2021 fireeye apt攻击报告

2021 FIREEYE MANDIANT 服务 | 特别报告

https://www.arrow.com/ecs-media/16352/fireeye-rpt-mtrends-2021.pdf 英文原版

https://www.zerone.com.tw/edm/DOC/FireEye/download/2021%20M-Trend%20Report_TC.pdf 台湾翻译版 自己傻逼地google翻译。。。

 

Expanding Knowledge by Sharing Intrusion Realities

在过去的一年里，安全从业人员面临着一系列挑战，这些挑战迫使组织进入了未知领域。 随着勒索软件运营商与医院和学校一起攻击州和市政网络，全球对 COVID-19 的大流行应对措施需要在很大一部分经济体中转向远程工作。 组织必须采用新技术并在其正常增长计划之外快速扩展。 随着组织对“正常”有了新的认识，可疑的民族国家威胁行为者 UNC2452 开展了近代史上最先进的网络间谍活动之一。 许多安全团队被迫暂停围绕采用远程工作策略的广泛分析，转而专注于来自受信任平台的供应链攻击。

国家对 COVID 研究采取网络间谍活动，威胁团体共同努力实现其目标，利用快速采用的在家工作策略以及对全球供应链妥协的警钟——2020 年的经验将塑造安全政策多年来。 M-Trends 2021 涵盖的主题包括： : ? Mandiant 去年调查的安全事件中有 59% 最初是由组织自己检测到的，比上一年提高了 12%。 ?勒索软件已经演变成多方面的勒索，参与者不仅在受害者环境中部署勒索软件加密器，而且还采用各种其他勒索策略来强迫受害者遵守要求。 ? FIN11 是一个最近被命名为出于经济动机的威胁组织，负责广泛的网络钓鱼活动，该活动进行了多次多方面的勒索行动。 ?随着威胁行为者试图利用工作场所不断变化的趋势和全球危机，无处不在的勒索软件活动降低了中位停留时间。

? UNC2452 是一个疑似国家资助的组织，在将一个木马化 DLL 注入 SolarWinds Orion 构建过程后，开展了一场大规模的间谍活动。 Mandiant 确定了该活动并与执法机构和行业合作伙伴合作，以保护组织并应对对手。 ? Mandiant 专家观察到了 63% 的 MITRE ATT&CK 技术的使用，并且在超过 5% 的入侵中看到了超过三分之一的技术。 ?威胁参与者利用支持在家工作的基础设施，更加关注漏洞利用。 2019 年 10 月 1 日至 2020 年 9 月 30 日期间，最引人注目的趋势之一是全球停留时间中位数显着减少。在 24 天时，这是 Mandiant 第一次观察到全球停留时间中位数下降到一个月以下。虽然这种停留时间的减少可能与更好的可见性和响应相关，但勒索软件的优势也可能有助于缩短初始感染和识别之间的时间。包含了上面列出的所有观察结果、增加了 By The Numbers 中报告的新指标、引入了命名威胁组 FIN11、新案例研究和许多其他主题，M-Trends 2021 建立在我们的透明度之上，继续提供为那些负责保卫组织的人提供重要知识。本报告中的信息已经过净化，以保护受害者的身份及其数据。

M-Trends 2021 中报告的指标基于 FireEye Mandiant 对 2019 年 10 月 1 日至 2020 年 9 月 30 日期间进行的针对性攻击活动的调查。源组织的检测继续提高他们发现其环境中的危害的能力。 尽管 M-Trends 2020 注意到 2019 年的内部通知与 2018 年相比有所下降，但 Mandiant 专家观察到，2020 年组织内部检测到的大多数事件有所回归。到 2020 年，组织将内部事件检测率提高到 59%——与 2018 年相比增加了 12 个百分点 到 2019 年。这种回归到在其环境中检测到大多数入侵的组织符合过去十年观察到的内部检测增加的总体趋势。 它显示了对扩展和增强有机检测和响应能力的持续奉献。 勒索软件活动的增加也会影响这一类别。 

Internal detection is when an organization independently discovers it has been compromised. External notification is when an outside entity informs an organization it has been compromised。

从报告里给的定义看！！！

内部威胁：就是对应内网威胁！！！

外部威胁：就是入口突破那些。

全局停留时间

停留时间：as the number of days
an attacker is present
in a victim environment
before they are detected.
The median represents
a value at the midpoint
of a data set sorted
by magnitude.

