用户交互即可被攻击者利用，远程执行恶意代码。据观测该组织在过去的 20 个月里一直在使用CVE-2023-23397，针对至少 30 个组织进行攻击，这些组织分布在 14 个可能对俄罗斯政府及其军方具有战略情报价值的国家。在此期间，APT 28 进行了至少两次使用此漏洞的攻击活动，第一次发生在

16、 2022 年 3 月至 12 月之间，第二次发生在 2023年 3 月。在 2023 年 9 月至 10 月之间，Unit 42 的研究人员发现了第三次最近活跃的攻击活动，APT 28 在这次活动中同样利用了这个漏洞，目标至少包括了七个国家的九个组织。在这三次活动中共有 14 个被攻击的国家，除了乌克兰、约旦和阿拉伯联合酋长国的几个机构外，其余所有受影响的组织都属于北约成员国。这些组织的关键词如下：攻击者在发送的邮件中附加特殊的 MAPI 属性，将触发 Outlook 邮件服务器解析带有以上属性的邮件时，向攻击邮件中设置的由攻击者控制的服务器 UNC 路径发起基于 SMB 的 NTLM 认证

17、请求，从而导致 NTLM 凭证泄露。该漏洞共享托管在攻击者控制的服务器上，无论收件人是否看到该消息，该漏洞都会被利用。攻击者远程发送由.msg（Outlook 中提醒的消息格式）表示的恶意日历邀请，以使用“PidLidReminderFileParameter”触发易受攻击的 API 端点 PlayReminderSound。当受害者连接到攻击者的 SMB 服务器时，与远程服务器的连接会自动发送用户的 NTLM 协商消息，攻击者可以使用该消息对支持 NTLM 身份验证的其他系统进行身份验证，从而绕过安全防护。APT 28(亦称 FANCY BEAR)，被西方网络安全情报社区认为和俄罗斯军方存在

18、联系。APT 28使用Outlook 0day漏洞攻击至少30个组织能源生产和分配管道运营物资、人员和空运国防部外交部内政部经济部ATTACKERTARGETOutlook.MSG fileSends calendar itemto email recipientAttacker utilizes an extendedMessage Application Programlnterface(MAPl)property totransmit a message to the targetCalendar item(.msg file)goes to mail serverCustomer ac

19、cessesthe.MSG in the formof a reminder ofcalendar inviteTarget A/B initiates connectionfor NTLM Auth(SMB)WebDAV HTTP communication/resposnses from the attackerAttacker target share(SMB)Outlook email server(Target A)Outlook email client(Target B)Attacker WebDAV server(HTTP)NTLM Authentication(SMB)Web

20、DAV Communication(HTTP)132a2b4072023APT趋势洞察报告userid:520426,docid:164596,date:2024-06-11,乌克兰国家安全与国防委员会(NDSC)报告称，APT 29（亦称 COZY BEA）在 11 月发现的攻击活动中一直在利用 WinRAR 中的 0day 漏洞 CVE-2023-38831。据监测，这个 APT 组织使用了特制的 ZIP 存档，该存档在后台运行脚本以显示 PDF 诱饵，同时下载 PowerShell 代码以获取并执行有效负载。该组织针对多个欧洲国家，包括阿塞拜疆、希腊、罗马尼亚和意大利。攻击者使用了一份诱

21、饵文件（名为“DIPLOMATIC-CAR-FOR-SALE-BMW.pdf”），其中包含了可供出售给外交实体的宝马汽车的图像。这份武器化文档嵌入了利用 WinRAR 漏洞的恶意内容。此漏洞产生的根本原因在于对 ZIP 压缩文档的错误处理。在用户打开无害文件的过程中，系统会无意中处理具有匹配名称的文件夹中隐藏的恶意内容，从而能够执行任意代码。值得注意的是，攻击者引入了一种新技术，该技术允许与恶意服务器进行通信，使用 Ngrok 免费静态域来访问托管在 Ngrok 实例上的服务器。APT 29 在本次攻击中采用宝马汽车待售的诱惑主题，这种策略在过去就已经出现过。然而，CVE-2023-38831

