《新華三：2023年勒索軟件攻擊態勢報告（29頁）.pdf》由會員分享，可在線閱讀，更多相關《新華三：2023年勒索軟件攻擊態勢報告（29頁）.pdf（29頁珍藏版）》請在三個皮匠報告上搜索。

1、 目 錄 CONTENTS 1 1 引言 3 2 2 2023 勒索攻擊大事件 4 3 3 勒索軟件受害者分析 6 3.1 勒索軟件受害者行業畫像 6 3.2 勒索軟件受害者地域畫像 7 4 4 勒索軟件攻擊者分析 8 4.1 年度勒索家族盤點：最熱與最新 8 4.2 年度勒索攻擊趨勢：五月達頂峰 9 4.3 勒索入侵手段分析：漏洞利用最多 10 4.4 慣用加密算法分析：傳統是主流 11 4.5 索要贖金方式分析：行業有差異 12 5 5 勒索軟件技戰法演進分析 13 5.1 勒索攻擊技術演進 13 5.2 勒索攻擊策略演進 16 6 6 AIGC 時代下勒索攻擊和防御 19 6.1 輔助勒

2、索者進行關鍵攻擊流程開發 19 6.2 賦能安全廠商升級防御技術與方案 21 7 7 新華三勒索防御方案 23 附錄：安全建議和處置清單 24 安全建議 24 勒索軟件應急處置清單 25 新華三聆風實驗室 27 主動安全 3 1 1 引言 數字化時代下，網絡勒索攻擊已經成為不可繞過的熱點議題。作為最嚴重的網絡安全威脅之一，勒索軟件以其快速迭代和不斷演進的技戰法不斷刷新各行各業的眼球?；陂L期對全網勒索活動的監測，新華三聆風實驗室對2023 年典型勒索攻擊活動進行分析，分別從受害者畫像、攻擊者畫像、技戰法演進、AIGC 時代下的攻擊與防御等維度進行了總結。本報告圍繞勒索軟件 2023 全年攻擊態

3、勢展開，涵蓋了主流勒索軟件攻擊技術和特點，探索當前勒索軟件的發展趨勢，旨在幫助機構組織、企業和個人對勒索軟件有更深入的了解，減少勒索軟件帶來的威脅和損失?？偟膩碚f，2023 年全球勒索軟件攻擊活動存在如下特點：1、2023 年全球勒索攻擊活動呈上升趨勢，同比 2022 年上漲 77%；2、從受害行業來看，2023 年 TOP5 受害者屬于專業與法律服務、信息技術、批發零售、制造、房產建筑相關行業，共占比 62.29%；3、從受害地域來看，北美、歐洲、亞洲位于前三，其中，美國以 46%的占比居于全球首位；4、從活躍家族來看，2023 年共監測 62 個活躍勒索軟件，其中有 26 個為新興家族?；?/p>

4、躍 TOP3 家族分別是LockBit、BlackCat 和 CL0P。此外，新興家族中 Akira 和 MalasLocker 則直接躋身上榜 TOP10；5、從攻擊數量來看，各月攻擊數量存在一定的波動，具體的，2023 年上半年呈上升趨勢，下半年基本穩定。值得注意的是 LockBit 勒索攻擊活動在全年中有 8 個月居于榜首；6、從入侵手段來看，漏洞利用、釣魚郵件、弱口令占入侵攻擊的 60%以上。2023 年有 44 個漏洞被勒索組織頻繁利用，類型多為遠程代碼執行和提權漏洞，其中，零日漏洞(0day)造成的影響最為嚴重；7、從加密算法來看，勒索軟件更偏向于將對稱和非對稱進行組合，基于 AE

5、S 和 RSA 的算法仍是當前活躍勒索軟件加密的主流算法；8、從索要贖金來看，不同勒索軟件索要贖金差異明顯，其中最高額為 8000 萬美元，創造了歷年來最高贖金規模，由 LockBit 勒索軟件針對美國科技服務巨頭 CDW 發起。主動安全 4 2 2 2023 勒索攻擊大事件 物流 1 月，英國皇家郵政成為了 LockBit 勒索軟件 2023 年的第一個大型企業受害者。此次勒索攻擊導致皇家郵政的國際郵遞業務被迫中斷，無法向海外客戶發送郵寄包裹。LockBit 向皇家郵政索要高達 8000 萬美元的贖金來解鎖數據。政府機構 2 月，美國奧克蘭市政府遭受了 PLAY 勒索軟件的攻擊，直接導致市政

6、信息技術系統被緊急下線，市民無法進行在線支付、接聽電話，甚至無法支付停車罰單。因市政府未支付贖金，PLAY 勒索軟件組織泄露了10GB 左右的私密數據，包括財務和政府文件、身份證件和員工個人信息。醫療保健 3 月，西班牙巴塞羅那一家醫院遭到了 RansomHouse 勒索軟件的攻擊，導致該醫療機構計算機系統癱瘓，業務嚴重受損，醫生無法訪問病人信息，甚至被迫取消在接下來幾周進行的 150 起手術和 3000 個預約檢查。信息技術 4 月，新興勒索軟件 Money Message 發起對臺灣 PC 零部件制造商微星科技（MSI）的網絡勒索攻擊。Money Message 從該公司的系統中竊取了包括