2020 年，全球平均停留时间首次降至 1 个月以下。 组织现在只需 24 天即可检测到事件，是 2019 年的两倍多。无论通知来源如何，检测方面的这些改进都是正确的。 内部检测到的事件的全球平均停留时间下降到仅 12 天，而外部通知来源的事件则为 73 天。==》也就是检测周期！！！

就是说，APT的攻击时间要24天才可以检测出来。

导致停留时间为 30 天或更短的事件比例增加的一个主要因素是涉及勒索软件的调查比例持续飙升，从 2019 年的 14% 上升到 2020 年的 25%。在这些勒索软件入侵中，78 与 44% 的非勒索软件入侵相比，% 的停留时间为 30 天或更短。 Mandiant 专家还观察到，只有 1% 的勒索软件入侵的停留时间为 700 天或更长，而非勒索软件入侵的这一比例为 11%。

==》非勒索软件的攻击调查时间更短！！！

行业定位
Mandiant 观察到，最具针对性的行业每年都保持一致。 2020 年最受关注的五个行业是商业和专业服务、零售和酒店、金融、医疗保健和高科技。 在过去的十年中，商业和专业服务以及金融一直位居前五名最受关注的行业。 总体而言，排名靠前的行业变化不大，而排名中的位置则有些不稳定。 Big Movers Mandiant 专家观察到，零售和酒店组织在 2020 年成为第二大目标行业，而 2019 年为第 11 位。医疗保健从 2019 年的第 8 位上升至 2020 年第三大目标行业。 另一个方向，Mandiant 专家观察到娱乐和媒体的定位有所下降，从 2019 年的最有针对性的行业下降到 2020 年的第 6 位。

 

有针对性的攻击
Mandiant 专家对 2020 年的各种入侵做出了回应，对初始感染媒介、对手行动和受害者环境进行了观察。初始感染媒介 虽然网络钓鱼仍然是初始攻击的有效媒介，但在 2020 年，Mandiant 观察到对手比其他媒介更频繁地利用漏洞。在确定了最初的入侵媒介的情况下，在 29% 的入侵中发现了漏洞利用的证据，而网络钓鱼占入侵的 23%。 Mandiant 专家还观察到，在 19% 的调查中，对手使用窃取的凭据或暴力破解作为初始攻击媒介。先前的入侵占识别出初始入侵的入侵的 12%。攻击者行动 攻击者继续通过包括勒索、赎金、支付卡盗窃和非法转移在内的方法来利用入侵来获取金钱。直接经济收益是 36% 的入侵的可能动机，另外 2% 的入侵可能是为了转售访问权限而实施的。 2020 年，数据盗窃仍然是威胁参与者的重要任务目标。在 32% 的入侵攻击中，攻击者窃取了数据，其中 29% 的案例（占所有案例的 9%）可能支持知识产权或间谍活动的最终目标。大约 3% 的入侵可能只会破坏架构以进行进一步的攻击，内部威胁仍然很少见，只有不到 1% 的入侵。环境 在 29% 的案例中，Mandiant 专家在受害者环境中发现了不止一个不同的威胁组——几乎是 2019 年发现的百分比的两倍。

 

