Trellix Advanced Threat Research 报告：
2021 年 10 月

我们已经将新的关注点转移到流行度上。换句话说，我们的团队目前关注的是全球范围内发现威胁的频率，更重要的是威胁的攻击目标是谁？

我们的首席科学家致大家的一封信

欢迎关注我们的新威胁报告和新公司。

自从我们上次发布威胁报告以来，整个威胁局势发生了很大变化。我们了解到，尽管 DarkSide 勒索软件组织进行了品牌重塑，但是他们并没有离开，而且认为我们会错失（据称）与 BlackMatter 的联系！不仅如此，我们最近在输液泵方面的发现结果也证明了安全研究的重要性（本报告后面部分将对这些内容进行详细介绍！）。

至于我和我们的团队，我们都转到了 McAfee Enterprise，这是一家新成立的专注于企业网络安全的公司，这意味着我们将不再在 McAfee Labs 下发布研究工作。但请放心，大家仍然可以在我们新的 McAfee Enterprise ATR Twitter 订阅源 @McAfee_ATR 上找到我们。

当然，发生的变化比简单的 Twitter 订阅源更加重要，其中一些变化反映在我们的新威胁报告中。我们已经将关注点转移到流行度上。换句话说，我们的团队目前关注的是全球范围内发现威胁的频率，更重要的是威胁的攻击目标是谁？这些发现结果得到了更多分析的支持，本报告中将详细介绍这些分析，以便纳入针对威胁攻击者及其目前正在利用和未来可能利用的漏洞的积极研究。

我们希望大家喜欢这种新格式，并欢迎大家就自己喜欢和不太感兴趣的内容提供反馈。更重要的是，大家希望在未来看到哪些内容？

Raj Samani

Twitter

# 勒索软件

勒索软件日益猖獗

随着 2021 年度过第 2 季度进入第 3 季度，网络犯罪分子引入了新的和更新的威胁手段和伎俩，针对主要行业展开攻击活动。勒索软件攻击活动保持了其流行度，同时发展了其业务模式，从各种大小型企业中窃取有价值的数据并勒索数以百万的赎金。

5 月份，DarkSide 对 Colonial Pipeline 天然气分配的高度公开攻击占据了网络安全的头条新闻。MVISION Insights 很快发现了 DarkSide 早期在美国大肆攻击活动的目标，主要是法律服务、批发和制造、石油、天然气以及化工行业。

关闭美国主要的天然气供应链引起了公职人员和安全运营中心的关注，但同样令人担忧的是其他运营类似附属模式的勒索软件组织。Ryuk、REvil、Babuk 和 Cuba 勒索软件积极部署了支持其他人参与的商业模式，以利用通用的入口媒介和类似工具。这些组织与其他组织及其附属机构利用通用的入口媒介，在许多情况下，我们看到用于在环境中移动的工具是相同的。在 DarkSide 发起攻击后不久，REvil 团伙在其对全球 IT 基础设施提供商 Kaseya 的勒索软件攻击中使用 Sodinokibi 有效负载抢尽了风头。REvil/Sodinokibi 在我们 2021 年第 2 季度的勒索软件检测名单中位居榜首。

勒索软件系列检测

图 1. REvil/Sodinokibi 在 2021 年第 2 季度的勒索软件检测中位居榜首，占我们前 10 位勒索软件检测的 73%。

虽然 DarkSide 和 REvil 在其高调攻击之后又隐匿了起来，但在 7 月份出现了 DarkSide 的继任者。BlackMatter 勒索软件作为勒索软件即服务附属计划，整合了 DarkSide、REvil 和 LockBit 勒索软件的功能，主要出现在意大利、印度、卢森堡、比利时、美国、巴西、泰国、英国、芬兰和爱尔兰。基于二进制文件的代码相似性及其公共页面与 DarkSide 的相似性，普遍认为 BlackMatter 勒索软件很可能是 DarkSide 勒索软件的延续，尽管 BlackMatter 否认了这一点。

2021 年中期发现了另一种略有变形的“旧”勒索软件。LockBit 2.0 勒索软件是 2020 年 LockBit 的更新版本，具备自动加密跨域设备、泄露数据和通过 RDP 访问系统的新功能，以及从目标企业内部招募新附属机构的能力。

勒索软件开发者也推出了新的攻击活动。Hive 勒索软件系列于 2021 年 6 月首次被发现，在印度、比利时、意大利、美国、土耳其、泰国、墨西哥、德国、哥伦比亚和乌克兰大肆盛行，使用 GO 语言编写，作为 Ransomware-as-a-Service 运行，主要攻击医疗保健和关键基础设施组织。

