2023年勒索软件攻击态势报告.docx
目录CONTENTS1引言322023勒索攻击大事件43勒索软件受害者分析63.1 勒索软件受害者行业画像63.2 勒索软件受害者地域画像74勒索软件攻击者分析84.1 年度勒索家族盘点:最热与最新84.2 年度勒索攻击趋势:五月达顶峰94.3 勒索入侵手段分析:漏洞利用最多104.4 惯用加密算法分析:传统是主流114.5 索要赎金方式分析:行业有差异125勒索软件技战法演进分析135.1 勒索攻击技术演进135.2 勒索攻击策略演进16196AlGC时代下勒索攻击和防御6.1 辅助勒索者进行关键攻击流程开发196.2 赋能安全厂商升级防御技术与方案217新华三勒索防御方案23附录:安全建议和处置清单246.3 议246.4 件应急处置清单25新华三聆风实验室271引言数字化时代下,网络勒索攻击已经成为不可绕过的热点议题。作为最严重的网络安全威胁之一,勒索软件以其快速迭代和不断演进的技战法不断刷新各行各业的眼球。基于长期对全网勒索活动的监测,新华三聆风实验室对2023年典型勒索攻击活动进行分析,分别从受害者画像、攻击者画像、技战法演进、AIGC时代下的攻击与防御等维度进行了总结。本报告围绕勒索软件2023全年攻击态势展开,涵盖了主流勒索软件攻击技术和特点,探索当前勒索软件的发展趋势,旨在帮助木胧)组织、企业和个人对勒索软件有更深入的了解,减少勒索软件带来的威胁和损失。总的来说,2023年全球勒索软件攻击活动存在如下特点:1、2023年全球勒索攻击活动呈上升趋势,同比2022年上涨77%;2、从受害行业来看,2023年TOP5受害者属于专业与法律服务、信息技术、批发零售、制造、房产建筑相关行业,共占比62.29%;3、从受害地域来看,北美、欧洲、亚洲位于前三,其中,美国以46%的占比居于全球首位;4、从活跃家族来看,2023年共监测62个活跃勒索软件,其中有26个为新兴家族。活跃TOP3家族分别是LockBitxBIackCat和CLOP0此外,新兴家族中Akira和MaIasLocker则直接跻身上榜TOPlO;5、从攻战量来看,各月攻击数量存在-贵的波动,具体的,2023年上半年呈上升趋势,下半年基本稳定。值得注意的是LockBit勒索攻击活动在全年中有8个月居于榜首;6、从入侵手段来看,漏洞利用、钓鱼邮件、弱口令占入侵攻击的60%以上。2023年有44个漏洞被勒索组织频繁利用,类型多为远程代码执行和提权漏洞,其中,零日漏洞(Oday)造成的影响最为严重;7、从加密算法来看,勒索软件更偏向于将对称和非对称进行组合,基于AES和RSA的算法仍是当前活跃勒索软件加密的主流算法;8、从索要赎金来看,不同勒索软件索要赎金差异明显,其中最高额为8000万美元,创造了历年来最高赎金规模,由LockBit勒索软件针对美国科技服务巨头CDW发起。22023勒索攻击大事件物流1月,英国皇家邮政成为了LockBit勒索软件2023年的第一个大型企业受害者。此次勒索攻击导致皇家邮政的国际邮递业务被迫中断,无法向海外客户发送邮寄包裹。LockBit向皇家邮政索要高达8000万美元的赎金来解锁数据。加顺2月,美国奥克兰市政府遭受了PLAY勒索软件的攻击,直接导致市政信息技术系统被紧急下线,市民无法进行在线支付、接听电话,甚至无法支付停车罚单。因市政府未支付赎金,PLAY勒索软件组织泄露了IOGB左右的私密麻,包括财务和政府文件、身份证件和员工个人信息。医疗保健3月,西班牙巴塞罗那一家医院遭到了RansomHouse勒索软件的攻击,导致该医疗机构计算机系统瘫痪,业务严重受损,医生无法访问病人信息,甚至被迫取消在接下来几周进行的150起手术和3000个预约检查。信息技术4月,新兴勒索软件MoneyMessage发起对台湾PC零部件制造商微星科技(MSI)的网络勒索攻击。MoneyMessage从该公司的系统中窃取了包括源代码在内的1.5TB数据,并要求其支付400万美元的赎金以恢复数据。政府机构5月,BIackByte勒索组织发起了对美国奥古斯塔市政府的勒索攻击,导致该市的IT系统中断,同时还窃取大量了个人雌,包括工资信息、联系方式、个人身份信息、居住地址、合同等。BlaCkByte组织要求该政府支付40万美元的赎金,并提出以30万美元的价格将数据转售给感兴趣的第三方。