Trellix 简介视频o

Trellix 简介

如同满怀抱负的天文学家是时候购买人生中的第一台望远镜一样,Trellix 整装待发,扬帆起航。

XDR 解决方案简介

XDR 解决方案简介

了解不断适应的 XDR 生态系统如何为您的企业赋能。

终端保护平台 Gartner Magic Quadrant

Gartner MQ(终端))

下载 Magic Quadrant 报告,该报告根据执行能力和愿景完成情况,对 19 家供应商进行了评估。

Gartner 市场指南 (XDR)

Gartner® 报告:XDR 市场指南

Gartner 报告称,“XDR 是一种新兴技术,可以提供增强的威胁防护、检测和响应。”

Log4J 和内存 - 新闻

2022 年威胁预测

企业在 2022 年应警惕哪些网络安全威胁?

Log4J 和内存 - 新闻

Log4J 和知晓太多的内存

网络安全行业绝不是一潭死水,而是危机不断,现在便是接受这一全新安全防护理念,将其转化为自身优势,为企业赋能的最佳时机。

McAfee Enterprise 和 FireEye 合并为 Trellix

McAfee Enterprise 和 FireEye 合并为 Trellix

网络安全领域备受信赖的两大领导者携手打造弹性化的数字世界。

Trellix 首席执行官

Trellix 自适应动态安全防护平台的首席执行官

Trellix 首席执行官 Bryan Palma 解释称,现在亟需能够不断学习的安全防护。

Trellix Advanced Threat Research 报告:2022 年 1 月

对 Log4j、2021 年第 3 季度勒索软件、APT 以及主要行业攻击目标的分析

在新公司的第一份威胁报告中,我们发现 Log4j 问题不仅占据了各大头条,也成为了防御者和企业安全团队关注的焦点。


我们的首席科学家致大家的一封信

欢迎关注我们的新威胁报告和新公司。

在展望新的一年时,我们不得不承认在威胁领域,2021 年年底出现的极具挑战性的情况让我们所有人都筋疲力尽。在新公司的第一份威胁报告中,我们发现这个问题不仅占据了各大头条,也成为了防御者和企业安全团队关注的焦点。我们还回顾了 2021 年第 3 季度和第 4 季度的威胁情况,但我们首先要详细介绍可帮助您抵御 Log4j 威胁的丰富资源。

从根本上说,随着 Log4j 威胁的更多细节显露,有必要查阅我们的研究和更新的资源以获取帮助。除了产品状态之外,我们还会持续监控利用这个漏洞的任何活跃攻击活动,并详细说明新有效负载的覆盖状态。

Log4j 漏洞的细节显露后,我们很快做出了响应,提供了基于网络的特征码并记录了该漏洞。我们快速跟踪了本报告中详述的其他资产。

要了解有关当前 Log4j 威胁活动以及其他流行威胁的更多信息,请参阅我们宝贵的威胁信息显示板

另外,还请查阅我们的 Trellix 威胁实验室博客,其中包含最新的威胁内容、视频和指向安全公告的链接。

当然,Log4j 并不是危害您企业安全的唯一威胁。本报告还重点介绍了勒索软件的潜在不良影响和造成的损害,以及观察到的其他普遍流行的威胁和攻击。

祝大家 2022 新年快乐,欢迎关注我们的新公司。


Log4j:知晓太多的内存

Log4j 是一个影响广泛使用的 Log4j 库的新漏洞,它刚好赶在假期发布,这似乎已成为一种威胁传统。针对堪称几十年来最严重的网络安全缺陷,Trellix 和网络安全行业在 2021 年第 4 季度采取了行动。Log4j 漏洞可能会对将 Log4j 库集成到其应用程序和网站的所有产品造成巨大影响,包括 Apple iCloud、Steam、Samsung Cloud 存储等提供的产品和服务。

自从发现 Log4j 以来,我们的团队一直在对其进行密切跟踪。我们为使用 Network Security Platform (NSP) 的客户发布了一个网络特征码 KB95088。此特征码可以检测通过 LDAP 利用 CVE-2021-44228 的企图,还可进行扩展以包含其他协议或服务;后续可能会发布其他特征码以补充覆盖范围。

