2、國(guó)產(chǎn)軟件成為APT攻擊新目標(biāo)
2024年,國(guó)產(chǎn)軟件漏洞首次被Project Zero收錄,這一變化折射出我國(guó)軟件生態(tài)在快速發(fā)展中面臨的安全威脅。例如,APT-C-60組織利用某國(guó)產(chǎn)辦公軟件的任意代碼執(zhí)行漏洞(CVE-2024-7262)開展高級(jí)滲透并竊取敏感數(shù)據(jù)。
3、供應(yīng)鏈攻擊成為新的軟肋
攻擊者通過(guò)第三方組件投毒進(jìn)行供應(yīng)鏈攻擊,滲透企業(yè)環(huán)境,污染鏈條極難追溯。如2024年,Lazarus組織利用Chrome瀏覽器JavaScript引擎V8中的兩個(gè)0day漏洞,對(duì)全球加密貨幣參與者和投資者發(fā)起惡意攻擊以謀取經(jīng)濟(jì)利益。
縱觀APT:“全流程作戰(zhàn)”的攻擊技術(shù)狂飆
APT組織的攻擊技巧不斷推陳出新、迭代升級(jí),涵蓋初始打點(diǎn)、執(zhí)行/持久化、防御規(guī)避、收集/竊取等多個(gè)階段。
初始打點(diǎn)階段,新型釣魚手法花樣頻出,開源軟件供應(yīng)鏈投毒頻發(fā),AI也加速了0day漏洞的利用。例如,海蓮花、Bitter等APT組織使用MSC文件對(duì)科研人員開展釣魚攻擊,可天然繞過(guò)傳統(tǒng)殺軟檢測(cè)。海蓮花組織則通過(guò)偽造GitHub安全工具,利用開發(fā)人員的信任對(duì)其實(shí)施定向攻擊。
執(zhí)行/持久化階段,Rootkit等內(nèi)核級(jí)對(duì)抗進(jìn)化升級(jí)。攻擊者逐步實(shí)現(xiàn)了對(duì)系統(tǒng)內(nèi)核的深度掌控。例如,2024年,SkidMap組織的Rootkit攻擊技術(shù)進(jìn)化,可持久化控制目標(biāo)系統(tǒng)且致盲傳統(tǒng)安全軟件;首個(gè)專門針對(duì)Linux系統(tǒng)的UEFI Bootkit(命名為Bootkitty)也首度現(xiàn)世。
防御規(guī)避階段,對(duì)抗EDR并致盲/關(guān)閉/卸載的事件和工具不斷曝光。攻擊者對(duì) EDR(端點(diǎn)檢測(cè)與響應(yīng))等安全軟件的關(guān)注度持續(xù)上升,涉及與安全軟件正面抗衡并成功關(guān)閉或禁用安全軟件的攻擊事件顯著增加。
收集/竊取階段,竊密組件迭代迅速。為了避免惡意軟件被一網(wǎng)打盡,APT組織的竊密組件通常與遠(yuǎn)控木馬分開投遞。如SideWinder組織在2024年對(duì)后滲透組件進(jìn)行了大規(guī)模更新,使用自研的“StealerBot”后滲透工具包,實(shí)施針對(duì)中東和非洲政府機(jī)關(guān)、關(guān)鍵基礎(chǔ)設(shè)施單位的攻擊活動(dòng),極大地增強(qiáng)了攻擊的隱蔽性和靈活性。
攻擊升維:生成式AI(GenAI)重塑APT攻防格局
生成式AI技術(shù)的迅速發(fā)展,極大地降低了APT攻擊的門檻,提升了攻擊的隱蔽性和成功率。攻擊者借助AI可以快速生成復(fù)雜攻擊鏈路、優(yōu)化payload制作、編寫免殺代碼,并通過(guò)深度偽造技術(shù)實(shí)施社會(huì)工程學(xué)攻擊。
例如,利用AI批量生產(chǎn)釣魚話術(shù),攻擊者向韓國(guó)某高校教授投遞的「學(xué)術(shù)會(huì)議邀請(qǐng)函」均由ChatGPT輸出,行文風(fēng)格、引用文獻(xiàn)與本人研究?jī)?nèi)容高度相似。Lazarus組織利用AI生成NFT坦克游戲頁(yè)面,吸引加密貨幣玩家,進(jìn)而竊取其私鑰。攻擊者利用AI工具快速分析,僅22分鐘就將新披露的0day漏洞轉(zhuǎn)化為攻擊工具,給防御方的窗口期大幅縮短。