7、源代碼在內的 1.5TB 數據，并要求其支付 400 萬美元的贖金以恢復數據。政府機構 5 月，BlackByte 勒索組織發起了對美國奧古斯塔市政府的勒索攻擊，導致該市的 IT 系統中斷，同時還竊取大量了個人數據，包括工資信息、聯系方式、個人身份信息、居住地址、合同等。BlackByte 組織要求該政府支付 40 萬美元的贖金，并提出以 30 萬美元的價格將數據轉售給感興趣的第三方。主動安全 5 公共事業 6 月，CL0P 成功利用 MOVEit 平臺的零日漏洞入侵了上百家企業，其中受影響最大的是美國政府承包商Maximus 公司，CL0P 團伙稱他們竊取了該公司 169GB 的數據，約計

8、800 萬到 1100 萬條個人隱私數據。教育機構 7 月，美國夏威夷社區學院遭受了新興勒索組織 NoEscape 發起的網絡勒索攻擊。此次攻擊事件中，大約有 28000 人的個人數據被盜取。NoEscape 要求該校支付 100 萬美元贖金，否則將會發布 65GB 的被盜數據。醫療保健 8 月，Rhysida 勒索組織對醫療保健行業大肆發起攻擊，Prospect Medical Holdings（PMH）就是其中的受害者之一，這次網絡攻擊迫使該醫院關閉在線網站。Rhysida 稱他們共竊取了 1TB 的文件和 1.3TB 的數據庫，包含 SSN、駕駛證、患者醫療信息等數據。休閑娛樂 9 月，

9、美高梅度假村公司和凱撒娛樂相繼遭受了 BlackCat 勒索組織的網絡攻擊。BlackCat 竊取了大量的數據，包含客戶的 SSN、護照、駕駛證號碼等諸多私人信息，由于拒絕支付贖金，美高梅稱此次攻擊造成了 1 億美元的負面影響，而凱撒娛樂為防止客戶數據被泄露，被迫支付了 1500 萬美元的贖金。航空運輸 10 月，BianLian 勒索團伙將加拿大的一家航空公司列入到他們的受害者名單中，聲稱竊取了 210GB 的數據。為了證明入侵成功，BianLian 在地下網站上分享了被竊數據的截圖，被竊數據包括該組織 2008 年到2023 年的技術與運營數據、供應商數據，以及公司數據庫檔案和員工的個人信

10、息等。金融服務 11 月，Medusa Locker 勒索軟件攻擊了豐田汽車公司旗下金融服務公司（TFS）。此次攻擊中，Medusa Locker 竊取了數百 GB 的文件，并公布了一些案例數據，包括財務文檔、財務績效報告、護照掃描件、用戶 ID 密碼等，該組織要求 TFS 向其支付 800 萬美元的贖金換取數據不被泄露。制造業 12 月，日本汽車制造商日產在澳大利亞的分公司網絡系統遭受 Akira 勒索組織的破壞。Akira 稱從該企業的系統中竊取了大約 100GB 的數據，包括員工個人信息、客戶信息、合作伙伴、保密協議等。主動安全 6 3 3 勒索軟件受害者分析 3.1 勒索軟件受害者行業

11、畫像 圖 3-1 2023 勒索攻擊行業分布(數據來源:DarkTrace)根據攻擊行業分布統計圖，勒索軟件的目標行業帶有明顯的趨向性，以制造、批發、房產為主的實體行業仍是 2023 年的勒索重災區。此外，數據價值和敏感度高的行業也是勒索攻擊的重點傾向目標，如法律、信息技術、教育行業等。主動安全 7 3.2 勒索軟件受害者地域畫像 圖 3-2 全球攻擊地域分布 全球攻擊地圖顯示，北美洲（50%），歐洲（30%），亞洲（9%）三個地區受到的攻擊最嚴重。其中美國（46%）居于全球首位，加拿大（6%）排在第二。根據分布圖和各地域發展情況可以看出，勒索組織更偏向經濟資源發達、高度數字化和信息化的國家和

12、地區，這與當地數字信息化程度以及勒索組織趨利的目標一致。主動安全 8 4 4 勒索軟件攻擊者分析 4.1 年度勒索家族盤點：最熱與最新 圖 4-1 2023 年度 TOP10 活躍勒索家族 據統計，2023 年共有 62 個勒索軟件家族發起了程度不同的勒索攻擊，與 2022 年有 65 個活躍家族數量接近。其中，TOP3 活躍家族分別是 LockBit(21.4%)、BlackCat(9.44%)和 CL0P(8.44%)。2023 年勒索軟件家族更替明顯，新增 26 個新興勒索家族，圖 4-2 展示了 2023 年新興勒索家族 TOP10。主動安全 9 圖 4-2 新興勒索軟件家族 TOP1