Log4j 时间表

以下是 Log4j 以及我们研究的简单时间表:

  • 12 月 9 日 – Twitter 上发布了 Log4j 漏洞 (CVE-2021-44228),同时 GitHub 上也提供了关于该 Apache Log4j 日志库漏洞的概念证明。该漏洞最初于 11 月 24 日向 Apache 披露。
  • 12 月 10 日 – Steve Povolny 和 Douglas McKee 发布了一篇 Log4j 博文,其中概述了我们近期的调查结果。我们最初的目标是使用公开的概念证明来确定漏洞利用的难易程度,并已成功复现和确认。我们使用了公共 Docker 容器、一个利用 LDAP 和 RMI 的客户端-服务器架构,以及 marshalsec,在 Log4j 版本 2.14.1 上完成了对漏洞的利用。
  • 12 月 14 日 – Twitter 上发布了 Log4j 漏洞 (CVE-2021-44228),同时 GitHub 上也提供了关于该 Apache Log4j 日志库漏洞的概念证明。该漏洞最初于 11 月 24 日向 Apache 披露。
  • 12 月 18 日 – 一个新的拒绝服务 (DoS) 漏洞 CVE-2021-45105 被发现,影响的 Log4j 版本为 2.0-alpha1 到 2.16.0。

请参阅我们的威胁实验室博客威胁信息显示板,了解有关防御 Log4j 的最新研究。在发布报告之前,我们的团队收集并分析了来自多个公开来源和非公开来源的信息。

Log4j 攻击

我们的团队快速研究并概述了执行基于 Web 的常见 Log4j 攻击的流程:

Log4j 执行流程

Flowchart showing Log4j Flow of execution.
  • 步骤 1 – 攻击者将一个特制字符串发送给网站服务器,该服务器托管着易受攻击的应用程序。正如我们所见,这个字符串可以进行混淆处理,进而绕过基于网络的特征码。
  • 步骤 2 – 应用程序对该字符串进行去混淆处理以将其加载到内存中。一旦加载到内存中,应用程序就会启动 LDAP 连接以请求恶意类位置的地址。
  • 步骤 3 – 攻击者控制的 LDAP 服务器会响应恶意类文件的位置,指出该文件所在位置的 HTTP URL 地址。
  • 步骤 4 – 易受攻击的应用程序将启动恶意类文件的下载。
  • 步骤 5 – 易受攻击的应用程序将加载并运行步骤 4 下载的恶意类文件。

Trellix ATR Log4j 防御

要保护环境免受诸如 Log4j 等攻击的侵害,防御者可以使用一种分层的策略,将网络安全防护和有针对性的端点内存扫描结合起来,从而有效地检测和阻止以通过网络向量暴露的易受攻击系统为目标的攻击执行流程。我们的 ENS 专家规则和自定义扫描响应机制旨在为防御者提供此类功能,以便他们可以针对这些新出现的威胁采用精准的对策。

CISA.gov 还提供了一个 Log4j 扫描程序,帮助组织识别受 Log4j 漏洞影响的潜在易受攻击的 Web 服务。


勒索软件

2021 年第 3 季度,众所瞩目的勒索软件组织销声匿迹,之后又卷土重来,改头换面,甚至尝试重塑品牌,同时作为针对越来越多行业的可能具有破坏性的常见威胁,它们仍然具有相关性和流行性。

尽管在 2021 年第 2 季度,勒索软件活动在众多网络犯罪论坛上遭到谴责和禁止,但我们的团队仍在几个论坛上观察到同一威胁攻击者使用替代角色进行此类活动。

Trellix 为勒索软件组织逮捕和赎金查获活动提供协助

2021 年 12 月,Trellix 提供的研究协助了美国联邦调查局和欧洲刑警组织逮捕 REvil 附属公司涉案人员并查获 200 万美元的赎金。

2021 年第 3 季度值得注意的勒索软件趋势和攻击活动包括:

