Trellix Advanced Threat Research 報告：
2021 年 10 月

我們已將新關注點轉移到普遍性。換句話說，團隊現在將更多注意力放在全球威脅的發生頻率，更重要的是，這些威脅的目標對象是谁？

來自我們首席科學家的一封信

歡迎查看新威脅報告並瞭解新公司。

自從發布去年的威脅報告以來，發生了很多變化。我們瞭解到，儘管 DarkSide 更改了品牌，但是勒索軟體團隊並沒有離開，並且認為我們將懷念　(據稱)　與 BlackMatter 的關聯！不僅如此，我們最近的輸液泵浦研究結果表明了安全性研究的重要性　(稍後將在報告中詳述！)

對於團隊和我而言，我們加入了 McAfee Enterprise 這家新的專業企業網路安全性公司，這意味著我們將不會在 McAfee Labs 發佈我們的作品。但是不要擔心！您仍可以在我們新的 McAfee Enterprise ATR Twitter 動態：@McAfee_ATR 中找到我們。

當然，這些變更比起簡單的 Twitter Feed 更具實質性，其中一些變更已經反映在我們的新威脅報告中。我們已將關注點轉移到普遍性。換句話說，團隊現在將更多注意力放在全球威脅的發生頻率，更重要的是，這些威脅的目標對象是谁？這些調查結果獲得其他分析的支援，我們將在報告中詳述這些分析，並融入針對威脅威脅發動者的主動研究以及他們目前正在利用和未來可能利用的弱點。

我們希望您能喜歡這篇新文章並歡迎提供有關您感興趣與不太感興趣之內容的意見反應。更重要的是，您希望未來有何改變？

Raj Samani

Twitter

# RANSOMWARE

勒索軟體日漸增多

在 2021 年的第二季度和第三季度，網路罪犯在針對主要行業的活動中引入了新的和更新的威脅與策略。勒索軟體活動繼續大行其道，同時也在不斷演進其業務模式，從大大小小的企業中擷取寶貴的資料和數百萬美元的贖金。

DarkSide 對 Colonial Pipeline 天然氣配送管道的高知名度攻擊事件佔據了 5 月份的網路安全性新聞頭條。MVISION Insights 快速識別了 DarkSide 針對美國境內使用者的早期攻擊，主要涉及法律服務、批發和製造、石油、天然氣和化學品行業。

關閉一家主要的美國天然氣供應鏈吸引了政府官員和安全營運中心的注意，但同樣令人憂慮的是採用類似聯盟模式的其他勒索軟體團體。Ryuk、REvil、Babuk 和 Cuba 勒索軟體主動部署業務模式，支援其他人參與利用常見的入侵媒介和類似工具。這些團體和其他團體及其附屬組織利用常見的入侵媒介，在許多情況下，我們看到用於在環境中移動的工具都是相同的。在 DarkSide 發動攻擊後不久，REvil 團體在針對 Kaseya 這家全球 IT 基礎架構提供商的勒索軟體攻擊中，使用 Sodinokibi 承載竊取了大眾焦點。REvil/Sodinokibi 在我們 2021 年第二季度的勒索軟體偵測中排名首位。

勒索軟體系列偵測

圖 01. REvil/Sodinokibi 在我們 2021 年第二季度的勒索軟體偵測中排名首位，佔到前 10 大勒索軟體偵測的 73%。

當 DarkSide 和 REvil 在高調的攻擊之後退居幕後，DarkSide 的繼任者在 7 月出現。BlackMatter 勒索軟體作為一項勒索軟體即服務附屬計畫，融入了來自 DarkSide、REvil 和 Lockbit 勒索軟體的元素，最初於義大利、印度、盧森堡、比利時、美國、巴西、泰國、英國、芬蘭和愛爾蘭出現。依據二進位程式碼相似性以及他們公開頁面與 DarkSide 的相似度，人們普遍認為 BlackMatter 勒索軟體最有可能是 DarkSide 勒索軟體的延續，而 BlackMatter 則否認了這一點。

另一個有變化的「舊」勒索軟體在 2021 年被發現。LockBit 2.0 勒索軟體是 2020 年的 LockBit 的更新版本，其新功能會自動跨網域加密裝置、透過 RDP 竊取資料和存取系統，還能從目標企業內部招募新的附屬人員。

勒索軟體開發人員還引入了新的活動。Hive 勒索軟體系列最初在 2021 年 6 月被發現，是以 GO 語言編寫且以 Ransomware-as-a- Service 的形式運作，流行於印度、比利時、義大利、美國、土耳其、泰國、墨西哥、德國、哥倫比亞和烏克蘭，危及醫療保健和關鍵基礎架構組織的安全。