22、 WinRAR 漏洞的部署是一种新颖的方法，揭示了它们对不断变化的威胁形势的适应性。APT 29利用0day漏洞和诱饵文件发起攻击082023APT趋势洞察报告攻击技巧视角092023APT趋势洞察报告发展历程BYOVD，全称为 Bring your own vulnerable driver，指的是攻击者向目标环境植入一个带有漏洞的合法驱动程序，通过漏洞利用获取内核权限以杀死/致盲终端安全软件等。一旦终端安全防护被攻破，入侵者将能够自由地开展恶意行动。最初，这项技术主要由顶级 APT 组织如 Turla 和方程式使用，随着攻击成本的降低，其它攻击组织也开始采用这项技术。在过去的一年，BYOV

23、D 威胁事件频繁发生。根据对本年度的 BYOVD 场景的追踪，我们可以明显地观测到该场景已经从APT/勒索组织逐渐下沉，被黑灰产技术所采用。这一转变也验证了深瞻情报实验室针对该场景的预设。BYOVD等驱动滥用的相关攻击技巧BYOVD 威胁事件(2023)UNC2970BYOVD 攻击组件:ene.sysSCATTERED SPIDERBYOVD 攻击组件:iqvw64.sysAgonizing SerpensLockbitBYOVD 攻击组件:procexp.sysBlackCatBYOVD 攻击组件:zam64.sysCubaBYOVD 攻击组件:aswarpot.sysAPT勒索VulnD

24、river 公开库建立BYOVD 开源演示项目增多BYOVD 工具公开/私密售卖其他银狐BYOVD 攻击组件:mhyport2.sys黑灰产BYOVD 攻击组件:gmer64.sys102023APT趋势洞察报告利用方式分析利用成本分析在 BYOVD 利用工具的选择上，攻击者可能会进行自主开发或合入开源项目，而部分自主开发的工具也是基于开源项目的改进，如在 23 年上半年的攻击活动中 APT 组织 UNC2970 和勒索组织 Lockbit 分别使用了自己的 BYOVD 利用工具LIGHTSHOW 和 AuKill，其中 AuKill 与开源 BYOVD 利用项目 Backstab 存在相似性

25、，下图展示了 Backstab 与 AuKill 的一些相似函数。LOLDrivers 项目记录在案的，可供攻击者滥用的合法驱动程序数量约 700+，而除此之外，还存在着一些未被记录的或仅被攻击者所掌握的可用于攻击活动的合法驱动程序，这意味着攻击者拥有一个充足的库来发起 BYOVD 攻击。另一方面，LockBit 在 2022 年 11 月的勒索攻击中直接合入了 Backstab 开源工具，同样被勒索组织合入的 BYOVD 利用工具还有 SpyBoy Terminator，该工具于 5 月下旬在网上公开售卖，后先后被勒索和 APT 组织投入真实攻击活动。112023APT趋势洞察报告此外，在

26、Github 上进行检索可以发现一系列 BYOVD 利用工具，它们分别包括摘除杀软回调、Kill 杀软进程、关闭/开启PPL 保护，和关闭/开启强制签名校验等多种高级攻击技巧，这些利用工具涵盖的功能几乎满足了攻击者的所有需求，攻击者也可以基于此系列项目掌握驱动漏洞的利用原理，挖掘和开发未知的驱动利用。BYOVD威胁防护为了加强 BYOVD 场景的威胁防护能力，深瞻情报实验室与 aES 团队开展了密切合作，并在深信服 EDR 的勒索防护模块和SAVE 引擎中，新增了该场景的自动化防护功能，当此攻击发生时，深信服 EDR 将自动拦截，并将关联的攻击信息同步到云端以进一步触发威胁事件告警或威胁事件响

27、应等。基于此防护功能，深瞻情报实验室监控到国内政企市场占有率高的某厂商引入了高危驱动，同时监控到客户侧大量的其它VulnDriver 安装行为，这些 VulnDriver 多为用户使用含漏洞的旧版软件或久不更新的开源项目而引入。此类用户环境对攻击者极其有利，攻击者可通过用户已预装载的 VulnDriver 直接开展攻击，这将减少攻击环节和隐藏攻击痕迹。KDUBackstabEDRSandblastMhyprot2DrvControlevil 一 mhyprot-cliBlackoutTerminatorKillWithLo1DriverSharpTerminatorKi1lersCYBERSE