13、0 在所有家族中，新興勒索家族的活躍度占總體 19.28%。其中，以 Akira、MalasLocker 和 NoEscape 為代表的新興家族最為活躍，新老家族更替頻繁的一個重要原因是來自于執法部門的強力打壓和封禁。4.2 年度勒索攻擊趨勢：五月達頂峰 圖 4-3 各月攻擊數量及月度最活躍家族(數據來源:DarkTrace)根據圖 4-3 統計，2023 年各月攻擊數量存在一定的波動，但并未發生大規模爆發。勒索攻擊在 15 月呈上升趨勢，612 月保持穩定。在各月的攻擊事件中，LockBit 在全年中共 8 個月登上榜首。主動安全 10 4.3 勒索入侵手段分析：漏洞利用最多 圖 4-4 入

14、侵手段統計 圖 4-4 統計了 2023 年活躍勒索軟件的常見入侵手段。其中，漏洞利用（23.58%），釣魚郵件（21.95%）和弱口令（17.89%）三者占所有入侵手段的 60%以上。另外，通過惡意網站和虛假廣告、捆綁破解軟件也是導致勒索中招的另一誘因。數字化時代下信息系統復雜度不斷提升，漏洞的存在不可避免。漏洞利用作為典型的入侵攻擊方式之一，因其高效且相對低風險被勒索攻擊者頻頻利用，表 4-1 中統計了 44 個勒索軟件常用的漏洞。表 4-1 勒索軟件常用漏洞 根據表 4-1，勒索軟件對高危和超危等級的漏洞利用較為頻繁，常用的漏洞類型主要為遠程代碼執行與權限提升漏洞，針對這兩種漏洞類型的利

15、用，一者讓攻擊者能夠成功進入目標系統，二者能夠獲取對系統更高級別的控制權限，從而擴散攻擊范圍。主動安全 11 從被披露的勒索安全事件中，我們統計了包括但不限于 CVE-2023-28252、CVE-2023-34362、CVE-2023-0669、CVE-2023-47242 和 CVE-2023-47246 在內的 5 個零日漏洞(0day)。對勒索攻擊者而言，0day 的價值無疑是巨大的，在廠商還未及時修復就已經成功完成一輪新的攻擊，這種由 0day 產生的攻防對抗的時間差給勒索軟件提供了可趁之機。4.4 慣用加密算法分析：傳統是主流 在文件加密階段，由于使用對稱、非對稱或兩種加密的組合都

16、會直接影響加密階段的密鑰生成和管理,因此，不同的勒索軟件在選擇加密方案也表現出差異。圖 4-5 統計了 2023 活躍勒索軟件使用的加密算法情況。由于對稱加密速度優勢明顯，勒索軟件更偏向于將對稱和非對稱進行組合，傳統的基于 AES 和 RSA 算法占比超過 50%，這兩者仍然是當前活躍勒索軟件加密的主流算法。此外，在非對稱加密中基于橢圓曲線加密算法（Elliptic Curve Cryptography，ECC）和對稱加密中的 ChaCha20 的組合也逐漸被用于勒索加密攻擊中。圖 4-5 2023 活躍勒索軟件加密算法統計 主動安全 12 4.5 索要贖金方式分析：行業有差異 圖 4-6 2

17、023 已被披露的勒索攻擊中索要贖金統計 圖 4-6 統計了 2023 年各勒索軟件已披露贖金索要金額，包括贖金的上限和下限金額（注：按 1 萬美元為起始值）,分析如下：1、索要贖金范圍較大，不同勒索軟件索要贖金差異明顯。其中贖金范圍較大的如 Karakurt 家族，更偏向于機會主義，不針對特定行業或部門，而贖金范圍較小的家族如 Lorenz，傾向于對中小型企業發起定制化的攻擊。2、索要贖金最高額為 8000 萬美元，創造了歷年來最高額贖金規模，由 LockBit 勒索軟件針對美國科技服務巨頭 CDW 中發起，最終因談判失敗，LockBit 在其平臺上泄露該公司數據。3、由于受害組織所在行業不

18、同，勒索軟件索要贖金差異明顯。各受害組織采取談判措施或拒絕支付，勒索軟件組織的實際收益遠低于索要金額。需要明確，即使受害者支付贖金，也無法保證所有被加密數據能夠完整復原。Veeam 在2023 年勒索軟件趨勢報告統計，超過 19%的受害組織支付贖金仍無法恢復數據。更重要的是，支付贖金的行為會鼓勵這些被不法利益驅動的網絡犯罪分子繼續勒索攻擊，行為更加猖獗。主動安全 13 5 5 勒索軟件技戰法演進分析 5.1 勒索攻擊技術演進 為適應不斷變化的網絡環境，優化攻擊效果，勒索軟件的攻擊技術在不斷推陳出新。我們總結了 2023 年較為新型的勒索攻擊技術，并對勒索軟件發展趨勢進行分析，具體有：跨平臺語言

19、助力勒索軟件發展 無論是出于對加密速度的提升或是對跨平臺兼容性的考量，勒索軟件的編程語言開始轉向 Golang、Rust和 Nim 等非傳統編程語言。BlackCat 作為第一個廣為知曉的基于 Rust 編程的勒索軟件，能夠在 Windows 和 Linux 等操作系統下對其勒索軟件進行編譯，快速生成針對不同平臺的勒索軟件版本。此外，勒索軟件Kanti 使用同樣支持跨平臺編譯的 Nim 編程語言。由于語言的特性，使用這些非傳統語言的勒索軟件，不僅會帶來諸如內存安全、跨平臺移植等優勢，更重要的是，在一定程度上還能夠規避基于源碼分析的靜態檢測，進而加大研究人員的分析以及制定防御措施難度。黑客工具不