我們的團隊對勒索軟體進行了深入研究，包括地下論壇、目標行業的意外反應以及開放原始碼情報與遙測之間的差異。

蓬勃發展的勒索軟體被逐出地下論壇

2021 年第二季度對於勒索軟體而言是一個活躍的季度，其作為美國政府的一個備受關注的網路議程項目而贏得地位，但歷史上安全的網路罪犯地下論壇也發生了變化。

當 Colonial Pipeline 由於 DarkSide 勒索軟體攻擊而被迫關閉時，勒索軟體攻擊的影響變得顯而易見。此次供應鏈的突然中斷影響了美國東部大部分地區，導致消費者對於燃料的瘋狂擔憂。此次攻擊以及對於消費者和經濟的影響顯示了勒索軟體的真正致命性，引起了安全機構的充分關注。

對 Colonial Pipeline 攻擊所造成之影響的政治回應導致 DarkSide 勒索軟體團體突然終止其運作。數個其他威脅團體宣布他們將調查未來目標並排除某些行業。

一週之後，兩個最有影響力的地下論壇 (XSS 和 Exploit) 宣布禁止勒索軟體廣告。多年以來，這些類似論壇為網路犯罪和勒索軟體的繁榮提供了一個避風港，引發了遭入侵網路、盜竊程式記錄以及 Crypter 服務的活躍交易。考量到許多主要勒索軟體系列背後的威脅發動者是職業罪犯，並且與論壇管理員和版主有著密切關係，我們相信這一姿態是為了拯救論壇。

即使與線上角色相關聯的勒索軟體被查禁，我們的團隊仍然觀察到某些威脅發動者以其他不同角色活躍於數個論壇。

圖 02. XSS 的管理員號召禁止勒索軟體

在此期間，Babuk 勒索軟體團體正在解決他們自己的問題，其中之一就是有瑕疵的 *nix ESXi 保險箱 (我們已經在部落格中廣泛描述)。

最終，Babuk 團隊的內部紛爭導致了分離並成立了一個名為 RAMP 且專注於勒索軟體的新論壇，許多關注勒索軟體的網路罪犯如今聚集在那裡來開展業務並共用 TTP。儘管一些大型的網路罪犯論壇被禁止，但勒索軟體並沒有任何放緩的跡象，仍然被視為一切規模的企業可能面對的最具影響的網路威脅之一。

勒索軟體目標行業：開放原始碼情報與遙測之間的資料差異

許多勒索軟體工作人員都有入口網站，他們可以在此宣布入侵的受害者以及收集的資料範例，迫使受害者支付贖金，否則受害者的資料會被洩漏 (在部分情況下，還會被出售)。洩漏站點是溝通失敗的例證，並不會反映勒索軟體人員執行的攻擊的所有程度，但是，有關所報告行業與地理區域的洞察仍是值得關注的有趣資料。

我們的團隊監控到許多這樣的頁面並收集勒索軟體系列名稱，並將受害者對應到行業和國家/地區。收集這些資料和編譯後，我們注意到針對下方美國 10 大行業的以下勒索軟體系列：

圖 03. 政府機關是 2021 年第 2 季度遭受最多勒索軟體攻擊的行業，緊隨其後的是電信、能源以及媒體和通訊。

我們從美國感應器收集而來的遙測觀點反映了觀察到的勒索軟體活動，並與 Open-Source Intelligence (OSINT) 報告的行業進行了對比：

表 01. 兩個行業之間的差距越大，它們受到的保護就越好；之間的差距越近，那麼它們就容易遭受勒索軟體的風險。

什麼是差距？有何差異？從遙測觀點而言，我們觀察到，在我們有客戶的行業，存在被偵測且被阻止的勒索軟體活動。我們的遙測資料中將政府機關識別為排名第一的目標行業，表明針對該行業的許多嘗試都沒有成功。在 OSINT 報告的行業中，我們注意到，對 IT 服務能力有很高需求以支援關鍵業務的行業是勒索軟體人員的主要目標。

攻擊模式/技術

1. Data Encrypted for ImpactData Encrypted for Impact清單百分比 - 14%
2. File and Directory DiscoveryFile and Directory Discovery清單百分比 - 13%
3. Obfuscated Files or InformationObfuscated Files or Information清單百分比 - 11%
4. Process InjectionProcess Injection清單百分比 - 11%
5. Deobfuscate/Decode Files or InformationDeobfuscate/Decode Files or Information清單百分比 - 10%
6. Process DiscoveryProcess Discovery清單百分比 - 10%
7. Inhibit System RecoveryInhibit System Recovery清單百分比 - 9%
8. PowerShellPowerShell清單百分比 - 9%
9. System Information DiscoverySystem Information Discovery清單百分比 - 9%
10. Modify RegistryModify Registry清單百分比 - 9%