  • BlackMatter – 此勒索软件威胁于 2021 年 7 月底被发现,该威胁从一组强大的攻击开始,威胁要泄露美国农业供应链公司 New Cooperative 的专有业务数据。New Cooperative 报告称,供应链管理功能和动物饲养计划已被锁定,估计美国 40% 的粮食生产可能会受到负面影响。尽管 BlackMatter 声称利用了其他恶意软件的精华之处,例如 GandCrab、LockBit 和 DarkSide,但我们严重怀疑这场攻击活动是由一群新的开发人员发起的。BlackMatter 恶意软件和与 Colonial Pipeline 攻击相关的 DarkSide 恶意软件之间有太多相似之处。
  • 我们认为 Groove 团伙与 Babuk 团伙之间存在一定关联,前者可能是后者的前附属组织或者子团体。
  • REvil/Sodinokibi 声称,通过对托管服务软件提供商 Kaseya VSA 进行勒索软件攻击,其已成功感染了超过 100 万用户。REvil 所报告的 7000 万美元赎金要求是迄今为止公开的最大赎金数额。此攻击所造成的影响是,数百家超市商店被迫暂停营业数日。
  • LockBit 2.0 于 2021 年 7 月发现,其数据泄露网站上最终列出了 200 多个受害者。

政府对勒索软件威胁的响应

在第 3 季度,美国政府发起了一项前瞻性活动,通过推出 StopRansomware.gov 中心,并提供高达 1000 万美元的奖励,用于识别或查找参与了侵害美国关键基础设施的国家赞助威胁攻击者,以此减少勒索软件流行情况。

有关这些勒索软件和新攻击活动如何在未来几个月威胁企业的更多信息,请参阅 Trellix 2022 年威胁预测

Trellix 勒索软件研究

为帮助企业进一步了解和防御威胁领域中的勒索软件攻击,我们的团队提供了对各种勒索软件威胁流行情况的研究和调查结果,包括系列、技术、国家/地区、行业和媒介。

勒索软件系列检测

Sodinokibi
DarkSide
Egregor
Cuba
Ryuk
Conti
Lockbit
Maze
Phobos
RagnarLocker

Sodinokibi (41%) 是 2021 年第 3 季度检测到的最流行勒索软件系列,其次是 DarkSide (14%) 和 Egregor (13%)。

跳转到勒索软件客户所在国家/地区、客户所处行业和 MITRE ATT&CK 技术。

攻击模式技术

我们的团队跟踪和监控了 APT 攻击活动及其相关指标和技术。我们的团队研究反映了 2021 年第 3 季度以来 APT 威胁攻击者、工具、客户所在国家/地区、客户所处行业以及 MITRE ATT&CK 技术的相关情况。

APT 威胁攻击者

APT41
APT29
TA505
UNC2452
MuddyWater
Garmaredon Group
APT34
Bronze Butler
Winnti Group
Mustang Panda

APT41 (24%) 和 APT29 (22%) 是 2021 年第 3 季度最流行的 APT 威胁攻击者,这两者的比重占监测到的 APT 活动的将近一半。

APT 工具

我们的团队确定了跟踪的与以下工具相关的 APT 攻击活动的危害指标。APT 组织因使用通用系统实用工具来绕过安全控制并执行其操作而闻名:

Cobalt Strike
Mimikatz
Net.exe
PsExec
ipconfig
Systeminfo
Tasklist
PlugX
China Chopper
Living off the Land
njRAT

Cobalt Strike (34%) 是 2021 年第 3 季度检测到的最流行的 APT 工具,其次是 Mimikatz (27%)、Net.exe (26%) 和 PsExec (20%)。我们检测到,由遭到国家攻击者滥用的 Cobalt Strike 攻击套件发起的攻击活动占 APT 活动的 1/3。

跳转到 APT 客户所在国家/地区、客户所处行业和 MITRE ATT&CK 技术。

Advanced Threat Research

我们的团队在 2021 年第 3 季度跟踪研究了威胁类别。该研究反映了在使用的 ATR 恶意软件类型、客户所在国家/地区、客户所处行业以及攻击和行业部门中使用的 MITRE ATT&CK 技术方面的检测百分比。