我们的团队深入研究了勒索软件，包括地下论坛的意外反应、目标行业，以及开源情报与遥测之间的数据差异。

日益猖獗的勒索软件被驱逐出地下论坛

2021 年第 2 季度对于勒索软件来说是一个活动猖獗的季度，它成为备受美国政府关注的网络议程项目，但在以往一直安全的网络犯罪地下论坛中，情况也发生了变化。

当 Colonial Pipeline 因 DarkSide 勒索软件攻击而被迫关闭时，勒索软件攻击的影响变得非常明显。天燃气供应链的突然中断影响了美国东部的大部分地区，导致消费者疯狂地消耗燃油。这次攻击以及由此产生的消费者和经济影响显示了勒索软件的真正杀伤力，并引起了安全部门的充分关注。

对 Colonial Pipeline 攻击影响的政治反应导致 DarkSide 勒索软件组织突然停止其运作。另外几个威胁组织宣布他们将审查未来的目标，并排除某些特定行业。

一周后，两个最有影响力的地下论坛 XSS 和 Exploit 宣布禁止勒索软件广告。多年来，这些论坛为网络犯罪和勒索软件的盛行提供了一个避风港，网络犯罪和勒索软件的盛行引发了网络攻击、窃取日志和加密服务等方面的活跃交易。考虑到主要勒索软件系列背后的许多威胁攻击者都是职业犯罪分子，并且经常与论坛管理员和版主有密切关系，我们认为这样做是为了挽救论坛免于关闭。

尽管与勒索软件相关的在线角色已被禁止，但我们的团队还是观察到威胁攻击者仍以其他不同的角色活跃在多个论坛上。

图 2. XSS 管理员呼吁禁止勒索软件

在此期间，Babuk 勒索软件组织也遇到了自己的问题，其中一个问题是缺陷 *nix ESXi 锁定程序，我们在博客中对此进行了详细介绍。

最终，Babuk 团队的内部斗争导致了组织分裂，并启动了一个名为 RAMP 的专门讨论勒索软件的新论坛，许多以勒索软件为攻击手段的网络犯罪分子现在聚集在这里做生意并共享 TTP。尽管一些大型网络犯罪论坛被禁止，但勒索软件并没有显示出放缓的迹象，而且仍然必须被视为任何规模的组织都可能面临的最具影响力的网络威胁之一。

勒索软件攻击的目标行业：开源情报与遥测之间的数据差异

许多勒索软件组织团队都有门户网站，他们在上面公布自己侵犯的受害者和收集的数据样本，以迫使受害者支付赎金，否则受害者的数据将被泄露，在某些情况下还会被出售。站点泄漏展示了谈判失败的情况，并不能反映勒索软件组织团队实施攻击的全部程度，但对报告的行业和地理位置的分析是值得参考的有意义数据。

我们的团队监控着其中的许多页面，收集勒索软件系列名称，将受害者对应到具体的行业和国家/地区。通过收集这些数据并进行整理，我们观察到以下勒索软件系列针对下列美国 10 大行业进行了攻击：

图 3. 政府行业是 2021 年第 2 季度勒索软件攻击最多的行业，其次是电信、能源以及媒体和通信。

我们根据从位于美国的传感器收集的遥测数据，将观察到的勒索软件活动与 Open-Source Intelligence (OSINT) 报告的行业进行了对比：

表 1. 两个行业之间距离越远，它们就越能受到更好的保护；距离越近，该行业就需要更多地注意勒索软件的风险。

区别意味着什么？什么是差异？从遥测的角度来看，我们观察到，在我们拥有客户的行业中已经检测到并阻止了勒索软件活动。在我们的遥测中，将政府确定为头号攻击目标行业揭示了有许多针对该行业的攻击尝试，但都没有成功。在 OSINT 报告的行业中，我们观察到，在勒索软件组织团队的攻击目标名单中，对支持关键业务服务的 IT 服务能力要求较高的行业占据首要位置。

攻击模式/技术

1. Data Encrypted for ImpactData Encrypted for Impact在名单中所占的 % - 14%
2. File and Directory DiscoveryFile and Directory Discovery在名单中所占的 % - 13%
3. Obfuscated Files or InformationObfuscated Files or Information在名单中所占的 % - 11%
4. Process InjectionProcess Injection在名单中所占的 % - 11%
5. Deobfuscate/Decode Files or InformationDeobfuscate/Decode Files or Information在名单中所占的 % - 10%
6. Process DiscoveryProcess Discovery在名单中所占的 % - 10%
7. Inhibit System RecoveryInhibit System Recovery在名单中所占的 % - 9%
8. PowerShellPowerShell在名单中所占的 % - 9%
9. System Information DiscoverySystem Information Discovery在名单中所占的 % - 9%
10. Modify RegistryModify Registry在名单中所占的 % - 9%