20、斷創新 以經濟驅動的勒索攻擊產業化、商業化趨勢加劇，威脅攻擊者之間的合作與信息共享促進了黑客工具的不斷創新。3 月份，攻擊者利用一種新的“Exfiltrator-22”（EX-22）黑客工具在受害者網絡部署勒索軟件。該工具具有強大的防御規避能力，被宣傳為“無法檢測的惡意軟件”在地下論壇兜售。勒索軟件對黑客工具的創新，不僅具有更好的攻擊效果，在一定程度上，更是有效規避了安全廠商和防病毒軟件檢測。自 2023 年開始，多個勒索組織如 LockBit、Medusa Locker 等在部署階段均使用一種新型防御規避工具AuKill，AuKill 在禁用 EDR 和繞過防病毒解決方案時表現出極強隱蔽性，

21、主要是通過濫用合法軟件實現 BYOVD（自帶易受攻擊的驅動程序）攻擊。同時，為了提高攻擊成功率，勒索組織也在不斷尋找和開發自己的新型黑客工具。Vice Society 勒索組織開發出一款功能復雜的 PowerShell 腳本，旨在自動化搜尋和竊取目標網絡中有價值的數據。此外，BlackCat 的新工具Munchkin，巧妙利用了虛擬機與操作系統的“隔離區”，加載在自定義的 Alpine 虛擬機(VM)中，將 BlackCat 加密載荷隱秘地散播、部署到遠程設備上，如圖 5-2。主動安全 14 圖 5-2 Munchking 攻擊過程 遠程加密攻擊激增 遠程加密是指在內網中，勒索軟件在某一個失陷

22、的端點上可以加密同一網絡內其他設備的數據，由于攻擊來源是失陷主機，即使是受監管計算機也無法檢測到有關勒索進程的異常行為，如圖 5-3 所示。根據Sophos 統計，自 2022 年以來，遠程加密攻擊同比增長 62%。勒索組織積極尋找易受攻擊的設備作為入口點，只需一臺受控主機，就可以繞過傳統的安全措施對內網主機共享文件進行遠程加密，以最大限度減少存在的“蹤跡”，大大降低被溯源的可能性。遠程加密已經發展為眾多勒索軟件的“必備技能”，如 BlackCat，LockBit，Royal 等。微軟在 10 月份的數字防御報告中統計，約 60%的勒索軟件攻擊涉及惡意遠程加密，超過 80%的勒索軟件攻擊來源于

23、非托管設備。主動安全 15 圖 5-3 基于主機和基于遠程的加密過程 加密技術和加密策略雙升級 新興勒索家族的一個重要的演變趨勢是逐漸在傳統非對稱加密算法中，傾向選擇 Curve25519 等 ECC 算法。在不影響安全性的情況下，ECC 相比于 RSA 算法具有更快的加解密速度、更短的密鑰，而更短的密鑰意味著更少的計算量。2023 年 2 月，在一起針對 Zimbra 服務器發起攻擊事件中，新興勒索家族MalasLocker 使用較為小眾的“AGE”（Actual Good Encryption）加密工具來加密文件，該工具正是采用X25519、ChaCha20-Poly 和 HMAC-SHA

24、 等較新的加密算法組合，這種能夠實現快速加密的工具，讓MalasLocker 在短時間內“收割”到大批受害服務器。此外，另一個名為 Nokoyawa 的勒索軟件在其 C 語言和 Rust 語言的兩個版本中分別采用 Curve SECT233R1（又名_NIST B-233）和 Curve25519 在內的 ECC加密算法。我們統計了部分活躍勒索軟件使用的加密算法，如圖 5-2。表 5-2 利用 ECC 加密算法的新興勒索家族 家族 加密算法 MalasLocker X25519+ChaChar20-Poly1305+HMAC-SHA256 RA GROUP HC-128+Curve25519

25、Cyclops Curve25519+HC-256 主動安全 16 CrossLock Curve25519+ChaCha20 Nokoyawa Curve25519+Salsa20 除了加密技術，勒索軟件在加密策略上同樣在升級。研究發現，越來越多的勒索軟件使用間歇性加密策略只加密文件部分內容。與傳統的加密策略相比，間接性加密的主要優勢在于速度和規避檢測能力。安全公司 Check Point 在 6 核 CPU 機器上對 220,000 個文件進行測試，使用間歇性加密到全部完成只需要4.5 分鐘，而曾被認為是最快的勒索軟件 LockBit v3.0 則需要 7 分鐘完成。自 2021 年 Lo

26、ckFile 勒索軟件首先采用該策略以來，Black Basta、BlackCat、PLAY、Agenda 和 Qyick 等勒索組織也紛紛效仿，甚至BlackCat 提供 6 種可配置的加密模式，通過命令選擇加密模式和指定要加密的字節數，如圖 5-4。圖 5-4 BlackCat 加密模式結構（圖源:cyberark）5.2 勒索攻擊策略演進 2023 年勒索軟件的攻擊策略也在不斷演變升級，我們總結了較為新型的勒索攻擊策略，并對勒索軟件發展趨勢進行分析，主要有：策略轉變，無加密勒索攻擊興起 網絡勒索攻擊的一個重要趨勢是正在逐步轉向無加密攻擊（Encryptionless），代表組織有Kara