ATR 工具威胁

Sodinokibi
DarkSide
Egregor
Cuba
Ryuk
Conti
Lockbit
Maze
Phobos
RagnarLocker

Formbook (36%)、Remcos RAT (24%) 和 LokiBot (19%) 占 2021 年第 3 季度检测到的 ATR 工具威胁的近 80%。

跳转到 ATR 客户所在国家/地区、客户所处行业和 MITRE ATT&CK 技术。


对各国家/地区、各大洲和各行业的威胁以及威胁媒介

国家/地区和大洲:2021 年第 3 季度

2021 年第 3 季度公开报告的威胁事件显著增加的国家/地区和大洲包括:

  • 在各大洲中,北美洲记录的威胁事件最多,但其数量从 2021 年第 2 季度到第 3 季度下降了 12%。
  • 美国在 2021 年第 3 季度报告的威胁事件最多,但与 2021 年第 2 季度相比,威胁事件减少了 9%。
  • 法国在 2021 年第 3 季度报告的威胁事件增幅最高 (400%)。
  • 与 2021 年第 2 季度相比,俄罗斯在 2021 年第 3 季度报告的威胁事件减幅最大 (-79%)。

攻击行业:2021 年第 3 季度

2021 年第 3 季度公开报告的威胁事件显著增加的行业包括:

  • 多个行业 (28%) 最常成为攻击目标,其次是医疗保健 (17%) 和公共行业 (15%)。
  • 从 2021 年第 2 季度到第 3 季度,威胁事件显著增加的行业包括金融/保险 (21%) 和医疗保健 (7%)。

攻击媒介:2021 年第 3 季度

2021 年第 3 季度公开报告的威胁事件显著增加的媒介包括:

  • 在 2021 年第 3 季度报告的威胁事件中,恶意软件是最常使用的技术,但与 2021 年第 2 季度相比,报告的恶意软件威胁事件减少了 24%。
  • 从 2021 年第 2 季度到第 3 季度,报告的威胁事件显著增加的媒介包括分布式拒绝服务攻击 (112%) 以及有针对性攻击 (55%)。

离地攻击技术

网络犯罪分子使用离地攻击 (LotL) 技术,通过使用系统中的合法软件和功能在该系统上执行恶意操作。根据第 3 季度报告的事件,Trellix 已经确定了试图隐匿痕迹的攻击者所使用的工具趋势。尽管国家赞助的威胁组织和大型犯罪威胁组织拥有内部开发工具的资源,但许多组织可能转向使用已存在于目标系统上的二进制文件和管理人员安装的软件来执行不同阶段的攻击。

为了在侦测阶段识别原生文件或管理人员使用的软件以找准明显的目标,攻击者可能会从职位发布、供应商宣传的客户评价或内部同谋中收集有关所使用技术的信息。

原生操作系统二进制文件 注释

PowerShell (41.53%)

T1059.001

PowerShell 通常用于执行脚本和 PowerShell 命令。

Windows Command Shell (CMD) (40.40%)

T1059.003

Windows Command Shell 是 Windows 的主要 CLI 实用工具,通常用于在交换数据流中执行文件和命令。

Rundll32 (16.96%)

T1218.011, T1564.004

Rundll32 可用于执行本地 DLL 文件、来自共享的 DLL 文件,以及从互联网和交换数据流获取的 DLL 文件。

WMIC (12.87%)

T1218, 1564.004

WMIC 是 WMI 的命令行界面,攻击者可以使用它在本地、交换数据流中或远程系统上执行命令或 vpayload。

Excel (12.30%)

T1105

虽然没有以原生方式安装,但许多系统都包含电子表格软件,攻击者可能会向用户发送包含恶意代码或脚本的附件,执行这些恶意代码或脚本后,他们便可从远程位置检索有效负载。

Schtasks (11.70%)

T1053.005

攻击者可能会计划可维护持续性的任务、执行其他恶意软件或执行自动化任务。

Regsvr32 (10.53%)

T1218.010

攻击者可能会使用 Regsvr32 注册 DLL 文件、执行恶意代码并绕过应用程序白名单。

MSHTA (8.78%)

T1218.005

攻击者可能会使用 MSHTA 来执行 JavaScript、JScript 和 VBScript 文件,这些文件可能隐藏在本地 HTA 文件和交换数据流中,也可以从远程位置检索。

