自全球进入数字化转型阶段以来,数字驱动经济增长,机遇与风险并存,数字化转型带来的以数据为核心的威胁态势不断升级。窃密木马以其极高的隐蔽性、成熟的商业化模式以及巨大的数据价值等特点,不断寻求更复杂的技术手段、更具针对性的定制攻击,已发展为危害网络数据资产的主要威胁之一。新华三聆风实验室持续跟踪数据窃密等网络攻击活动,基于对全网窃密木马攻击活动的监测、分析与处置,结合国内外有关窃密木马的研究报告进行综合研判、梳理汇总为——2022年度窃密木马攻击态势报告。
PART ONE
窃密木马攻击事件频发
影响范围不断扩大
01
2022年度大事件
从攻击事件上来看,2022年窃密木马攻击事件频频发生,攻击方式多种多样,受害者遍布全球各地,影响范围十分广泛。
02
窃密木马活跃家族TOP10
从活跃家族上来看,2022年窃密木马发展迅速。本年度,全球范围内流行的窃密木马超过60种,相比2021年增加了十余个新型窃密木马家族。以RedLine、AgentTesla、FormBook为代表的商业窃密木马最为活跃,因其窃取数据类型多、操作便捷、售价低而被广泛传播。
03
全球受害者地域分布
从全球影响上来看,北美洲、欧洲和亚洲是窃密木马受害者的“重灾区”,其他地区也受到不同程度的影响。其中,北美地区受到的窃密木马攻击最为严重,美国以受害者数量占比33.47%占据全球首位,加拿大以占比12.02%排在第二。欧洲区域的受害者主要集中在法国、捷克、德国和西班牙等地区,亚洲区域以中国和韩国较为严重。总体而言,全球范围内互联网和经济发达地区的受害程度普遍较高,正是由于这些地区数据资产价值更高,网络用户基数更大,窃密木马更加有利可图。
PART TWO
窃密攻击技术不断升级
数据失窃风险加剧
01
入侵传播方式
2022年窃密木马最常用的入侵方式分别为网络钓鱼、破解/激活软件以及远程代码执行漏洞,这些方式由于效果较好而被广泛使用,其中网络钓鱼占比高达46.15%。此外,攻击者还会尝试利用更加高级的攻击手段,如供应链攻击方式投放恶意载荷。
02
检测规避手段
窃密木马常用的检测规避手段中,技术成熟、成本低廉的加壳/混淆技术使用频次占据榜首,占比为28.30%,同时2022年流行的窃密木马中超过七成的家族使用了加壳/混淆技术,可见,加壳/混淆仍是最常用规避手段。此外,单一的规避手段所能起到的作用总是有限的,因此,窃密木马往往会通过多重规避手段持续叠加以达到最好的检测规避效果。统计表明,近五成的窃密家族均使用3种及以上的规避手段。
03
窃取数据类型
在不断演化升级中, 窃密木马衍生出众多窃取特定目标数据类型的木马种类。考虑到敏感数据的变现价值和影响范围,攻击者在对窃取数据目标的选择上具有一定程度的倾向性。2022年,网络浏览器数据是窃密攻击首选目标,作为主要的互联网入口始终存在海量使用需求,其中隐含的数据价值一直倍受窃密木马攻击者觊觎。从数据变现上来看,变现更快的加密货币钱包更受“青睐”。加密货币因其交易便利、不受管制、匿名化等特点,使攻击者能够直接获得巨额利益的归属权,是本年度窃密攻击的主要目标。
PART THREE
总结
窃密木马行业发展迅速,商业化模式愈加成熟
面对日益严峻的网络空间安全威胁,以及网络攻击产业化、生态化的趋势,各组织机构、企业乃至个体,应需了解自身网络安全脆弱点,充分把握当前网络威胁格局,专注构建主动安全防御体系,在网络空间各方威胁势力并起的大潮中防患于未然。
完整报告下载链接:
https://www.h3c.com/cn/d_202303/1802612_30003_0.htm
原文始发于微信公众号(安全牛):2022年度窃密木马攻击态势研究
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论