28、C2023-BYOVD-Demo 开源.https:/ 开源,https:/ 开源,https:/ 开源,https:/ 开源,https:/ 开源,https:l/ 开源,https:/ 开源,https:/ 开源,https:/ 开源,https:/ 开源,https:/ 年 11 月，深瞻情报实验室在捕获的银狐样本中首次发现了 BYOVD 攻击技术的引入，从而验证了该场景从 APT/勒索组织，到常规黑灰产的技术下沉，这也意味着该场景的威胁事件可能会持续增多。122023APT趋势洞察报告发展历程在 90 年代初期，Rootkit 技术 主要用于攻击 Unix 系统，以获取最大权限并以 r

29、oot 用户身份执行命令，并因此得名。Rootkit 的主要任务是隐藏并在感染机器上长期驻留，从事各类恶意活动，以实现高度隐蔽和持久化的目的。Rootkit 技术由来已久，并且不断演化和发展，呈现从简单到复杂、高层向低层的趋势，其技术演化的核心思想是劫持。在 Linux 平台上，安全研究员围绕着劫持对象和劫持方式，提出了许多的底层 Rootkit 技术。下图展示了 Linux Rootkit常见的劫持对象与劫持技术。高隐藏型内核态Rootkit程序替换root 后门内核模块隐藏文件隐藏端口隐藏进程隐藏网络连接隐藏Ring3VFS HookNetfilter HookeBPF创建新的命名空间VF

30、S HookVFS HookHook filldir64/readdir 函数，过滤/proc/PID 文件目录Hook tcp4_seq_show 函数，过滤/proc/net/tcp 目录特定内容Hook Sys_getdents/sys_getdents64 系统调用函数，过滤/proc/PID 目录kprobes/uprobes/tracepoint 等事件类型 HookHook Netfilter callback Function RegisterHook tcp4_seq_show 函数，过滤/proc/net/tcp 目录特定内容直接替换原始程序LD_PRELOADkprobe

31、s/uprobes/tracepoint 等事件类型 HookHook socket 内核层，过滤特定连接Netfilter HookHook Netfilter Callback Function RegisterSyscall Hook端口敲门VFS HookeBPFeBPF创建新的命名空间Syscall HookVFS Hook删除内核模块链表/对象内核态反向 socket 连接，将进程的权限描述符设置为 0 进行提权Hook filldir64/readdir 函数，过滤/proc/module 目录特定内容本质读取/proc/module，调用 list_del_init 函数后断链

32、通过 kernel module 枚举 struct module-list,调用 list_del_init 函数后断链通过 kernel module 枚举 struct module-mkobj-kobj-entry，调用 kobject_del 函数删除节点通过 kernel module 枚举 module-mkobj-kobj-kset，调用 kobject_del 函数删除节点在内核函数中设置 kprobes/uprobes 跟踪点，过滤特定内容Hook filldir64/readdir 函数，过滤特定文件目录特定内容Hook Sys_getdents/sys_getdents

33、64 系统调用函数，过滤特定文件目录特定内容tracepoint 事件类型 Hook，过滤/替换特定内容Hook XDP、TC、socket 等内核层，过滤数据包，控制链路eBPFeBPFeBPF创建新的命名空间创建新的命名空间Linux Rootkit132023APT趋势洞察报告利用分析根据 Linux Rootkit 在运行时的权限级别，可以分为用户态和内核态两种。Linux 用户态 Rootkit 所需的前置知识和复杂度更低，开发起来更简单，更容易实施大范围攻击。它所涉及的技术简单且成熟，可以拦截系统调用并替换 API 或劫持应用程序返回的值，以获得对设备的控制。而 Linux 内核态

34、 Rootkit 具有与操作系统相同的权限，在内核级别运行，通常作为设备驱动程序或可加载模块加载到目标设备中。内核态 Rootkit 的开发较为困难，因为源代码中的任何错误都会影响目标系统的稳定性，这将直接暴露恶意程序的存在。近两年来，深瞻情报实验室对黑产组织攻击事件进行了猎捕与监测分析，并发现越来越多的黑产组织开始转战 Linux 平台。他们利用某些开源 Linux 内核态 Rootkit 结合用户态恶意程序，从事网络犯罪活动。在 2023 年，我们监控到了 SkidMap 挖矿家族使用的 Rootkit 实施新的挖矿窃密事件。这次 Skidmap 组织 Rootkit 攻击事件的攻击路径和