公共事业6月,CLOP成功利用MOVEit平台的零日漏洞入侵了上百家企业,其中受影响最大的是美国政府承包商MaXimUS公司,CLOP团伙称他们窃取了该公司169GB的健,9800屏I1100万Q人教育机构7月,美国夏威夷社区学院遭受了新兴勒索组织NoEscape发起的网络勒索攻击。此次攻击事件中,大约有28000人的个人蝇被盗取。NoEscape要求该校支付100万美元赎金,否则将会发布65GB的被盗蝇医疗保健8月,Rhysida勒医疗亍攻击,ProspectMedicalHoldings(PMH)就M中的受害者之一,这次网络攻击迫使该医院关闭在线网站。Rhysida称他们共窃取了ITB的文件和1.3TB的数据库,包含SSN.驾驶证、患者医疗信息等数据。休闲娱乐9月,美高梅度假村公司和凯撒娱乐相继遭受了BlaCkCat勒索组织的网络攻击。BlaCkCat窃取了大量的数据,包含客户的SSN、护照、驾驶证号码等诸多私人信息,由于拒绝支付赎金,美高梅称此次攻击造成了1亿美元的负面影响,而凯撒娱乐为防止客户数据被泄露,被迫支付了1500万美元的赎金。航空运输10月,BianLian勒索团伙将加拿大的一家航空公司列入到他们的受害者名单中,声称窃取了210GB的数据。为了证明入侵成功,BianLian在地下网站上分享了被窃数据的截图,被窃数据包括该组织2008年到2023年的技术与运营数据、供应商腕,以及公司数据库档案和员工的个人信息等。金融服务11月,MedusaLocker勒索软件攻击了丰田汽车公司旗下金融J员务公司(TFS)此次攻击中,MedusaLOCker窃取了数百GB的文件,并公布了一些案例辘,包括财务文档、财务绩物艮告、护照扫描件、用户ID密码等,该组织要求TFS向其支付800万美元的赎金换取数据不被泄露。制造业12月,日本汽车制造商日产在澳大利亚的分公司网络系统遭受Akira勒索组织的破坏。Akira称从该企业的系统中窃取了大约100GB的叫,包括员工个人信息、客户信息、合作伙伴、保密协议等。H3C拿他工方ar者3勒索软件受害者分析3.1勒索软件受害者行业画像图3-12023勒索攻击行业分布(数据来源:DarkTraCe) 专业和法律事务 (8息授本 制造 房产”,医疗 运*曾 其他 曲必共机密 箭出现体 aatXH含釉相 :Sak根据攻击行业分布统计图,勒索软件的目标行业带有明显的趋向性,以制造、批发、房产为主的实体行业仍是2023年的勒索重灾区。此外,数据价值和敏感度高的行业也是勒索攻击的重点倾向目标,如法律、信息技术、教育行业等。3.2勒索软件受害者地域画像图3-2全球攻击地域分布全球攻击地图显示,北美洲(50%),欧洲(30%),亚洲(9%)三个地区受到的攻击最严重。其中美国(46%)居于全球首位,加拿大(6%)排在第二。根据分布图和各地域发展情况可以看出,勒索组织更偏向经济资源发达、高度数字化和信息化的国家和地区,这与当地数字信息化程度以及勒索组织趋利的目标4勒索软件攻击者分析4.1年度勒索家族盘点:最热与最新 图4-12023年度TOPlO活跃勒索家族 1.ockBit BIackCat(ALPHV) CLOP PLAY 8BASe BianLian MaIasLocker Akira Medusa BlackBasta MftB据统计,2023年共有62个勒索软件家族发起了程度不同的勒索攻击,与2022年有65个活跃家族数量接近。其中,T0P3活跃家族分别是LockBit(21.4%)xBIaCkCat(9.44%)和CL0P(8.44%)o2023年勒索软件家族更替明显,新增26个新兴勒索家族,图4-2展示了2023年新兴勒索家族TOPlOo图4-2新兴勒索软件家族TOPlO AkiQ MAIMLoCkb NoEsope Rhysida LMtTrust NC Ransom Cloak FUmom>dVC Knight RAGROUP在所有家族中,新兴勒索家族的活跃度占总体19.28%其中,以Akira、MalasLockerffiNoEscape为代表的新兴家族最为活跃,新老家族更替频繁的一个重要原因是来自于执法部门的强力打压和封禁。4.2 年度勒索攻击趋势:五月达顶峰图4-3各月攻击数量及月度最活跃家族(数据来源:DarkTraCe)根据图4-3统计,2023年各月攻击数量存在一定的波动,但并未发生大规模爆发。勒索攻击在15月呈上升趋势,612月保持稳定。在各月的攻击事件中JockBit在全年中共8个月登上榜首。