27、kurt、Donut、RansomHouse 和 BianLian 等。與傳統的勒索攻擊相比，無加密攻擊注重竊取大規模的數據，以泄露竊取的數據來施壓，威脅受害組織支付贖金。由于摒棄了文件加密階段，攻擊行為更加隱蔽，只有當受害組 主動安全 17 織在收到贖金要求時才知道已經遭受攻擊。導致眾多勒索組織從雙重、多重勒索轉向無加密勒索的原因主要有：1.勒索組織對加密器開發維護以及解密密鑰管理存在一定的開銷，尤其是加密器被安全研究人員破解后，勒索攻擊前面的所有努力將歸零；2.大多數企業注重聲譽影響，僅通過敏感數據泄露就足夠對企業產生嚴重的負面影響，包括與客戶、合作伙伴、公眾之間的信任危機；3.無加密攻擊

28、不會破壞受害者的系統，更不會導致受害者大規模的業務中斷，其惡劣程度和負面影響比傳統加密勒索低得多，同時也降低了被執法部門和安全研究人員追蹤和調查的風險；規避升級，濫用合法軟件隱匿自身 在當前勒索攻擊中，攻擊者越來越傾向于濫用合法工具，以這種巧妙手段對目標進行不知不覺的滲透，且能有效混淆安全防護系統，降低被查殺的概率。對合法工具看似合理的利用，實際是為了完成勒索攻擊的某項具體行為，如通過 ProcessHacker 遍歷受害主機的上的安全防護進程和服務，并終止它們。表 5-3 列出了勒索攻擊各階段常被利用的合法工具。表 5-3 常見被勒索軟件利用的合法工具 類別 合法工具 使用過該工具的勒索組織

29、 使用目的 進程遍歷 ProcessHacker、PowerTool、BCDEDIT GMER、PsExec PlayCrypt、Snatch、Crysis、Nefilim 查找并終止安全軟件相關進程、服務 遠程訪問 AnyDesk、PuTTy、TeamViewer、RustDesk PlayCrypt、AvosLocker、Trigona 控制受害者機器以實現持久化 信息搜集 AdFind PlayCrypt、Nefilim、NetWalker、ProLock 收集信息并利用這些信息進行后續的網絡滲透攻擊 文件傳輸 FileZilla、Rclone、WinSCP AvosLocker、Pla

30、yCrypt Karakurt、Akira、LockBit 竊取受害主機數據文件 文件壓縮 7zip、WinRAR AvosLocker 打包壓縮竊取的數據文件 攻擊者對某項具體的惡意行為進行“拆解”，并在勒索攻擊中的各個階段濫用合法軟件或工具，將惡意活動隱藏在海量的正常操作中，從而欺騙安全防護系統，進行更深一步的滲透和攻擊。主動安全 18 施壓加劇，數據泄露策略升級 隨著對抗的加深，勒索軟件攻擊策略不斷升級，其中數據泄露策略上升為一個新趨勢。為防止被執法機構追蹤，通常的做法，勒索組織會將竊取的數據通過 Tor 站點（The Onion Router）泄露。由于 Tor 站點的特殊性，訪問該站

31、點需要特殊的瀏覽器，受限的數據泄露范圍給到受害者的壓力也會大打折扣。為了進一步達到施壓效果，勒索軟件紛紛致力于升級其數據泄露策略。5 月，CL0P 搭建了專門用于泄露竊取數據 Clear 網站，以解決傳統 Tor 站點數據傳輸慢的問題，將從 MOVEit 平臺竊取到的數據暴露給了更廣泛的群體，包括受害組織的員工、甚至是公眾。然而這類網站很快被執法部門查封，于是 CL0P 組織轉向使用 Torrent 來分發數據。除此之外，BlackCat 勒索組織在其數據泄露站點上添加了 API 調用接口，這些 API 接口幫助更快速定位到受害者數據。更有甚者，Medusa Locker 通過制作視頻播放的方

32、式來達到泄露數據的目的。綜上，勒索軟件在施壓手法上不斷創新和調整策略，無論哪種策略的升級都將對受害者數據的安全和隱私構成巨大威脅。攻擊面擴大，針對 Mac 平臺積極嘗試 在今年的多起勒索攻擊事件中，一些勒索組織已將目光瞄準 MacOS。調查數據顯示，MacOS 強大的內生安全機制并沒有讓勒索軟件放棄采取“新動作”。4 月，臭名昭著的 LockBit 勒索軟件已經針對 Mac 系統開發出專門的加密器。7 月，Knight 背后的組織宣稱他們的勒索軟件也會覆蓋 Mac 系統。此外，11 月，安全人員披露了一個基于 Go 語言編寫的 MacOS 勒索載荷“Turtle”，鑒于威脅較低，最終將其定性為