35、方式相较于以前更加复杂。攻击者通过植入内核态 Rootkit 来隐藏文件和进程等。同时还通过用户态替换 tty、agetty、umount、PAM 动态链接库等方式，阻止 busybox、unhide、csysdig 等监控和取证工具执行、阻止新的内核模块加载等方式，对抗取证调查。当用户登录并使用命令进行排查时，新的恶意进程会再次启动，内核态 Rootkit 也会重新加载，继续执行恶意活动。在这次攻击事件中，攻击者不仅植入 Rootkit 隐藏文件和进程，而且大部分恶意文件都在执行后删除，以尽可能地做到“无文件攻击”。142023APT趋势洞察报告威胁防护经过事件调查，深瞻情报实验室发现，Sk

36、idmap 组织攻击目的不仅仅限于挖矿，还包含窃取密码以便于持久化控制，用于间谍活动。Linux Rootkit攻击事件通常具有极高的隐藏性和持久性。由于业内对内核态Rootkit的检测和处置能力较低，攻击者可以“肆无忌惮”地开展各种恶意活动。一款制作精良的 Rootkit 可以在受害主机长期驻留稳定运行，历史上被披露的 Linux Rootkit 攻击事件，大多数是由于攻击者的疏忽和贪心，以至于用户态的痕迹未能全部隐藏，比如，配置文件遗漏、特定目录遗漏、连接黑域名等痕迹，从而暴露恶意活动。不过，常规 Rootkit 检测方式也存在明显的局限性。比如，用户态痕迹 yara 规则检测或视图交叉对

37、比检测，攻击者可以用很低的成本绕过其检测。当前 Linux 内核态 Rootkit 的数量正在逐渐增多，Rootkit 攻击也呈现上升趋势，而长期以来业内缺乏对 Linux 内核态 Rootkit 的检测、取证、处置的有效手段。当安全分析师响应 Linux Rootkit 攻击事件时，一旦攻击者使用 Rootkit 技术针对性对抗取证调查，即使发现了主机异常，往往也是束手无策，最后无奈重装服务器。深瞻情报实验室与终端安全团队合作研发 LinuxAR（Linux AnitRootkit）系列引擎支持已知与未知的内核态 Rootkit检测，并且已经作为 MSS 服务的工具发布，能够支持 Rootk

38、it 取证与处置，实现导出内核内存数据，方便取证分析，处置常见的 Rootkit，恢复恶意隐藏行为，让安全分析师响应内核态 Rootkit 攻击事件时不会无从下手，从而快速应对，顺利完成事件取证调查。152023APT趋势洞察报告白宿主进程恶意代码执行该场景是基于传统白加黑(DLL 劫持)攻击场景的扩展，深瞻情报实验室在 2023 年度捕获的攻击样本中还发现了大量的白加黑 Lua 脚本劫持攻击，这两类白加黑攻击技术在攻击表现上极为相似，除此之外，进程注入场景也与白加黑场景存在一些共性。基于此，这两类场景被统一扩展为白宿主进程恶意代码执行场景，以更加准确和有效地分析白进程因被劫持或被注入进而被滥

39、用于恶意代码执行时的检出可能性。DLL劫持攻击DLL 劫持是一种常见的攻击技术，该技术长期活跃在各类攻击活动中，包括但不限于 APT、勒索以及黑灰产等。2023 年上半年，深瞻情报实验室捕获了针对国内高校的钓鱼攻击，该攻击活动通过 ISO 投递白加黑 DLL 劫持攻击组件。2023 年下半年，深瞻情报实验室还捕获到了 DLL 劫持与 BYOVD 攻击的组合利用案例，根据该案例中攻击链路可推测出该用户正常下载了某软件，随后该软件正常进行驱动安装，也体现 DLL 劫持在痕迹隐藏上的影响，下图展示了此案例的攻击日志。Lua脚本劫持攻击下图展示了 2023 年捕获样本中攻击者通过 Lua 脚本劫持白进