表 2. 数据加密影响是 2021 年第 2 季度检测到次数最多的攻击模式。

B BRAUN：发现全球使用的输液泵中存在的漏洞

医疗行业面临着独特的安全挑战。对医疗中心的潜在攻击可能构成比系统范围的勒索软件攻击更大的威胁。我们的团队与 Culinda 合作，在 B. Braun Infusomat Space 大型泵和 B. Braun SpaceStation 中发现了一组漏洞。

我们的研究使我们发现了医疗系统中五个以前未报告的漏洞，包括：

1. CVE-2021-33886：使用外部控制的格式字符串 (CVSS 7.7)
2. CVE-2021-33885：数据真实性验证不充分 (CVSS 9.7)
3. CVE-2021-33882：缺少关键功能的身份验证 (CVSS 8.2)
4. CVE-2021-33883：敏感信息的明文传输 (CVSS 7.1)
5. CVE-2021-33884：无限制上传危险类型文件 (CVSS 5.8)

总之，恶意攻击者可以利用这些漏洞在泵处于待机模式时修改泵的配置，从而导致在下次使用时将意外剂量的药物输送给患者，所有这些操作都是零身份验证。

在我们的团队向 B. Braun 报告我们的初步发现结果后不久，该公司做出了回应并与我们的团队合作，采用了我们在披露报告中概述的缓解措施。

这些发现结果提供了最关键攻击链的概述和一些技术细节，同时解决了医疗行业面临的独特挑战。有关简要总结，请参阅我们的博客。

云威胁

云威胁盛行

转移云安全以适应更灵活的疫情期间工作需求，同时仍保持甚至增加工作量这一挑战，在 2021 年第 2 季度为网络犯罪分子带来了更多潜在的漏洞利用机会和攻击目标。

我们团队的云威胁研究发现，金融服务在 2021 年第 2 季度面临着应对云威胁攻击活动的最大挑战。

2021 年第 2 季度最常见的云威胁

1. 来自异常位置的过度使用来自异常位置的过度使用在名单中所占的 % - 62%
2. 内部数据泄露内部数据泄露在名单中所占的 % - 28%
3. 权限访问滥用权限访问滥用在名单中所占的 % - 8%
4. 高风险数据泄露高风险数据泄露在名单中所占的 % - <1%
5. 权限访问泄露权限访问泄露在名单中所占的 % - <1%
6. 地面扩展泄露地面扩展泄露在名单中所占的 % - <1%
7. 可疑超人登录可疑超人登录在名单中所占的 % - <1%
8. 权限用户的数据泄露权限用户的数据泄露在名单中所占的 % - <1%

表 3. “来自异常位置的过度使用”的定义：用户在短时间段内访问或下载了大量数据。这很严重，因为 1) 企业用户以前从未访问过如此大的数据量，以及 2) 即使相对于大量用户而言，数据量也很高。“来自异常位置的过度使用”在全球云威胁中排名最高，其次是“内部数据泄漏”和“权限访问滥用”。“来自异常位置的过度使用”占所记录威胁的 62%。

2021 年第 2 季度最常见的云威胁

企业

1. 金融服务金融服务在名单中所占的 % - 33%
2. 医疗保健医疗保健在名单中所占的 % - 13%
3. 制造业制造业在名单中所占的 % - 9%
4. 零售零售在名单中所占的 % - 9%
5. 专业服务专业服务在名单中所占的 % - 8%
6. 旅游与酒店旅游与酒店在名单中所占的 % - 7%
7. 软件与互联网软件与互联网在名单中所占的 % - 6%
8. 技术技术在名单中所占的 % - 5%
9. 计算机与电子计算机与电子在名单中所占的 % - 4%
10. 非盈利组织非盈利组织在名单中所占的 % - 3%

表 4. 在报告的云威胁事件中，金融服务是最主要的攻击目标，其次是医疗保健、制造业、零售和专业服务。针对金融服务的云威胁事件占所报告的前 10 个行业云威胁事件的 33%，其次是医疗保健和制造业 (8%)。

全球云垂直行业威胁事件总数

表 5. 在 2021 年第 2 季度排名前 10 位的云威胁事件中，50% 都发生在金融服务行业，其中包括美国、新加坡、中国、法国、加拿大和澳大利亚的威胁事件。美国针对垂直行业的云威胁事件占前 10 个国家/地区记录的威胁事件的 34%。

