2、國產(chǎn)軟件成為APT攻擊新目標
2024年,國產(chǎn)軟件漏洞首次被Project Zero收錄,這一變化折射出我國軟件生態(tài)在快速發(fā)展中面臨的安全威脅。例如,APT-C-60組織利用某國產(chǎn)辦公軟件的任意代碼執(zhí)行漏洞(CVE-2024-7262)開展高級滲透并竊取敏感數(shù)據(jù)。
3、供應(yīng)鏈攻擊成為新的軟肋
攻擊者通過第三方組件投毒進行供應(yīng)鏈攻擊,滲透企業(yè)環(huán)境,污染鏈條極難追溯。如2024年,Lazarus組織利用Chrome瀏覽器JavaScript引擎V8中的兩個0day漏洞,對全球加密貨幣參與者和投資者發(fā)起惡意攻擊以謀取經(jīng)濟利益。
縱觀APT:“全流程作戰(zhàn)”的攻擊技術(shù)狂飆
APT組織的攻擊技巧不斷推陳出新、迭代升級,涵蓋初始打點、執(zhí)行/持久化、防御規(guī)避、收集/竊取等多個階段。
初始打點階段,新型釣魚手法花樣頻出,開源軟件供應(yīng)鏈投毒頻發(fā),AI也加速了0day漏洞的利用。例如,海蓮花、Bitter等APT組織使用MSC文件對科研人員開展釣魚攻擊,可天然繞過傳統(tǒng)殺軟檢測。海蓮花組織則通過偽造GitHub安全工具,利用開發(fā)人員的信任對其實施定向攻擊。
執(zhí)行/持久化階段,Rootkit等內(nèi)核級對抗進化升級。攻擊者逐步實現(xiàn)了對系統(tǒng)內(nèi)核的深度掌控。例如,2024年,SkidMap組織的Rootkit攻擊技術(shù)進化,可持久化控制目標系統(tǒng)且致盲傳統(tǒng)安全軟件;首個專門針對Linux系統(tǒng)的UEFI Bootkit(命名為Bootkitty)也首度現(xiàn)世。
防御規(guī)避階段,對抗EDR并致盲/關(guān)閉/卸載的事件和工具不斷曝光。攻擊者對 EDR(端點檢測與響應(yīng))等安全軟件的關(guān)注度持續(xù)上升,涉及與安全軟件正面抗衡并成功關(guān)閉或禁用安全軟件的攻擊事件顯著增加。
收集/竊取階段,竊密組件迭代迅速。為了避免惡意軟件被一網(wǎng)打盡,APT組織的竊密組件通常與遠控木馬分開投遞。如SideWinder組織在2024年對后滲透組件進行了大規(guī)模更新,使用自研的“StealerBot”后滲透工具包,實施針對中東和非洲政府機關(guān)、關(guān)鍵基礎(chǔ)設(shè)施單位的攻擊活動,極大地增強了攻擊的隱蔽性和靈活性。
攻擊升維:生成式AI(GenAI)重塑APT攻防格局
生成式AI技術(shù)的迅速發(fā)展,極大地降低了APT攻擊的門檻,提升了攻擊的隱蔽性和成功率。攻擊者借助AI可以快速生成復(fù)雜攻擊鏈路、優(yōu)化payload制作、編寫免殺代碼,并通過深度偽造技術(shù)實施社會工程學(xué)攻擊。
例如,利用AI批量生產(chǎn)釣魚話術(shù),攻擊者向韓國某高校教授投遞的「學(xué)術(shù)會議邀請函」均由ChatGPT輸出,行文風格、引用文獻與本人研究內(nèi)容高度相似。Lazarus組織利用AI生成NFT坦克游戲頁面,吸引加密貨幣玩家,進而竊取其私鑰。攻擊者利用AI工具快速分析,僅22分鐘就將新披露的0day漏洞轉(zhuǎn)化為攻擊工具,給防御方的窗口期大幅縮短。
