21 fen Of sive Se cu r it 1 Of ri 20 2 ty y 20 2021 攻击技术发展 趋势报告 全 fensive Se cu 2021 攻击技术发展趋势年度报告 关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于 2000 年 4 月，总部位于北京。公司于 2014 年 1 月 29 日在深圳证券交易所 创业板上市，证券代码：300369。绿盟科技在国内设有 50 余个分支机构， 为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企 业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运 营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗 设立海外子公司和办事处，深入开展全球业务，打造全球网络安全行业 的中国品牌。 版权声明 为避免合作伙伴及客户数据泄露 , 所有数据在进行分析前都已经 过匿名化处理 , 不会在中间环节出现泄露 , 任何与客户有关的具体信息， 均不会出现在本报告中。 2 引ﾠ言 小丸子让我写个《攻击技术趋势发展报告》的引言。翻完全篇，忽悠得我一愣一愣 的。我基本上没有从事过攻击技术的研究，而这门技术需要长期浸淫其中才能有所建树。 只说点评蓝军攻击技术，毋庸置疑，不要相信我一点一滴的胡说九道。 最近偶遇微软资深程序员 Larry Osterman 的十几年前的博客，看到一篇八卦，回 忆了 LO 在卡内基梅隆上大学时的往事。他的几个朋友为了获得学校 DEC-20 系统的计 算时间，充分利用各种系统 BUG，包括安装类似今天 rootkit 的持久化攻击技术。与此 同时，学校 IT 管理人员不像后世故事中那么废柴，而是抓住了这些卑鄙的攻击者。攻 击者中有个运气好，遇到伯乐，毕业后被本校计算中心录用了。有个攻击者没能获得 CMU 的 CS 学位，因为大学期间从事过类似攻击行为。可见，从事黑客攻击对攻击者而言， 风险是真实存在的。 我想说的是，同学们，千万不要看了《攻击技术趋势发展报告》走上不归之路啊。 SCZ 推荐语 网络空间安全成为我国安全格局的重中之重，提前了解攻击者的能力技术手段，做 到“知己知彼”，有助于构建针对性的防护措施。网安黄埔军校―绿盟科技专注分析过 去一年的攻击技术发展趋势，对八大攻击技术进行了全面分析，为业界正确认知网络空 间中的攻防关系，提供了详细且富有建设性的攻击技术发展趋势分析报告。报告清晰解 读了攻击方的多种攻击姿势，并提出相应“以守为攻”的防御策略。报告对广大的网络 安全爱好者、从业人员、安服公司来说具有较大的参考意义，值得推荐阅读。 ―刘建伟 北京航空航天大学网络空间安全学院院长 不同于网络系统软件的功能性设计和开发技术，网络攻击属于功能性的外延范畴， 其技术规律性更难预测、把握。依靠 FW、IDS、EDR、WAF 等产品构成的攻击检测， 只能是对攻击技术的跟踪、被动性的防御。及时分析总结攻击技术趋势是防御的必然要 求，是网络安全的核心组成。 ―韩兰胜 华中科技大学网络空间安全学院教授、博导 互联网技术与产业的深度融合，推动产业组织模式、服务模式和商业模式全面创新， 各行业业务上云、技术开发以众筹众包形式完成成为趋势。年度报告揭示了攻击技术 发展与产业发展趋势的高度重合，提示我们安全防御不仅需要加强对新技术新应用的研 究，更要加强人的管理将安全防御覆盖系统开发生命周期的全过程。 ―斯　进 浙江警察学院计算机与信息安全系副主任 CONTENTS 1ﾠ 年度攻防技术发展趋势 001 1.2 WEB 对抗高隐匿性及组合利用链 003 1.1 攻击基础设施云化 1.3 社会工程学强伪装性和自动化 1.4 终端侧攻击关注合法功能滥用 1.5 AD 域攻击面增大 1.6 C2 及隐匿隧道技术多样化 1.7 云上攻防聚焦云原生安全 1.8 供应链攻击增多并呈现多样化 2ﾠ 002 003 003 004 004 005 005 年度攻击技术详解 006 2.2 Web 对抗高隐匿性及组合利用链 014 2.1 攻击基础设施云化 2.3 社会工程学强伪装性和自动化 2.4 终端侧攻击关注合法功能滥用 2.5 AD 域攻击面增大 2.6 C2 及隐匿隧道技术多样化 2.7 云上攻防聚焦云原生安全 2.8 供应链攻击增多并呈现多样化 3ﾠ 007 026 033 048 053 065 072 年度高可利用漏洞 083 3.2 Windows 提权漏洞 087 3.1 Windows 打印机服务相关漏洞 3.3 Linux 提权漏洞 3.4 Exchange 漏洞 085 095 100 3.5 浏览器漏洞 104 3.7 Web 应用漏洞 113 3.6 虚拟化产品漏洞 3.8 安全设备漏洞 4ﾠ 108 116 年度精选安全事件研判 117 4.2 利用后门 IDA 再对安全研究员发起定向网络钓鱼 118     员的网络钓鱼 119 4.5 CANVAS 攻击框架泄露事件 122 4.1 针对安全研究员进行的网络钓鱼 4.3 利用后门 Weblogic 漏洞利用工具针对一线攻防人 4.4 REvil 针对 Kaseya MSP 大型供应链攻击 118 120 5ﾠ 123 参考文献 128 参与单位 1 年度攻防技术发展趋势 2021 攻击技术发展趋势年度报告 随着网络技术的快速迭代，在日益复杂的国际关系和地缘政治斗争的大背景下，网络空 间已然成为大国博弈的激烈对抗领域。