Certutil (4.68%)

T1105, 1564.004, T1027

该 Windows 命令实用工具用于获取证书颁发机构信息并配置证书服务。或者,攻击者可以使用 certutil 来收集远程工具和内容、编码和解码文件以及访问交换数据流。

Net.exe (4.68%)

T1087 和子技术

利用该 Windows 命令行实用工具,攻击者可以执行侦测任务,例如识别受害者计算机的用户、网络和服务功能。

Reg.exe (4.10%)

1003.002, 1564.004

攻击者可能会使用 Reg.exe 添加、修改、删除和导出注册表值,这些值可以保存到交换数据流中。此外,reg.exe 还可用于转储 SAM 文件中的凭据。

管理工具 注释

远程服务 (15.21%)

T1021.001, T1021.004, T1021.005

AnyDesk
ConnectWise Control
RDP
UltraVNC
PuTTY
WinSCP

攻击者可能会使用 Windows 和第三方软件原生的远程服务工具以及有效帐户来远程访问计算机或基础设施,执行工具和恶意软件的入口传输并泄露数据。

存档实用工具 (4.68%)

T1560.001

7-Zip
WinRAR
WinZip

攻击者可能会使用存档实用工具来压缩收集的准备要泄露的数据,以及解压缩文件和可执行文件。

PsExec (4.68%)

T1569.002

PsExec 是一种用于在远程系统上执行命令和程序的工具。

BITSAdmin (2.93%)

T1105, T1218, T1564.004

BiTSAdmin 通常用来维护持久性、清理工件,以及在满足设置的条件后调用其他操作。

fodhelper.exe (1.17%)

T1548.002

Fodhelper.exe 是一个 Windows 实用工具,攻击者可能会使用该实用工具在受害者计算机上通过提升的权限运行恶意文件。

ADFind (.59%)

T1016、T1018、T1069 和子技术、T1087 和子技术、T1482

攻击者可能会使用该命令行实用工具来发现 Active Directory 信息,例如域信任、权限组、远程系统和配置。


错误报告

挡风玻璃上的飞虫

(首席工程师兼高级安全研究员 Douglas McKee 和其他博主在每月的错误报告中对漏洞进行了跟踪和分析。)

当全世界在 2021 年底试图以 100 英里/每小时的速度奋力前进时,我们广为人知的挡风玻璃上溅到了许多“飞虫”。有些很容易清除,有些则留下了无法磨灭的痕迹。我们的团队每月都会跟踪和评估新漏洞,即错误,并报告我们“认为”将是最重要的内容。没错,不是 CVSS 分数,也不是 OWASP 排名,而是基于多年经验的老式直觉检查。

反思时刻

回顾我们过去几个月报告的一些主要错误,有几个错误非常突出。Apache 度过了艰难的一年,其 Web 服务器 (CVE-2021-41773) 和 Log4j 组件 (CVE-2021-44228) 都遭受了重大错误的严重打击。Palo Alto 在其 GlobalProtect VPN 中发现的错误 (CVE-2021-3064) 也值得一提,该错误在全球疫情期间造成了独特的影响。我们再切合实际一点。Apache Log4j 漏洞的评级不应当只是“影响深远”,因为它是 2021 年出现的迄今为止最大的漏洞,并且有可能在未来几年内继续捍卫其这一头衔。如果您不闻世事,还未听说过这些漏洞,强烈建议您阅读一下我们的 12 月份错误报告。敬请每月关注最新和最重要的漏洞新闻。

那么,是什么让这些错误变得如此糟糕?简而言之,这些错误可以遭到远程利用,而不会对位于网络边缘的工具进行身份验证。这些错误可以成为网络的初始入口点,而不需要攻击者“钓鱼”,相反,它们可能成为更大规模攻击的网关。