33、針對 MacOS 的積極嘗試。作為勒索“重災區”的美國，根據 IDC 統計，MacOS 在企業端點中已達 1/4，逐年上升的市場份額和受眾群體是吸引勒索攻擊者積極嘗試的一大誘因。更重要的是，Mac 用戶通常更具有影響力，如擁有管理權限的高層人員，或可以訪問敏感數據和系統的開發人員。無論是出于“端點權限”或是“經濟實力”的考量，這些用戶往往將成為勒索軟件重點的關注目標。主動安全 19 6 6 AIGC 時代下勒索攻擊和防御 2022 年底，以 ChatGPT 為代表的生成式人工智能(Artificial Intelligence Generated Content,AIGC)產品問世，為人工智能

34、產業帶來突破性、革命性的發展，作為一個將人工智能（Artificial Intelligence，AI）與大語言模型（Large Language Model,LLM)結合的新興智能產物，其生成潛力已經引起了各行各業的廣泛關注，迅速在全球范圍內掀起一股應用熱潮。AIGC 帶來的風險與機遇并存，網絡勒索攻擊在不斷迭代更新的同時，AI 技術的發展也為其提供了更加智能化、實時性的支持。另一方面，基于分析式 AI 和生成式AI 的網絡安全技術也將深度賦能勒索檢測與安全運營。攻防雙方的對抗，將開辟新的戰場。6.1 輔助勒索者進行關鍵攻擊流程開發 對于勒索攻擊者來說，AIGC 技術是一把“利劍”。AIGC

35、 和勒索軟件的融合無疑提升攻擊者的效能。首先，AIGC 的智能生成降低了勒索軟件開發的準入門檻，開發者不再需要掌握復雜的編程技巧。另外，基于 AI的機器學習等智能技術將帶來更復雜、高效的勒索攻擊技術，引入更高程度的自動化，傳統的網絡安全防御措施在檢測和防范此類新興攻擊時顯得捉襟見肘。協助代碼開發 盡管目前還未發現 AI 模型從零開始構建可執行惡意軟件工程，但攻擊者會借助 AIGC 強大的上下文關聯和生成能力編寫惡意功能代碼并取得方法論支持。從開發效率上，當攻擊者想要實現特定的敏感操作，如“遍歷系統所有文檔文件”，如圖 6-1，通過“提問-回答”的方式獲取有特定的編程規范和語法的代碼原型，并且能

36、夠快速定位代碼結構邏輯的潛在問題，降低人工調試開銷，保證軟件運行的穩定性和高效性。顯而易見，當攻擊者將 AIGC 技術與惡意軟件開發相結合，不僅加快了惡意軟件的開發周期，在提升效率的同時還兼具惡意軟件定制化和隱蔽性等特點。另外，從可移植性上，在將舊代碼遷移到更先進、更安全的編程語言時，AIGC 技術的出現在一定程度上打破原有人為主觀性和經驗主義的束縛，通過提供自動化的遷移方案和新編程語言模板來確保代碼的正確性和可維護性。主動安全 20 圖 6-1 AIGC 生成“遍歷系統所有文檔文件”案例 參與社工攻擊 IBM 在 2023 數據泄露成本報告 中指出，通過社交工程技術引發的數據泄露平均損失超過

37、 450 萬美元。社交工程攻擊對于網絡犯罪分子來說成功率高并且利潤不菲。作為一種高度定制化的攻擊，社交工程攻擊通常都有針對性的目標和完備的執行計劃，從而使得受害者很難察覺到攻擊的真實性，并產生強烈的緊迫感或情感驅動，進而愿意相信并遵從攻擊者的指示。2023 年影響最大的兩次勒索攻擊(MGM，Caesars)都是由社交工程引起的，人為因素仍是網絡攻擊鏈中最薄弱的環節。根據 Verizon 的 2023 數據泄露調查報告 統計，商業電子郵件失陷(Business Email Compromise,BEC)攻擊比 2022 年翻了一倍，占所有社交攻擊事件的 50%以上。在 AIGC 技術的幫助下，幾

38、乎任何人都可以零門檻編造信服力較高的網絡釣魚電子郵件內容，使得 BEC 攻擊變得更加隱蔽和普遍。值得注意的是，AIGC 可以幫助生成符合員工口吻和寫作風格的郵件內容，以及創造吸引人眼球的話題，這往往也是引發受害者點擊惡意附件的重要推手。此外，由于高度針對性的郵件內容具有極強的真實性且幾乎不含語法錯誤等特點，使得這類郵件很難被傳統的郵件過濾器識別和阻斷。AIGC 技術為社交工程攻擊提供了新的思路和解決方案，根據這種發展趨勢，由 AIGC 技術生成的欺詐內容不僅在偽造個人身份方面表現出高度逼真性，甚至可能會發展新的方法來繞過生物識別身份驗證，攻擊者非法獲得訪問權限的機會大大增加，直接或間接性地促進