威胁组织

在 Mandiant 的历史进程中，Mandiant 专家跟踪了 2,400 多个威胁组，其中包括 2020 年新跟踪的 650 多个威胁组。多年来，Mandiant 专家合并或消除了大约 500 个这些组，留下了 1,900 多个不同的威胁组织此时跟踪。通过扩展和完善庞大的威胁参与者知识库，Mandiant 可以支持广泛的调查，同时保持该数据集的保真度。 2020 年，Mandiant 专家根据对活动重叠的广泛研究，将一个小组升级为一个命名的威胁小组，并合并了 75 个威胁小组。有关 Mandiant 如何定义和引用 UNC 组和合并的详细信息，请参阅“Mandiant 如何跟踪未分类的威胁行为者。”1 2020 年，Mandiant 专家调查了涉及 246 个不同威胁组的入侵。组织面临四个命名的财务威胁 (FIN) 团体的入侵；六个指定的高级持续威胁 (APT) 团体，包括来自中国、伊朗和越南等民族国家的团体；和 236 个未分类威胁 (UNC) 组。在入侵客户端观察到的 246 个威胁组中，其中 161 个威胁组是 2020 年新跟踪的威胁组。

 

恶意软件
Mandiant 基于从一线 Mandiant 调查、公开报告、信息共享和其他研究中获得的见解，不断扩展其恶意软件家族的知识库。 2020 年，Mandiant 开始跟踪 500 多个新的恶意软件家族。 与上一年相比，这与新跟踪的恶意软件家族的数量持平。 Mandiant 每年应对数百种不同的入侵，其中攻击者为组织提供了独特的挑战。 2020 年，Mandiant 专家在调查受感染环境期间观察到 294 个不同的恶意软件系列正在使用中。 Mandiant 专家在入侵期间观察到的近 300 个恶意软件家族中，有 144 个是 Mandiant 于 2020 年开始跟踪的恶意软件家族。攻击者不仅使用已建立的恶意软件，而且还在继续创新并适应在受害者环境中有效。

Malware Families by Category

The malware category distribution remains relatively consistent year over year.
Of the 514 newly tracked malware families in 2020, the top five categories
were backdoors (36%), downloaders (16%), droppers (8%), launchers (7%) and
ransomware (5%).

 

恶意软件类别 主要用途 后门 一个程序，其主要用途是允许威胁参与者以交互方式向安装它的系统发出命令。 Credential Stealer 一种实用程序，其主要目的是访问、复制或窃取身份验证凭据。下载器 一个程序，其唯一目的是从指定的地址下载（并且可能启动）文件，并且不提供任何附加功能或支持任何其他交互式命令。 Dropper 一个程序，其主要目的是提取、安装并可能启动或执行一个或多个文件。启动器 主要目的是启动一个或多个文件的程序。与 dropper 或安装程序的不同之处在于它不包含或配置文件，而只是执行或加载它。勒索软件 主要目的是执行某些恶意操作（例如加密数据）的程序，目的是从受害者那里提取付款，以避免或撤消恶意操作。其他 包括所有其他恶意软件类别

 

按可用性新跟踪的恶意软件系列
Mandiant 专家观察到，新跟踪的恶意软件家族中有 81% 是
非公开，而 19% 是公开的。 虽然对手确实公开使用
可用的工具和代码，跟踪的大多数恶意软件家族很可能是
私人开发或它们的可用性受到限制。

 

最常见的恶意软件家族 Mandiant 专家调查的入侵中最常见的五个恶意软件家族是 BEACON、EMPIRE、MAZE、NETWALKER 和 METASPLOIT。 BEACON 在 2020 年如此普遍，以至于在 Mandiant 调查的所有入侵中，近四分之一都观察到了它。 Mandiant 专家还观察到，跨事件使用的恶意软件缺乏交叉授粉。 在一次入侵期间，只有 3.4% 的恶意软件家族在 10 次或更多次入侵时被观察到，70% 的恶意软件家族仅在一次入侵期间被观察到。

 

