1. 深信服2024年APT洞察报告:0day漏洞、AI利用,2024年攻防对抗启示录

一、APT攻击概况

2024年,全球APT组织通过技术跃迁、组织升级等不断演化和扩张,已将攻击的魔爪伸向影响更广泛、更具破坏性的领域。高级持续性威胁(APT)正在经历新一轮技术跃迁,攻防对抗再度升级。从利用0day漏洞渗透政府系统,到通过供应链投毒控制关键基础设施,再到结合生成式AI实施精准钓鱼,攻击者的手段不断迭代。

二、0day漏洞的"攻击版图"演化

2.1 操作系统与浏览器仍是主战场

2024全年,操作系统和浏览器依然是攻击者的首选目标,监测到全球APT组织使用的31个在野0day漏洞中,Microsoft、Google存在21个,因操作系统和浏览器使用广泛且攻击成本低,攻击者利用其特性进行高频"流水线攻击"。

2.2 国产软件成为APT攻击新目标

2024年,国产软件漏洞首次被Project Zero收录,这一变化折射出我国软件生态在快速发展中面临的安全威胁。例如,APT-C-60组织利用某国产办公软件的任意代码执行漏洞(CVE-2024-7262)开展高级渗透并窃取敏感数据。

2.3 供应链攻击成为新的软肋

攻击者通过第三方组件投毒进行供应链攻击,渗透企业环境,污染链条极难追溯。如2024年,Lazarus组织利用Chrome浏览器JavaScript引擎V8中的两个0day漏洞,对全球加密货币参与者和投资者发起恶意攻击以谋取经济利益。

三、“全流程作战"的攻击技术狂飙

3.1 初始打点阶段

新型钓鱼手法花样频出,开源软件供应链投毒频发,AI也加速了0day漏洞的利用。例如,海莲花、Bitter等APT组织使用MSC文件对科研人员开展钓鱼攻击,可天然绕过传统杀软检测。

3.2 执行/持久化阶段

Rootkit等内核级对抗进化升级。攻击者逐步实现了对系统内核的深度掌控。例如,2024年,SkidMap组织的Rootkit攻击技术进化,可持久化控制目标系统且致盲传统安全软件;首个专门针对Linux系统的UEFI Bootkit(命名为Bootkitty)也首度现世。

3.3 防御规避阶段

对抗EDR并致盲/关闭/卸载的事件和工具不断曝光。攻击者对EDR(端点检测与响应)等安全软件的关注度持续上升,涉及与安全软件正面抗衡并成功关闭或禁用安全软件的攻击事件显著增加。

3.4 收集/窃取阶段

窃密组件迭代迅速。为了避免恶意软件被一网打尽,APT组织的窃密组件通常与远控木马分开投递。如SideWinder组织在2024年对后渗透组件进行了大规模更新,使用自研的"StealerBot"后渗透工具包。

四、生成式AI重塑APT攻防格局

生成式AI技术的迅速发展,极大地降低了APT攻击的门槛,提升了攻击的隐蔽性和成功率。攻击者借助AI可以快速生成复杂攻击链路、优化payload制作、编写免杀代码,并通过深度伪造技术实施社会工程学攻击。

典型案例:

  • 利用AI批量生产钓鱼话术,攻击者向韩国某高校教授投递的「学术会议邀请函」均由ChatGPT输出
  • Lazarus组织利用AI生成NFT坦克游戏页面,吸引加密货币玩家,进而窃取其私钥
  • 攻击者利用AI工具快速分析,仅22分钟就将新披露的0day漏洞转化为攻击工具

五、防御建议

  1. 建立多层次安全防护体系,包括边界防护、终端防护、网络防护
  2. 及时修补已知漏洞,特别是操作系统和浏览器的高危漏洞
  3. 加强供应链安全管理,确保第三方组件的安全性
  4. 部署AI驱动的安全检测工具,提升对未知攻击的检测能力
  5. 定期开展安全意识培训,提高员工对钓鱼攻击的识别能力
  6. 建立完善的应急响应机制,确保在遭受攻击时能够快速响应和恢复
  • 链接:https://www.sangfor.com.cn/news/68c37e8677cd47dab987f84d787745a1