39、了勒索軟件的傳播。主動安全 21 自動優化攻擊策略 AIGC技術卓越的自動化生成能力在網絡勒索攻擊中發揮著重大作用，尤其在自動化和優化攻擊策略方面，將網絡攻擊上升至新的維度。具體而言，基于 AI 和 LLM 增強技術，攻擊者能夠自動化采集、處理和分析大量數據，快速識別應用代碼中潛在的漏洞并生成最佳的攻擊路徑，同樣也會隨著目標系統的環境和配置來自動調整攻擊策略。另外，在勒索談判階段，AIGC 技術也扮演重要角色。在跨國地區攻擊中，語言差異和表述方式是攻擊者與受害者談判交流的重要障礙。借助 AIGC 技術的高級語言處理和翻譯模型，攻擊者不僅能夠清晰傳達勒索談判條件，同時也能夠快速獲悉受害者談判訴求

40、。通過 AIGC 技術自動化生成威脅信息、談判策略，甚至是進行心理戰術的文本，攻擊者可以在極短的時間內對受害者施加極大的心理壓力，大大提升勒索談判的效率和成功率。此外，通過自動化生成的話術內容，攻擊者可以避免暴露個人風格或身份特征，達到隱蔽自身的匿蹤效果?？傮w而言，AICG 的應用在自動化和優化攻擊策略方面帶來了全新的可能性，為勒索攻擊者提供了更為復雜和難以對抗的網絡攻擊手段，同時也給網絡安全防御帶來更高的要求。6.2 賦能安全廠商升級防御技術與方案 在當前勒索攻擊日益復雜和不斷演化的網絡威脅環境中，以 AIGC 驅動的網絡安全解決方案已經成為各行各業保護敏感數據和數字資產安全的得力助手?；?/p>

41、 AIGC 驅動的網絡安全技術，結合 AI 和機器學習算法來分析業務中存在的大量風險數據以及各方威脅數據之間的聯系，相較于傳統基于規則的網絡安全技術，能夠快速發現新興威脅，不斷優化防御策略，從而進行更智能、更迅速的網絡攻擊檢測、威脅預測、行為分析和自動化響應，有效增強網絡安全防御的即時性和準確性。提升威脅檢測能力 相較于傳統的基于規則的網絡安全技術，AI/AIGC 在提高威脅檢測的效率和準確性上具有明顯優勢。一方面，先驗性規則開發依賴于安全人員對威脅行為的長期分析和經驗積累，尤其在面對新型語言編寫的攻擊載荷，更是對安全人員的經驗和能力有較高的要求；另一方面，傳統的檢測引擎在面對新型的、未知的威

42、脅則余力不足。而 AIGC 技術的應用能夠有效地解決上述難題，通過對大量不同語言的開源代碼的學習和訓練，AIGC能夠快速檢測到新型語言的惡意載荷甚至是惡意代碼片段，為安全團隊提供實時的輔助決策，提升威脅響應能力。此外，即使新型威脅的樣本或特征較少，AIGC 也能夠基于小樣本學習（Few-Shot）方法智能擴充訓練集生成威脅檢測模型，從而增強模型的泛化能力，對未知威脅的檢測和防御更加智能化和精準化。主動安全 22 提高安全運營效率 在面對安全業務中生成的海量告警數據和日志時，基于 AIGC 的自動化威脅分析和告警相較于傳統依賴人工初篩和核查具有明顯的優勢。AIGC能夠快速識別大規模數據中最嚴重的

43、威脅告警并提升其處理優先級，結合其對業務上下文的理解能力，能更好地幫助安全人員快速定位并在安全事件發生之前采取預防性措施，提升安全運營效率和能力。除此之外，結合自動化 SOAR 的劇本生成，可以更好的實現處置協同。當網絡安全運營過程中發生安全事件時，一旦事件被 AIGC 歸類到指定分類，就會自動觸發響應機制來達到快速響應的目的，為用戶快速提供風險危害與處置建議，提供自動化響應編排處置，可以大幅提升事件分析的準確性和閉環處置效率，還可以輔助企業及時發現潛在的網絡安全威脅，提升企業網絡安全防御能力。增強安全培訓效果 人為因素仍是網絡攻擊鏈中最薄弱的環節，無論是社會工程學攻擊、弱口令、還是由于員工的

44、不當操作，都可能導致安全事件的發生。在增強普通員工的網絡安全意識和應對上，AIGC 技術則是一把重要武器。對于員工而言，在受控環境中由 AI 生成模擬攻擊，比如精心設計的釣魚郵件或偽裝的惡意程序，員工可以學習并識別出這些威脅。這種直觀、體驗式的學習方法讓員工們能夠更直觀地接觸到網絡威脅的形式和特征，從而在日常工作中提高警覺性，并在實際網絡中提升對各種威脅的識別和應對能力。降低人為因素對網絡安全的風險，對于組織的安全管理和風險控制具有重要意義。主動安全 23 7 7 新華三勒索防御方案 新華三依托“主動安全 3.0”，提供“云-網-邊-端”一體化多層次協同防御解決方案，結合云端沙箱陣列、威脅情報

45、庫、海量病毒庫，全面提升勒索病毒檢測能力。本地搭載高性能動靜態檢測引擎，以及勒索組織常用的攻擊工具指紋流量特征，結合加密流量檢測、未知威脅分析模塊，協同云端，全方位防范勒索病毒入侵。對于已經進入內網的病毒，可以回溯樣本投遞路徑、預測內網傳播趨勢、及時全網聯動阻斷，自動及時止損。同時，新華三安全擁有 AI 全面加持的安全運營中心，依托專業安服與五大攻防團隊，提供 7*24h的防護服務，全面覆蓋企業安全運營的技術與管理流程，也可結合用戶業務提供定制化防勒索解決方案與實戰演習，防范于未然，充分保障企業整體安全建設效果。主動安全 24 附錄：安全建議和處置清單 安全建議 企業建議 1.注重員工安全意識