在2025年,生成式AI的潛力和用途必將在攻防對抗中持續(xù)呈指數(shù)級增長。AI本身作為工具,關(guān)鍵在于其被使用的方式和目的。確保防守方比攻擊方更有效地利用AI技術(shù),將成為未來網(wǎng)絡(luò)攻防中的關(guān)鍵。安全廠商需繼續(xù)謹慎應(yīng)對攻擊者利用AI工具加速進行的各類攻擊,并將AI技術(shù)應(yīng)用于自身的業(yè)務(wù)與運營中,使其成為網(wǎng)絡(luò)安全防護的重要力量。
地緣視角:全球博弈擴張加速APT攻擊演變
全球政治和經(jīng)濟形勢的變化正在加速APT威脅的演變。地緣政治博弈的緊張局勢催生了更多情報竊取型網(wǎng)絡(luò)攻擊,如Patchwork組織針對中國、巴基斯坦等國的科研機構(gòu),使用LNK文件和開源遠控工具,竊取軍事相關(guān)的研究數(shù)據(jù)。
全球經(jīng)濟衰退和動蕩則加劇了針對加密貨幣、敏感信息與科技情報的經(jīng)濟型攻擊活動。2024年,東亞地區(qū)的黑客發(fā)動了四十余次復(fù)雜的攻擊活動,從全球加密貨幣平臺盜走了價值13億美元的資產(chǎn),這一數(shù)字創(chuàng)下了年度新高。
這些現(xiàn)象昭示著,網(wǎng)絡(luò)黑產(chǎn)犯罪活動與APT組織的技術(shù)界限逐漸模糊。據(jù)統(tǒng)計,每三起網(wǎng)絡(luò)攻擊中就有一起是勒索軟件攻擊,且攻擊手法和技巧已與常規(guī)APT組織幾乎無異,然而許多企業(yè)和組織的安全建設(shè)仍難以應(yīng)對這種高水平的網(wǎng)絡(luò)攻擊威脅。APT攻擊的防御與溯源挑戰(zhàn)也從政府等關(guān)鍵行業(yè)延展到更多與經(jīng)濟、科技和民生發(fā)展相關(guān)的行業(yè)。
防御視角:構(gòu)建主動防御“安全防線” 化危機為轉(zhuǎn)機
技術(shù)的進步既為攻擊者提供了新的工具,也為防御者帶來了新的機遇。面對不斷演變的威脅,企業(yè)和組織需構(gòu)建“技術(shù)+管理+人員”的全面防御體系,同時充分利用AI技術(shù)來提升防御效能。
在用AI重塑安全的路上,深信服安全GPT直擊用戶最關(guān)心的「高威脅、高影響、高價值」場景,從依賴規(guī)則升級為基于攻擊意圖理解能力的威脅檢測模式,具備對未知攻擊的意圖理解、異常判定、混淆還原能力,在Web流量檢測和釣魚郵件檢測上效果都遠超傳統(tǒng)方案。
?通過3000萬黑樣本與2000萬白樣本的混合樣本測試驗證,對比傳統(tǒng)引擎,安全GPT針對Web流量的威脅檢出率從45.6%提升至95.7%,誤報率從21.4%下降到4.3%。在3萬高對抗釣魚樣本測試中,安全GPT檢出率達到94.8%,誤報率小于0.1%,檢測準確率是傳統(tǒng)防釣魚類產(chǎn)品的4倍+。
未來,伴隨AI等技術(shù)的發(fā)展,網(wǎng)絡(luò)戰(zhàn)場的攻防對抗將更為激烈。防御方只有不斷提升主動防御能力,筑牢數(shù)字時代的“安全防線”,方能化危機為轉(zhuǎn)機,維護網(wǎng)絡(luò)空間的安全與穩(wěn)定。
前往【深信服科技】公眾號或官網(wǎng),可下載報告完整版。