40、程的攻击案例，此技巧与 DLL 劫持攻击非常类似，但不会引入可疑 DLL 加载，在一定程度上更为隐蔽，此类技巧或成为攻击者更为青睐的白加黑技术。162023APT趋势洞察报告进程注入攻击白进程可以很好地掩盖攻击者的恶意行为，这也使得进程注入技术得到持续关注和发展。时至今日，无论是传统的远程线程注入技术还是近年来出现的进程镂空技术等，都已有了相应的检测方案，但进程注入的研究并未结束。Black Hat Europe 2023|Briefings Schedule 公开了一种全新的进程注入技术，通过在原语上执行创新绕过了主流 EDR的检测。但实际上，进程注入场景与白加黑非常类似，因此，深瞻情报实验

41、室将该场景与白加黑场景统一归纳到了白宿主进程恶意代码执行场景中进行统一分析，并在扩展场景的分析中发现了一些因分配原语和写入原语在内存方面、以及因执行原语在线程方面产生的共性异常等。172023APT趋势洞察报告供应链投毒攻击供应链投毒攻击是指黑客利用供应链中的软件、硬件或服务等环节，通过植入恶意代码或篡改产品，从而影响最终用户的安全的一种攻击手段。这种攻击方式具有隐蔽性强、影响范围广的特点，一旦成功，可能对整个产业链造成严重影响。面对供应链攻击，企业和个人都需要高度警惕。企业应加强对供应链各环节的监控和审查，确保产品的安全可控；个人在使用产品或服务时，也要留意官方渠道获取产品，谨慎使用开源部署

42、工具，避免使用来源不明的软件或设备。为了防范仿冒页面和运维类部署工具供应链攻击，运维人员需要时刻保持警惕，并采取一系列措施来确保系统的安全。防范仿冒页面攻击验证官方渠道：在获取运维类部署工具时，务必通过官方渠道下载，避免使用来源不明的第三方网站或链接。检查网址和证书：在访问运维工具的网站时，仔细核对网址，确保是正确的官方网站，并验证网站的SSL证书是否有效。谨慎对待邮件和链接：避免点击来历不明的邮件附件和链接，尤其是涉及到运维工具的下载和更新。防范供应链攻击验证软件来源：在部署新的运维工具或更新时，确保从官方可信赖的渠道获取软件，避免使用来路不明的软件包。签名验证：对于软件包和更新，验证数字签

43、名以确保其完整性和真实性，避免被篡改的恶意软件。安全审计：定期对运维工具和软件进行安全审计，及时发现潜在的安全隐患和恶意代码。供应商信任：与可信赖的供应商建立长期合作关系，了解其安全实践和供应链管理措施。182023APT趋势洞察报告2023 年，AI 狂飙了一整年，各家公司生成式 AI 大模型百花齐放，在当今技术先进的世界中，人工智能无疑已经彻底改变了各个行业。然而，每一次突破都会带来潜在的黑暗面。AI 在自动化、内容理解上的准确性、攻防知识的全面性等方面展现出来惊人的特性，使之能够成为攻击者得心应手的辅助武器，为高级攻击者提供了大量协助和效率提升，也让很多低级攻击手法的门槛再次降低。AI引

44、入的增强网络攻击AI增强的钓鱼攻击网络钓鱼攻击一直是数字领域内普遍存在的威胁。据预测，2023 年将有 3300 万条数据记录因网络钓鱼攻击而受损。尽管传统的网络钓鱼攻击主要依赖社会工程技术，通过欺骗个人来获取敏感信息，但随着人工智能的引入，网络犯罪分子在钓鱼恶意活动中获得了巨大的优势。通过利用机器学习算法，攻击者可以分析大量特定行业数据，制作出绕过传统安全措施的个性化和令人信服的消息。这些消息通常似乎来自值得信赖的来源，如银行或有信誉的组织，这使得它们比常规钓鱼邮件更具欺骗性。除此之外，利用人工智能驱动的自然语言生成（NLG）技术，网络犯罪分子能够创造出具有说服力和上下文相关性的内容，模拟人

45、类交流。与翻译软件生硬的内容翻译相比，NLG 生成的内容更贴近母语者交流的语气和方式，常常使得受害者放松警惕。NLG 的运用使得他们能够定制网络钓鱼电子邮件和消息，利用特定漏洞或当前事件，提高欺骗目标的成功几率。通过深度伪造，攻击者甚至能够制作出逼真的模拟个人或组织的音频和视频内容。这种操纵技术能够欺骗最为警觉的个体，造成信任破坏，从而大大提升网络钓鱼的成功率。先进的恶意软件和定向攻击AI 使黑客能够创建规避传统基于签名的检测系统的先进恶意软件。机器学习算法使黑客能够开发不断演变和适应对策的恶意软件。这些由人工智能生成的恶意软件变种甚至可以利用 0day 漏洞，并在长时间内不被察觉，对目标系统