46、培訓(1)建立定期的安全意識培訓課程，了解勒索軟件、網絡釣魚、惡意軟件的特征與危害(2)設立安全意識獎勵機制，鼓勵對可疑的電子郵件和網站進行上報(3)定期舉辦網絡安全模擬演習 2.加強網絡訪問控制與身份驗證(1)實施多因素身份驗證，如疊加驗證碼、生物識別技術等(2)權限管理策略堅持最小權限原則，嚴格控制或關閉非必要的端口與功能(3)使用零信任解決方案 3.安全更新和數據備份(1)及時對系統和軟件進行補丁更新和漏洞修復(2)對關鍵的數據應采取離線備份和加密存儲等方式進行備份(3)對安全設備、殺軟也需定期更新，以保障防御方案的有效性和實時性 個人建議 1.勒索軟件我知道 了解勒索軟件的常見攻擊手段

47、以及被勒索軟件入侵后造成的危害，如財物損失、業務影響等，增強對威脅的認識和警惕性 2.網絡行為我負責(1)避免隨意點擊來自電子郵件、社交媒體中未知或可疑的鏈接，點擊之前要先驗證鏈接的真實性和信任度，確保它們指向安全的站點或資源 主動安全 25(2)謹慎下載和安裝軟件，只從官方和可信的來源下載和安裝軟件，避免下載來自不明來源或未經驗證的軟件，這些軟件可能攜帶惡意代碼(3)防止網絡釣魚攻擊，避免在未經驗證的網站上輸入個人敏感信息，警惕仿冒的電子郵件、登錄頁面、社交媒體鏈接等(4)避免在不安全或未加密的公共 Wi-Fi 網絡上進行敏感信息的傳輸，如銀行賬戶信息、密碼等(5)保持操作系統、瀏覽器和最新

48、版本，并定期更新安全補丁，以修復已知的漏洞 3.賬戶安全我先行(1)創建復雜、獨特好記且難以猜解的密碼，包括字母、數字和特殊字符的組合，避免使用包含生日、姓名等常用詞的密碼(2)定期更換密碼，每三個月或更頻繁進行更改，避免重復使用相同的密碼 4.數據備份我會用(1)定期備份數據，并定期驗證備份數據的完整性和可訪問性，確保備份文件能夠正?；謴秃褪褂?，同時在備份前要檢查存儲介質是否安全可靠，包括移動硬盤、U 盤等 5.安全軟件我不關(1)使用防火墻和和其他具有威脅防護能力的安全軟件，用于檢測和阻止病毒、惡意軟件入侵，做到不隨意關閉或退出這些安全軟件，以及確保這些軟件的及時更新 勒索軟件應急處置清單

49、 1.立即隔離感染主機(1)立即拔出感染主機的網線、禁用網卡，關閉無線網絡和藍牙連接，斷開感染主機的外部硬盤、USB 驅動器等存儲設備，將感染的主機從公司網絡中隔離出去，防止對其他設備造成影響(2)關閉遠程桌面等服務，包括 3389、445、139、135、5900 等不必要的端口 2.確定感染范圍(1)檢查文件共享目錄、內部和外部存儲設備以及云存儲服務中的文件，看是否已經被勒索軟件加密，通常被加密的文件的擴展名都會被修該，并且無法正常打開，當發現機器上重要文件尚未被加密時，應立即終止勒索軟件進程或者關閉機器，及時止損(2)通過分析網絡流量和日志，查找可疑的通信和數據傳輸，以確定感染是否進一步

50、擴散到其他設備或網絡區域 主動安全 26 3.感染溯源分析(1)查看勒索軟件在主機內是否留下勒索信，在勒索信中可以判斷出感染的是哪一種勒索家族病毒(2)收集主機的日志信息，通過查看日志信息有可能判斷病毒植入路徑(3)收集病毒樣本，后續提供給安全廠商作進一步分析 4.排查加固(1)關閉相應端口、網絡共享、修改內網內主機的弱密碼，修復相關補丁和漏洞(2)安裝高強度防火墻，防病毒軟件進行全面掃描，防止二次感染勒索 5.業務恢復(1)如果主機上的數據存在備份，可以自行還原備份數據，恢復業務(2)請專業公司進行數據和系統恢復工作 主動安全 27 新華三聆風實驗室 新華三聆風實驗室專注于威脅狩獵、情報生產、高級威脅追蹤等技術研究?；趯θ蚧钴S惡意團伙的跟蹤與分析、安全事件響應處置、海量惡意樣本的自動化情報提取以及多元基礎數據的關聯分析等方法，結合人工+AI 研判策略和運營流程，實時產出多維度的威脅情報，為新華三安全產品和解決方案持續賦能。同時，實驗室致力于高級威脅攻擊的技術研究，包括跟蹤、分析、監測與報告輸出等。