表 02. 「加密資料以取得影響力」是 2021 年第 2 季度偵測最多的攻擊模式。

B BRAUN：揭開全球使用的輸液泵浦中存在的弱點

醫療行業面臨著獨特的安全性挑戰。對醫療中心的潛在攻擊可能相當於比全系統範圍勒索軟體攻擊更嚴重的威脅。我們的團隊與 Culinda 合作，在 B. Braun Infusomat Space 大型泵浦和 B. Braun SpaceStation 中發現了一組弱點。

我們的研究讓我們得以發現五個之前未報告的醫療系統弱點，其中包括：

1. CVE-2021-33886：使用外部控制的格式字串 (CVSS 7.7)
2. CVE-2021-33885：無法充分驗證資料真實性 (CVSS 9.7)
3. CVE-2021-33882：未對關鍵函數進行驗證 (CVSS 8.2)
4. CVE-2021-33883：以純文字傳輸敏感資訊 (CVSS 7.1)
5. CVE-2021-33884：不受限制地上傳危險類型的檔案 (CVSS 5.8)

當泵浦處於待機模式時，惡意發動者可能會利用所有這些弱點來修改泵浦的設定，導致在下一次使用泵浦時於沒有任何驗證的情況下將意外劑量的藥物輸送給患者。

在我們的團隊向 B. Braun 報告調查結果後不久，該公司回應並與我們團隊合作採用我們在揭露報告中概述的因應措施。

這些調查結果提供了最關鍵的攻擊鏈的概觀和部分技術詳情，並解決醫療行業面臨的獨特挑戰。如需簡要摘要，請參閱我們的部落格。

雲端威脅

雲端威脅普遍性

在維持甚至提升工作負載的同時轉變雲端安全性以容納疫情期間更為靈活的勞動力，這一挑戰讓網路罪犯在 2021 年第 2 季度迎來更多潛在入侵機會和目標。

我們團隊的雲端威脅研究發現，金融服務業在 2021 年第 2 季度面臨著防禦雲端威脅活動的最大挑戰。

2021 年第 2 季度最常見的雲端威脅

1. 來自異常位置的過分使用來自異常位置的過分使用清單百分比 - 62%
2. 內部資料洩漏內部資料洩漏清單百分比 - 28%
3. 權限存取誤用權限存取誤用清單百分比 - 8%
4. 高風險資料洩漏高風險資料洩漏清單百分比 - <1%
5. 權限存取洩漏權限存取洩漏清單百分比 - <1%
6. 領地擴充洩漏領地擴充洩漏清單百分比 - <1%
7. 可疑超級使用者可疑超級使用者清單百分比 - <1%
8. 具有權限的使用者導致資料洩漏具有權限的使用者導致資料洩漏清單百分比 - <1%

表 03. 「來自異常位置的過分使用」定義：使用者在短時間內存取或下載極大數量的資料。這樣做的後果很嚴重，因為 1) 企業使用者之前從未存取過如此數量的資料，且 2) 即使參考眾多的使用者，資料量依然很大。「來自異常位置的過分使用」威脅在全球雲端威脅中排名最高，緊隨其後的是「內部資料洩漏」和「權限存取誤用」。「來自異常位置的過分使用」佔所記錄的威脅的 62%。

2021 年第 2 季度最常見的雲端威脅

企業

1. 金融服務金融服務清單百分比 - 33%
2. 醫療保健醫療保健清單百分比 - 13%
3. 製造業製造業清單百分比 - 9%
4. 零售零售清單百分比 - 9%
5. 專家服務專家服務清單百分比 - 8%
6. 旅行與飯店業旅行與飯店業清單百分比 - 7%
7. 軟體與網際網路軟體與網際網路清單百分比 - 6%
8. 技術技術清單百分比 - 5%
9. 電腦與電子產品電腦與電子產品清單百分比 - 4%
10. 非營利組織非營利組織清單百分比 - 3%

表 04. 在報告的雲端事件中，金融服務是最受關注的行業，緊隨其後的是醫療保健、製造業、零售和專家服務。在報告的 10 大行業中，針對金融服務的雲端事件佔了 33%，緊隨其後的是醫療保健和製造業 (8%)。

全球行業雲端事件總數

表 05. 2021 年第 2 季度的全球前 10 大雲端事件 (包括美國、新加坡、中國、法國、加拿大和澳大利亞發生的事件) 中，有 50% 的事件是針對金融服務。針對美國各行業的雲端事件佔前 10 大國家/地區記錄的事件數量的 34%。