如果您的首席信息安全官喜欢玩俄罗斯轮盘赌,并表示您只能修补一个产品,我们建议您优先考虑修复 Log4j 漏洞,因为它易于执行,而且已遭到恶意攻击者的积极利用。尽管 Palo Alto VPN 漏洞很严重,而且从 2020 年以来对 VPN 的利用有所增加,但与 Log4j 和其他 Apache 漏洞相比,该漏洞处于次要地位,因为它影响的是较旧版本的 VPN 软件,并且尚未看到它在各种环境中遭到积极利用。

白蚁

诸如白蚁之类的一些虫子可以从裂缝中溜走,但会产生毁灭性的影响。

标记为 CVE-2021-41379 的 Microsoft Windows Installer Service 本地权限升级错误就是 11 月众所周知的白蚁。Microsoft 将该漏洞披露为需要本地访问权限,并声称通过官方补丁修复了该漏洞,但当补丁没有按预期工作时,该策略就会适得其反。

正如洞察报告中所示,由于补丁失败以及公开可用的概念证明,不法分子已迫不及待地将其编译到其操作手册中。使问题更加复杂的是,我们的团队已经看到该漏洞的武器化版本在暗网上出售。


2021 年第 3 季度其他数据和研究

勒索软件客户所在国家/地区

美国
土耳其
德国
以色列
瑞士
墨西哥
英国
南非
比利时
印度

位于美国的客户占 2021 年第 3 季度勒索软件检测总数的 1/3 以上。

勒索软件客户所处行业

银行/金融
公共事业
零售
教育
政府
工业
外包和托管
建筑
保险
批发

银行/金融 (22%)、公共事业 (20%) 和零售 (16%) 占 2021 年第 3 季度勒索软件客户检测总数的近 60%。

勒索软件 MITRE ATT&CK 技术

Data Entry
File and Directory Discovery
Obfuscated Files or Information
Inhibit System Recovery
Process Injection
Service Stop
System Information Discovery
PowerShell
Modify Registry
Valid Accounts

数据输入 (2.6%)、文件和目录发现 (2.5%) 以及混淆文件或信息 (2.4%) 在 2021 年第 3 季度检测到的勒索软件 MITRE ATT&CK 技术中位居前列。

APT 客户所在国家/地区

土耳其
美国
以色列
德国
墨西哥
瑞士
英国
加拿大
巴西
印度

土耳其攻击模式技术的客户检测占 2021 年第 3 季度检测总数的 17%,其次是美国 (15%) 和以色列 (12%)。

APT 客户所处行业

银行/金融
公共事业
零售
政府
加工制造
外包
保险
运输
工业
技术

2021 年第 3 季度检测到的 APT 最多发生在银行/金融行业 (37%),其次是公共事业 (17%)、零售 (16%) 和政府 (11%)。

APT MITRE ATT&CK 技术

Spearphishing Attachment
Obfuscated Files or Information
PowerShell
Rundll32
Scheduled Task
System Information Discovery
Spearphishing Link
Windows Management Instrumentation
Web Protocols
Registry Run Keys

鱼叉式网络钓鱼附件 (16.8%)、混淆文件或信息 (16.7%) 以及 PowerShell (16%) 是 2021 年第 3 季度检测到的最流行 APT MITRE ATT&CK 技术。

ATR 客户所在国家/地区

德国
美国
中国
新加坡
土耳其
印度
意大利
英国
以色列
克罗地亚

在 2021 年第 3 季度检测到的 ATR 工具威胁总数中,超过一半位于德国 (32%) 和美国 (28%)。

ATR 客户所处行业

银行/金融
技术
运输
政府
外包
批发
保险
其他
工业
公共事业

在 2021 年第 3 季度的 ATR 客户所处行业检测中,到目前为止,银行/金融最为普遍 (45%)。

ATR MITRE ATT&CK 技术

Obfuscated Files or Information
Modify Registry
Process Hollowing
Screen Capture
Credentials from Web Browsers
Spearphishing Attachment
Keylogging
Man in the Browser
Query Registry
Input Capture

在 2021 年第 3 季度的所有 ATR MITRE ATT&CK 技术检测中,混淆文件或信息占 5%。


资源

若要了解最新威胁和研究结果,请参阅我们团队的资源:

威胁中心 — 我们的团队已成功识别多种当今影响最大的威胁。

Twitter:

下载 PDF 查看存档