管中窥豹 | 2023年网络安全趋势与典型事件分析

全文共1626字，阅读大约需3分钟。

近日，绿盟科技发布了《2023年度安全事件观察报告》（以下简称《报告》），深入整理与分析了2023年处理的安全事件，并结合国内外重要安全事件分析2023年的安全态势。

本篇为《报告》解读系列的第二篇，将通过典型网络安全事件分析，探讨网络安全发展趋势，供广大企事业客户、安全运维人员应对漏洞威胁时参考。

01

挥之不去的幽灵

Java应用与ESXi成为勒索攻击热点

近年来，勒索攻击逐渐成为网络犯罪的一大分支，产业活跃度逐年攀升。2023年有害程序事件中，勒索软件相关事件占比达到43%，为有害程序事件占比最高类型，其次为木马程序和虚拟挖矿事件。

图 1 有害程序事件类型占比

在2023年5月，TellYouThePass勒索团伙再次发起大规模勒索攻击，绿盟科技CERT连续收到多个客户遭到加密后缀为.locked1的勒索攻击事件，攻击者利用国产办公软件高风险Nday漏洞作为初始入侵手段进行批量攻击，上传并注入内存Webshell进行连接，同时下载勒索加密程序并在内存中执行。

另一方面，随着VMware ESXi成为最流行的虚拟化平台之一，大量勒索团伙都开始发布针对ESXi平台的勒索加密程序，且各个勒索团伙使用的 ESXi 加密器往往还存在较高相似性。

一个明显趋势是，勒索团伙越来越多地使用Babuk源代码开发ESXi加密程序，自 2022年下半年以来，基于Babuk开发加密器的勒索家族至少有10余个，包括Play、Mario、Conti、REvil、Cylance、Dataf Locker、Rorschach等。绿盟科技CERT也在2023年勒索攻击事件中，捕获到了多个基于Babuk的ESXi加密样本变种。

2023年2月，绿盟科技针对ESXiArgs的大规模勒索软件攻击发出预警，此次攻击针对存在历史漏洞CVE-2021-21974的ESXi ，攻击者通过此漏洞可实现远程代码执行，虽然VMware官方在两年前就发布了相关漏洞补丁，但勒索团伙仍在几天内就攻陷了数百台 ESXi 服务器。

图2 绿盟科技CERT发布ESXiArgs攻击预警

02

K8S逐渐成为主流

云安全意识需提升

云计算一直是技术世界的变革力量，并且持续快速发展。截至2023年，Kubernetes项目的提交次数超过7万次。下图是Stackalytics统计的2023年Kubernetes项目提交次数排名前十的组织，可见Kubernetes目前受到了大型企业和个人开发者的广泛欢迎。由于集群Web控制台可访问和管理整个或者多个集群，其安全性至关重要。若控制台出现口令泄露或者权限失控，可能造成整个集群失控，导致信息泄露。

在2023年的攻防演练中，存在一起攻击者利用内网横向渗透的方式通过kuboard拿下多个集群的事件。经过排查发现，攻击者通过钓鱼投递木马的方式进入了内网，并在内网进行扫描后定位到了kuboard控制台地址。利用kuboard默认的用户名和密码，攻击者直接登录到了集群控制台，并获取了多个集群的访问控制权限，进而在这些集群的容器中植入了后门。

图3 攻击者入侵kuboard控制台进行命令执行

Kubenetes本身已经具备很多的安全措施，并且会定期进行安全审计。官方CVE的数据显示，整个2023年仅有8个CVE编号与Kubernetes相关，这表明Kubernetes在安全性方面取得了相当程度上的成功，漏洞导致集群失控的情况相对较少，而Kubenetes集群的安全风险主要存在于不完善的集群或者容器配置。

图4 2023年Kubenetes的相关CVE漏洞

03

安全意识成攻防演练永恒主题

权限维持另辟蹊径

对于攻击者而言，由于邮件钓鱼收效逐年减弱，进而选择了更为隐蔽的钓鱼手段，包括微信等社交软件钓鱼、招聘类软件钓鱼、内网通信软件钓鱼、内网邮箱钓鱼等，在躲避相关防护设备的同时，还结合挖掘的办公软件相关漏洞，利用信任关系，对内部人员进行精确钓鱼、二次或多次钓鱼。

攻防演练期间，绿盟科技CERT共监测到有效漏洞相较2022年增长近20%，其中0day及1day漏洞占比达到24%，主要集中于办公软件及安全产品。在国内攻防演练期间，办公软件漏洞主要为国产OA系统，以命令执行、文件上传、未授权访问等可获取权限或数据的高危漏洞为主，相较于2022年频发的网络边界防护类安全设备漏洞，终端安全防护产品逐步成为漏洞挖掘的重点关注对象，包括端点检测与响应（EDR）产品、桌面管理类软件等，攻击者利用此类软件漏洞可进行本地权限提升、定向精准钓鱼或批量植入后门等。

图5  演练期间漏洞类型分布

为了降低企业终端安全管理建设成本，部分安全厂商面向中小企业推出了SaaS架构的终端云安全产品，具备病毒防护、软件管理、补丁下发等终端管理常用功能，通过快速部署，可实现轻量化在线终端安全与运维管理。

此类产品大部分均集成了桌面控制、文件传输、命令执行等木马后门常用的远程控制功能，同时还具有命令行部署功能，可通过命令行参数进行静默安装，此外，由于是SaaS模式，部分安全厂商还对外提供了免费试用服务。

攻击者正是利用上述功能，首先注册为企业用户，申请试用并获取合法下载链接，然后通过钓鱼邮件、定向投递等方式，对目标参演单位主机进行远程控制，利用合法的安全软件作为掩护，逃过终端侧或流量层防护产品的检测。

点击“阅读原文”查看报告完整版