46、和网络造成严重破坏。在定向攻击方面，AI 算法可以迅速识别并利用系统、软件和网络中的漏洞。黑客利用人工智能驱动的扫描工具自动识别弱点并发起有针对性的攻击。他们还可以利用人工智能驱动的利用方式，利用新出现的漏洞，始终领先于安全补丁和更新。这种动态的环境为那些努力防御这些经过人工智能增强的攻击的组织带来了重大挑战。192023APT趋势洞察报告攻击事件视角：无孔不入的APT202023APT趋势洞察报告高校科研行业定向钓鱼CNC组织针对某高新科技产业发起定向钓鱼2023 年 2 月至 4 月，一所国内高校的近百名教职工和学生遭到境外定向网络攻击，攻击旨在窃取情报。已确认多名教职工和学生的个人电脑被

47、植入窃密木马，并且多台主机的文件被窃取。攻击者使用了高度伪装的钓鱼邮件，其中至少有三种伪装程度极高的话术，包括“faculty-confirmation”、“论文校对”、“顶级会议 Co-chair 邀请”。受害者在运行攻击者提供的程序后，下载了后续阶段远控、反弹 shell、浏览器窃密、文件窃密、U 盘摆渡木马等恶意程序，最终目的是窃取并持续监控受害者机器上的文档文件。此次攻击中，攻击者疑似首先在暗网获取了大量受害者信息，包括基本信息、邮箱账户密码等，对受害者信息了如指掌。在获得受害者的邮箱权限后，攻击者监控到了能够编写定向钓鱼邮件的主题和内容，包含顶级会议邀请和论文校对等。因此，伪造的钓鱼

48、邮件十分逼真，引发大量点击。攻击者甚至伪装为与教授私交甚好的他国高校教授与受害者进行长达十几封的邮件往来，也没有被识破身份，极具迷惑性。后续的 U 盘摆渡木马也进一步扩散了恶意文件感染范围。212023APT趋势洞察报告2023 年 4 月 10 日，我们在国内某 APT 事件（非此次事件）响应中获得样本 imagedrvhost.exe，并在 VirusTotal 中发现了相关样本。通过对动态特性与历史样本的分析，判断样本属于 CNC 组织使用的样本，其还存在仿冒国内常用软件的特征。在 4 月 20 日根据前置事件样本分析中获得的 IoC 情报，在深信服云端进行全网狩猎，结果发现了该高校存在

49、与外联恶意IP 相关的流量。4 月 23 日，APT 研究员介入调查，并通过 APT 专用取证工具和数据分析平台，对学校内的主机进行了调查取证和分析。最终，在 5 月 5 日完成事件还原及处置加固以及事件完整调查报告。2022 年 12 月以来，南亚 APT 组织 CNC 一直在针对国内多个军工和科研相关单位开展攻击。该组织最早于 2019 年被发现，由于其使用的远控木马的 PDB 路径信息中包含了 cnc_client，因而将该组织命名为 CNC。该组织主要针对军工和教育行业进行攻击，曾在 2021 年 6 月中旬针对我国航空航天领域相的重点单位进行了集中攻击。虽然该组织疑似与南亚 APT

50、组织 PATCHWORK（白象）存在关联，但攻击手法和目标存在些许差异，疑似同一团队的不同行动小组。自 2023 年年初以来，我们监测到大量来自南亚地区的 APT 组织针对我国科研院所发起的定向窃密攻击。这些攻击主要集中于航空航天领域，已有数所国内的科研单位和高校遭受了攻击。邮箱账号密码疑似已在暗网流通教授 A.攻击者窃取内容，用作鱼叉钓鱼邮件的文案模拟论文校对鱼叉钓鱼攻击模拟会议邀请鱼叉钓鱼攻击学生 C(学生 B 室友)使用B 的 U 盘被摆渡木马攻击学生 B、论文作者收到钓鱼论文校对邮件，被植入恶意木马到主机及 U 盘教授 A、论文作者收到钓鱼论文校对邮件，未点击教授 D 收到钓鱼会议邀请