• BEACON 是作为 Cobalt Strike 的一部分在商业上提供的后门程序
软件平台，通常用于渗透测试网络环境。
该恶意软件支持多种功能，例如注入和执行
任意代码，上传和下载文件以及执行shell命令。
Mandiant 已经看到 BEACON 被广泛的命名威胁组织使用
包括 APT19、APT32、APT40、APT41、FIN6、FIN7、FIN9 和 FIN11，以及
近 300 个 UNC 组。
• EMPIRE 是一个公开可用的 PowerShell 后利用框架，
允许用户在不使用 powershell.exe 的情况下运行 PowerShell 代理。
PowerShell Empire 还允许参与者运行各种类型的后期利用
模块并在逃避检测的同时进行适应性通信。
Mandiant 专家追踪了 90 个利用 EMPIRE 的威胁组织，包括
APT19、APT33、FIN10、FIN11 和 86 UNC 组。
• MAZE 是一个勒索软件系列，可加密存储在本地和网络上的文件
分享。 MAZE 可以配置为感染远程和可移动驱动器以及
通过 HTTP 发送基本系统信息。 Mandiant 观察到十几个不同的
出于经济动机的威胁组织利用 MAZE 勒索软件。
• NETWALKER ia 勒索软件系列能够删除卷影副本
并使用加密受害者主机和任何映射的网络驱动器上的文件
SALSA20 和 Curve25519 加密算法的组合。曼迪安特
跟踪八个使用 NETWALKER 勒索软件的威胁组
他们的货币最终目标。
• METASPLOIT 是一个渗透测试平台，使用户能够发现、利用、
并验证漏洞。 Mandiant 见过 APT40 使用的 METASPLOIT，
APT41、FIN6、FIN7、FIN11 和 40 UNC 组，最终目标范围为
渗透测试的间谍活动和经济利益。

==》从这个看，fireeye的恶意软件其实是包含一些attck攻击工具的！！！

 

恶意软件家族的有效性是恶意软件可以针对的操作系统。

与之前的趋势一致，大多数新跟踪的恶意软件家族在 Windows 上都是有效的。 只有 8% 和 3% 的新跟踪恶意软件家族分别在 Linux 和 MacOS 上有效。 与新跟踪的恶意软件家族的趋势相似，在 Mandiant 调查期间观察到的大多数恶意软件家族在 Windows 上都是有效的。 还观察到在 Linux 和 MacOS 上有效的恶意软件，但分别仅占恶意软件家族的 13% 和 5%。

94% Windows Eective
8% Linux Eective
3% Linux Only
3% MacOS Eective
1% MacOS Only

==》可以看到windows下的恶意软件是最多的！！！

威胁技术 Mandiant 通过将其发现映射到 MITRE ATT&CK 框架来继续支持社区和行业的努力。 2020 年，MITRE ATT&CK 框架发生了重大变化，引入了子技术并将 PRE-ATT&CK 纳入 Enterprise ATT&CK。部分由于这些变化和数据模型的持续改进，Mandiant 现在将 MITRE ATT&CK 技术映射到 1800 多种 Mandiant 技术和后续发现。在做出安全决策时，组织必须考虑在入侵期间使用特定技术的可能性。 2020 年，Mandiant 专家观察到攻击者使用 63% 的 MITRE ATT&CK 技术和 24% 的子技术。然而，在超过 5% 的入侵中发现了仅 37% 的技术（占所有技术的 23%）。在 2020 年调查的一半以上的入侵中，Mandiant 观察到攻击者对文件或信息使用了混淆（例如加密或编码）来使检测和后续分析更加困难（T1027）。攻击者经常使用命令或脚本解释器来进一步入侵 (T1059)，其中 80% 的案例涉及使用 PowerShell (T1059.001)。系统服务 (T1569) 也是一种流行的执行方法，占 31% 的入侵，所有入侵都使用 Windows 服务 (T1569.002)。攻击者还使用远程服务 (T1021) 进一步入侵，其中 88% 的攻击者使用远程桌面协议 (T1021.001)。对手经常利用受害者环境中可用的东西；攻击者使用 PowerShell、Windows 服务和远程桌面的频率突出了这种趋势。

88% Remote Desktop Protocol (T1021.001)
100% Windows services (T1569.002)
80% PowerShell (T1059.001)

==》对应的使用占比：
Used in 31% of all intrusions
Used in 25% of all intrusions
Used in 41% of all intrusions

 

=》详见原文！！！