美国云垂直行业

1. 金融服务金融服务/澳大利亚在名单中所占的 % - 29%
2. 医疗保健医疗保健在名单中所占的 % - 17%
3. 零售零售在名单中所占的 % - 15%
4. 专业服务专业服务在名单中所占的 % - 10%
5. 制造业制造业在名单中所占的 % - 7%
6. 媒体与娱乐媒体与娱乐在名单中所占的 % - 5%
7. 旅游与酒店旅游与酒店在名单中所占的 % - 5%
8. 政府政府在名单中所占的 % - 4%
9. 软件与互联网软件与互联网在名单中所占的 % - 4%
10. 教育教育在名单中所占的 % - 3%

表 6. 金融服务是 2021 年第 2 季度美国云威胁事件的首要目标。在排名前 10 位的行业中，针对金融服务的威胁事件占云威胁事件总数的 29%。

按国家/地区划分的云垂直行业威胁事件：2021 年第 2 季度

国家/地区

1. 美国美国在名单中所占的 % - 47%
2. 印度印度在名单中所占的 % - 10%
3. 澳大利亚澳大利亚在名单中所占的 % - 6%
4. 加拿大加拿大在名单中所占的 % - 6%
5. 巴西巴西在名单中所占的 % - 6%
6. 日本日本在名单中所占的 % - 6%
7. 墨西哥墨西哥在名单中所占的 % - 4%
8. 英国英国在名单中所占的 % - 4%
9. 新加坡新加坡在名单中所占的 % - 4%
10. 德国德国在名单中所占的 % - 3%

表 7. 美国报告的针对国家/地区的云威胁事件最多，其次是印度、澳大利亚、加拿大和巴西。针对美国的云威胁事件占前 10 个国家/地区记录的云威胁事件的 52%。

对各国家/地区、各大洲和各行业的威胁以及威胁媒介

国家/地区和大洲：2021 年第 2 季度

2021 年第 2 季度公开报告的威胁事件显著增加的国家/地区和大洲包括：

• 美国在 2021 年第 2 季度报告的威胁事件最多。
• 欧洲第 2 季度报告的威胁事件增幅最大，为 52%。

攻击行业：2021 年第 2 季度

2021 年第 2 季度公开报告的威胁事件显著增加的行业包括：

• 多个行业最常成为攻击目标。
• 显著增长的行业包括公共 (64%) 和娱乐 (60%) 行业。

攻击媒介：2021 年第 2 季度

2021 年第 2 季度公开报告的威胁事件显著增加的媒介包括：

• 恶意软件是 2021 年第 2 季度报告的威胁事件中最常使用的技术。
• 从 2021 年第 1 季度到第 2 季度，在所报告的威胁事件中，垃圾邮件增幅最高 (250%)，其次是恶意脚本 (125%) 和恶意软件 (47%)。

# 2021 年第 2 季度排名前位的 MITRE ATT&CK 技术

# 如何抵御这些威胁

2021 年第 2 季度，我们看到了许多不同类型的威胁并进行了评述。幸运的是，我们也有相应的建议和产品来保护您和/或您的组织，例如：了解如何配置 ENS 10.7、篡改防护和回滚功能来抵御 Cuba 勒索软件，或者仔细阅读我们专为防御者编写的详细博客。

了解如何阻止浏览器中所有烦人的弹出窗口，以及如何通过 Web Advisor 和 Web Control 保护我们的客户免受恶意站点的侵害。

阅读诈骗者如何冒充 Windows Defender 来推送恶意 Windows 应用程序，以及我们处理这类问题的安全技巧。客户会很高兴知道 Real Protect 云通过机器学习主动保护他们，同时保护 Web Advisor 和 Web Control 客户免受已知恶意站点的侵害。

了解防范本季度最臭名昭著的勒索软件之一 DarkSide，以保护和监控您的网络的最佳实践。此外，博客中还提供了有关覆盖范围和保护的大量信息，包括 EPP、MVISION Insights、EDR 和 ENS。

最后，找出对网络犯罪分子而言虚拟机如此重要的原因，以及受影响的 VMware 用户应该立即进行修复的原因。对于那些无法立即安装补丁的用户，我们提供实用技巧，并提醒他们，我们的 Network Security Platform 提供了相关 CVE 的特征码。

资源

若要了解最新威胁和研究结果，请参阅我们团队的资源：

威胁中心 — 我们的团队已成功识别多种当今影响最大的威胁。

Twitter：

Trellix ATR Twitter

Raj Samani Twitter

Christiaan Beek Twitter

John Fokker Twitter

Douglas McKee Twitter

Steve Povolny Twitter