4.3 勒索入侵手段分析:漏洞利用最多图4-4入侵手E电充计 漏洞利用 钓鱼邮件 弱口令 恶意网站和广告 其他 捆绑虚嗨破解软件 社交工程 恶意犷腾程序 内部威胁图4-4统计了2023年活跃勒索软件的常见入侵手段。其中,漏洞利用(23.58%),钓鱼邮件(21.95%)和弱口令(17.89%)三者占所有入侵手段的60%以上。另外,通过恶意网站和虚假广告、捆绑破解软件也是导致勒索中招的另一诱因。表4-1勒索软件常用漏洞数字化时代下信息系统复杂度不断提升,漏洞的存在不可避免。漏洞利用作为典型的入侵攻击方式之一,因其高效且相对低风险被勒索攻击者频顷利用,表4-1中统计了44个勒索软件常用的漏洞。根据表4-1,勒索软件对高危和超危等级的漏洞利用较为频繁,常用的漏洞类型主要为远程代码执行与权限提升漏洞,针对这两种漏洞类型的利用,一者让攻击者能够成功进入目标系统,二者能够获取对系统更高级别的控制权限,从而扩散攻击范围。从被披露的勒索安全事件中,我们统计了包括但不限于CVE-2023-28252、CVE-2023-34362、CVE-2023-0669、CVE-2023-47242和CVE-2023-47246在内的5个零日漏洞(Oday)。对勒索攻击者而言,Oday的价值无疑是巨大的,在厂商还未及时修复就已经成功完成一轮新的攻击,这种由Oday产生的攻防对抗的时间差给勒索软件提供了可趁之机。4.4惯用加密算法分析:传统是主流在文件加密阶段,由于使用对称、非对称或两种加密的组合都会直接影响加密阶段的密钥生成和管理因此,不同的勒索软件在选择加密方案也表现出差异。图4-5统计了2023活跃勒索软件使用的加密算法情况。由于对称加密速度优势明显,勒索软件更偏向于将对称和非对称进行组合,传统的基于AES和RSA算法占比超过50%,这两者仍然是当前活跃勒索软件加密的主流算法。此外,在非对称加密中基于椭圆曲线加密算法(EllipticCurveCryptography,ECC)和对称加密中的ChaCha20的组合也逐渐被用于勒索加密攻击中。图4-52023活跃勒索软件加密算法统计 RSA AES XChaCha20 ECC/ECDH ×Salsa20 RC4 GnuPG/PGP DES/3DES 其他4.5索要赎金方式分析:行业有差异图4-62023已被披露的勒索攻击中索要赎金统计单位:万美元10.000图4-6统计了2023年各勒索软件已披露赎金索要金额,包括赎金的上限和下限金额(注:按1万美元为起始值),分析如下:1.索要赎金范围较大,不同勒索软件索要赎金差异明显。其中赎金范围较大的如KarakUrt家族,更偏向于机会主义,不针对特定行业或部门,而赎金范围较小的家族如Lorenz,倾向于对中小型企业发起定制化的攻击。2、索要赎金最高额为8000万美元,创造了历年来最高额赎金规模,由LockBit勒索软件针对美国科技服务巨头CDW中发起,最终因谈判失败,LockBit在其平台上泄露该公司辘。3、由于受害组织所在行业不同,勒索软件索要赎金差异明显。各受害组织采取谈判措施或拒绝支付,勒索软件组织的实际收益远低于索要金额。需要明确,即使受害者支付赎金,也无法保证所有被加密数据能够完整复原。Veeam在2023年勒索软件趋势报告统计,超过19%的受害组织支付赎金仍无;去恢复数据。更重要的是,支付赎金的行为会鼓励这些被不法利益驱动的网络犯罪分子继续勒索攻击,行为更加猖獗。5勒索软件技战法演进分析5.1 勒索攻击技术演进为适应不断变化的网络环境,优化攻击效果,勒索软件的攻击技术在不断推陈出新。我们总结了2023年较为新型的勒索攻击技术,并对勒索软件发展趋势进行分析,具体有:跨平台语言助力勒索软件发展无论是出于对加密速度的提升或是对跨平台兼容性的考量,勒索软件的编程语言开始转向Golang.Rust和Nim等非传统编程语言。BIackCat作为第一个广为知晓的基于Rust编程的勒索软件,能够在Windows和Linux等操作系统下对其勒索软件进行编译,快速生成针对不同平台的勒索软件版本。此外,勒索软件Kanti使用同样支持跨平台编译的Nim编程语言。由于语言的特性,使用这些非传统语言的勒索软件,不仅会带来诸如内存安全、跨平台移植等优势,更重要的是,在一定程度上还能够规避基于源码分析的静态检测,进而加大研究人员的分析以及制定防御措施难度。黑客工具不断创新以经济驱动的勒索攻击产业化、商业化趋势加剧,威胁攻击者之间的合作与信息共享促进了黑客工具的不断创新。