美國雲端行業

1. 金融服務金融服務/澳大利亞清單百分比 - 29%
2. 醫療保健醫療保健清單百分比 - 17%
3. 零售零售清單百分比 - 15%
4. 專家服務專家服務清單百分比 - 10%
5. 製造業製造業清單百分比 - 7%
6. 媒體與娛樂媒體與娛樂清單百分比 - 5%
7. 旅行與飯店業旅行與飯店業清單百分比 - 5%
8. 政府機關政府機關清單百分比 - 4%
9. 軟體與網際網路軟體與網際網路清單百分比 - 4%
10. 教育教育清單百分比 - 3%

表 06. 金融服務業是 2021 年第 2 季度美國雲端威脅事件的頭號目標。針對金融服務業的事件佔前 10 大行業雲端事件總數的 29%。

依國家/地區劃分的行業雲端事件：2021 年第 2 季度

國家/地區

1. 美國美國清單百分比 - 47%
2. 印度印度清單百分比 - 10%
3. 澳大利亞澳大利亞清單百分比 - 6%
4. 加拿大加拿大清單百分比 - 6%
5. 巴西巴西清單百分比 - 6%
6. 日本日本清單百分比 - 6%
7. 墨西哥墨西哥清單百分比 - 4%
8. 英國英國清單百分比 - 4%
9. 新加坡新加坡清單百分比 - 4%
10. 德國德國清單百分比 - 3%

表 07. 依據報告，遭受雲端事件最多的國家/地區是美國，緊隨其後的印度、澳大利亞、加拿大和巴西。針對美國的雲端事件佔前 10 大國家/地區記錄的事件數量的 52%。

對國家/地區、大洲、領域及媒介的威脅

國家/地區與大陸：2021 年第 2 季度

2021 年第 2 季度公開報告的事件數量顯著增加的國家/地區和大陸包括：

• 美國在 2021 年第 2 季度經歷了最多的報告事件。
• 歐盟在第 2 季度的報告事件最大增長達到 52%。

攻擊領域：2021 年第 2 季度

2021 年第 2 季度針對領域的公開報告事件顯著增多，包括：

• 多個行業是最常見的目標。
• 事件顯著增多的行業包括公共部門 (64%) 和娛樂業 (60%)。

攻擊媒介：2021 年第 2 季度

2021 年第 2 季度針對媒介的公開報告事件顯著增多，包括：

• 惡意軟體是 2021 年第 2 季度報告的事件中最常用的技術。
• 從 2021 年第 1 季度到第 2 季度，垃圾郵件在報告事件中增長最多 (達到 250%)，緊隨其後的是惡意指令碼 (125%) 和惡意軟體 (47%)。

# 2021 年第 2 季度的主要 MITRE ATT&CK 技術

# 如何防禦這些威脅

在 2021 年第 2 季度，我們看到並評論了許多不同類型的威脅。幸運的是，我們也有建議和產品來保護您和/或您的企業，例如：瞭解設定 ENS 10.7、竄改防護和回復如何防禦 Cuba 勒索軟體，或者深入瞭解我們以防禦者角度撰寫的詳細部落格。

回顧您如何阻止所有這些來自瀏覽器的擾人快顯視窗以及我們的客戶如何透過 Web Advisor 和 Web Control 來防範惡意網站。

閱讀瞭解詐騙者如何假冒 Windows Defender 推送惡意的 Windows 應用程式，還有我們應對此情況的安全提示。客戶很樂意瞭解到 Real Protect Cloud 會透過機器學習來主動保護他們，而 Web Advisor 和 Web Control 客戶則不會受到已知惡意網站的危害。

瞭解保護和監控您的網路以防範本季度出現的更為臭名昭著的勒索軟體 DarkSide 的最佳作法。此外，本部落格還提供了有關覆蓋範圍和保護的豐富資訊，包括 EPP、MVISION Insights、EDR 和 ENS。

最後，請瞭解為何虛擬機器對於網路罪犯如此寶貴以及為何受影響的 VMware 使用者應立即安裝修補程式。對於那些無法立即安裝修補程式的使用者，我們將提供實用提示和提醒：我們的 Network Security Platform 為有問題的 CVE 提供簽名。

資源

若要持續追蹤最新威脅和研究，請參閱我們團隊的資源：

威脅中心 — 我們的團隊已找到現今影響最大的威脅。

Twitter：

Trellix ATR Twitter

Raj Samani Twitter

Christiaan Beek Twitter

John Fokker Twitter

Douglas McKee Twitter

Steve Povolny Twitter