以 APT（Advanced Persistent Threat，高级持续威胁） 为主的体系化攻击已成为网络空间威胁的常态。在网络空间攻防博弈新变局的复杂形势下， 如何正确认知网络空间进攻与防御之间的关系，是认识和理解网络空间威慑问题的关键。 一般而言，网络空间中普遍存在着进攻占据优势（Offence Dominance）的概念，攻击者 日益精进的攻击技术和网络武器不断使得网络空间威胁存在多变。为了弥补攻防不对等的状 态，作为防守方需要“知己知彼”，提前了解攻击者的能力与手段，才能在行动中占得先机， 提前构建有针对性的防护措施，避免发生灾难。作为网络蓝军，更有义务去跟进研究实网威胁， 掌握攻击技术发展趋势，从而更好的完成威胁模拟，推动建设网络空间防御体系，达到制衡 效果。 绿盟科技联合北京航空航天大学、华中科技大学、成都信息工程大学、浙江警察学院一 同发布了行业首个攻击技术发展趋势年度报告，基于对全年网空威胁攻击技术的跟进研究， 甄选年度热点攻击技术和在未来可能大规模使用的新型攻击技术，分为八大重点方向进行研 究解读并研判攻击技术发展新趋势。 1.1　攻击基础设施云化 攻击基础设施是在 APT 等高级攻防对抗活动当中为了保障能够完成攻击全生命周期而存 在的体系化辅助工具，可以理解为攻击者的阵地战壕。基础设施种类繁多，一般包括攻击者 购买、租赁的物理或云服务器、域名、第三方网络服务等，以及通过攻击手段或滥用手段所 002 年度攻防技术发展趋势 恶意利用的服务器、网站及其他服务等。近年来，随着攻防对抗形势的白热化发展，对抗升 级的过程不断对攻击者 OPSEC（Operations Security，即行动安全）提出了更高的要求，攻 击基础设施从最初支撑发起攻击活动，发展为作战掩体，同时要具备自动化、弹性、可编排 部署等特性。 另一方面，随着云计算、云原生、5G 通信等技术的发展，相关技术能力已被攻击者滥用 在攻击基础设施等方面形成了云打击能力，而攻击基础设施云化也已成为显著趋势。 1.2　WEB 对抗高隐匿性及组合利用链 Web 架构日益复杂，其中涉及的框架、组件、技术越来越多。从底层的云主机的创建和 管理，到 CI/CD 持续集成与交付部署的流程，再到上层运行的 Web 应用服务程序，最后到 服务的下线与资源的回收，API 的使用伴随着 DevOps 的生命周期，开放的 API 数量正在爆 发式地上涨。稍有编码或配置上的不当，就会成为蓝军可以利用的攻击面，结合传统漏洞打 造出更加具备杀伤力的利用链，从而直接突破目标网络植入 MemWebshell，进一步进入到后 渗透攻击流程中。如何在高压对抗环境下支持蓝军 OPSEC 的行动，Web 权限获取以及维持 成为了 Web 对抗技术的研究重点。 1.3　社会工程学强伪装性和自动化 自《欺骗的艺术》一书问世以来，人们才认识到人为因素才是安全的软肋，利用人心理 上的弱点和习惯上的漏洞，一样可以达到攻击效果。利用社会工程学，攻击者可以欺骗用户 绕过安全防御措施，甚至使用户主动提供登录凭据等敏感信息。社会工程学已经成为攻击组 织、黑灰产组织最常使用的技术手段之一。从今年曝光的多起攻击事件、APT 组织攻击活动 来看，依托可信的服务、功能来进行伪装的社会工程学攻击明显增多，成为一种新的发展趋 势。此外，邮件钓鱼作为最常用的社会工程学攻击方式，利用复杂性技术绕过安全防护产品 的钓鱼活动显著增多，邮件安全仍然面临较大挑战。同时，伴随自动化技术的发展，大量邮 件钓鱼活动开始利用网络钓鱼即服务（PhaaS）进行全过程自动化攻击，在新的攻防态势下， 社会工程学攻击工程化、自动化已成为显著趋势。 1.4　终端侧攻击关注合法功能滥用 随着 EDR 等现代化安全防御体系的普及，攻击方已从传统的免杀逐步趋于通过主动对抗、 规则绕过、检测规避等隐匿手段来保障完成自己的攻击性行为。围绕 EDR 的检测和规避技术 已成为了终端对抗中的重中之重，当前用户态的对抗手段依然是主流，但围绕内核和驱动相 003 2021 攻击技术发展趋势年度报告 关的攻防或将成为未来 EDR 对抗的新热点。伴随攻防双方的不断加码，终端侧武器化程度不 断提高。继 PowerShell 恶意利用的热潮之后，CSharp 已经接过其热度成为攻击性武器的主 力开发语言。其他新晋语言如 Nim-Lang 的武器化项目不断涌现，新的静态特征和行为模式 不为现有安全产品所熟悉，对其检测和防御能力相对薄弱。新的攻防态势下，攻击者已不止 满足于完成攻击目的，同时追求攻击操作的隐蔽性。在今年的现网实战案例中，滥用系统合 法功能和 API 的攻击手法明显增多，成为一种新的发展趋势。 1.5　AD 域攻击面增大 在企业网络的建设当中，经常会使用 AD 域（Active Directory Domain）划分企业组织架 构和不同的权限角色，来组织和管理企业内部