在2025年,生成式AI的潛力和用途必將在攻防對(duì)抗中持續(xù)呈指數(shù)級(jí)增長(zhǎng)。AI本身作為工具,關(guān)鍵在于其被使用的方式和目的。確保防守方比攻擊方更有效地利用AI技術(shù),將成為未來(lái)網(wǎng)絡(luò)攻防中的關(guān)鍵。安全廠商需繼續(xù)謹(jǐn)慎應(yīng)對(duì)攻擊者利用AI工具加速進(jìn)行的各類攻擊,并將AI技術(shù)應(yīng)用于自身的業(yè)務(wù)與運(yùn)營(yíng)中,使其成為網(wǎng)絡(luò)安全防護(hù)的重要力量。
地緣視角:全球博弈擴(kuò)張加速APT攻擊演變
全球政治和經(jīng)濟(jì)形勢(shì)的變化正在加速APT威脅的演變。地緣政治博弈的緊張局勢(shì)催生了更多情報(bào)竊取型網(wǎng)絡(luò)攻擊,如Patchwork組織針對(duì)中國(guó)、巴基斯坦等國(guó)的科研機(jī)構(gòu),使用LNK文件和開源遠(yuǎn)控工具,竊取軍事相關(guān)的研究數(shù)據(jù)。
全球經(jīng)濟(jì)衰退和動(dòng)蕩則加劇了針對(duì)加密貨幣、敏感信息與科技情報(bào)的經(jīng)濟(jì)型攻擊活動(dòng)。2024年,東亞地區(qū)的黑客發(fā)動(dòng)了四十余次復(fù)雜的攻擊活動(dòng),從全球加密貨幣平臺(tái)盜走了價(jià)值13億美元的資產(chǎn),這一數(shù)字創(chuàng)下了年度新高。
這些現(xiàn)象昭示著,網(wǎng)絡(luò)黑產(chǎn)犯罪活動(dòng)與APT組織的技術(shù)界限逐漸模糊。據(jù)統(tǒng)計(jì),每三起網(wǎng)絡(luò)攻擊中就有一起是勒索軟件攻擊,且攻擊手法和技巧已與常規(guī)APT組織幾乎無(wú)異,然而許多企業(yè)和組織的安全建設(shè)仍難以應(yīng)對(duì)這種高水平的網(wǎng)絡(luò)攻擊威脅。APT攻擊的防御與溯源挑戰(zhàn)也從政府等關(guān)鍵行業(yè)延展到更多與經(jīng)濟(jì)、科技和民生發(fā)展相關(guān)的行業(yè)。
防御視角:構(gòu)建主動(dòng)防御“安全防線” 化危機(jī)為轉(zhuǎn)機(jī)
技術(shù)的進(jìn)步既為攻擊者提供了新的工具,也為防御者帶來(lái)了新的機(jī)遇。面對(duì)不斷演變的威脅,企業(yè)和組織需構(gòu)建“技術(shù)+管理+人員”的全面防御體系,同時(shí)充分利用AI技術(shù)來(lái)提升防御效能。
在用AI重塑安全的路上,深信服安全GPT直擊用戶最關(guān)心的「高威脅、高影響、高價(jià)值」場(chǎng)景,從依賴規(guī)則升級(jí)為基于攻擊意圖理解能力的威脅檢測(cè)模式,具備對(duì)未知攻擊的意圖理解、異常判定、混淆還原能力,在Web流量檢測(cè)和釣魚郵件檢測(cè)上效果都遠(yuǎn)超傳統(tǒng)方案。
?通過(guò)3000萬(wàn)黑樣本與2000萬(wàn)白樣本的混合樣本測(cè)試驗(yàn)證,對(duì)比傳統(tǒng)引擎,安全GPT針對(duì)Web流量的威脅檢出率從45.6%提升至95.7%,誤報(bào)率從21.4%下降到4.3%。在3萬(wàn)高對(duì)抗釣魚樣本測(cè)試中,安全GPT檢出率達(dá)到94.8%,誤報(bào)率小于0.1%,檢測(cè)準(zhǔn)確率是傳統(tǒng)防釣魚類產(chǎn)品的4倍+。
未來(lái),伴隨AI等技術(shù)的發(fā)展,網(wǎng)絡(luò)戰(zhàn)場(chǎng)的攻防對(duì)抗將更為激烈。防御方只有不斷提升主動(dòng)防御能力,筑牢數(shù)字時(shí)代的“安全防線”,方能化危機(jī)為轉(zhuǎn)機(jī),維護(hù)網(wǎng)絡(luò)空間的安全與穩(wěn)定。
前往【深信服科技】公眾號(hào)或官網(wǎng),可下載報(bào)告完整版。