3月份,攻击者?I用一种新的"Exfiltrator-22"(EX-22)黑客工具在受害者网络部署勒索软件。该工具具有强大的防御规避能力,被宣传为"无蟋测的恶意软件”在地下论坛兜售。勒索软件对黑客工具的创新,不仅具有更好的攻击效果,在一定程度上,更是有效规避了安全厂商和防病毒软件检测。自2023年开始,多个勒索组织如LockBikMedusaLOCker等在部署阶段均使用一种新型防御规避工具AuKiII,AuKiII在禁用EDR和绕过防病毒解决方案时表现出极强隐蔽性,主要是通过滥用合法软件实现BYOVD(自带易受攻击的驱动程序)攻击。同时,为了提高攻击成功率,勒索组织也在不断寻找和开发自己的新型黑客工具。ViceSociety勒索组织开发出一款功能复杂的P。WerShell脚本,旨在自动化搜寻和窃取目标网络中有价值的数据。此外,BIackCat的新工具"MUnChkin",巧妙利用了虚拟机与操作系统的“隔离区",力哦在自定义的Alpine虚拟机(VM)中,将BIaCkCat力口密载荷隐秘地笥播、部署到远程设备上,如图5-2。图5-2Munchking攻击过程共享文件般远程加密攻击激增远程加密是指在内网中,勒索软件在某一个失陷的端点上可以加密同一网络内其他设备的数据,由于攻击来源是失陷主机,即使是受监管计算机也无法检测到有关勒索进程的异常行为,如图5-3所示。根据Sophos统计,自2022年以来,远程加密攻击同比增长62%勒索组织积极寻找易受攻击的设备作为入口点,只需一台受控主机,就可以绕过传统的安全措施对内网主机共享文件进行远程加密,以最大限度减少存在的"踪迹",大大降低被溯源的可能性。远程加密至发展为众多勒索软件的“必备技能,如BIackCat,LockBit,Royal等。微软在10月份的数字防御艮告中统计,约60%的勒索软件攻击涉及恶意远程加密,超过80%的勒索软件攻击来源于非托管设备。H3C事化工力图5-3基于主机和基于远程的加密过程基于主机的加密过程基于远程的加密过程逸I切始入侵fig内网中 共Jteg目录/ 文件加密技术和加密策略双升级新兴勒索家族的一个重要的演变趋势是逐渐在传统对称加密算法中,倾向选择Curve25519等ECC算法。在不影响安全性的情况下,ECC相比于RSA算法具有更快的加解密速度、更短的密钥,而更短的密钥意味着更少的计算量。2023年2月,在一起针对Zimbra服务器发起攻击事件中,新兴勒索家族MaIasLocker使用较为小众的"AGE"(ActualGoodEncryption)力晦工具来1)融文件,该工X25519.ChaCha20-Poly和HMAC-SHA等较新的加密算法组合,这种能够实现快速加密的工具,让MalaSL。Cker在短时间内“收割”到大批受害服务器。此外,另T名为Nokoyawa的勒索软件在其C语言和Rust语言的两个版本中分别采用CurveSECT233R1(又名_NISTB-233)和Curve25519在内的ECC加密算法。我们统计了部分活跃勒索软件使用的加密算法,如图5-2o表5-2利用ECC加密算法的新兴勒索家族家族加密算法MaIasLockerX25519+ChaChar20-Polyl305+HMAC-SHA256RAGROUPHC-128+Curve25519CyclopsCurve25519+HC-256CrossLockCurve25519+ChaCha20NokoyawaCurve25519+Salsa20除了加密技术,勒索软件在加密策略上同样在升级。研究发现,越来越多的勒索软件使用间歇性加密策略只加密文件部分内容。与传统的加密策略相比,间接性加密的主要优势在于速度和规避检测能力。安全公司CheckPoint在6核CPU机器上对220,000个文件进行测试,使用间歇性加密到全部完成只需要4.5分钟,而曾被认为是最快的勒索软件LockBitv3.0则需要7分钟完成。自2021年LockFiIe勒索软件首先采用该策略以来,BlackBasta、BIackCat、PLAY、Agenda和Qyick等勒索组织也纷纷效仿,甚至BIackCat提供6种可配置的加密模式,通过命令选择加密模式和指定要加密的字节数,如图5-45.2 勒索攻击策略演进2023年勒索软件的攻击策略也在不断演变升级,我们总结了较为新型的勒索攻击策略,并对勒索软件发展趋势进行分析,主要有:策略转变,无加密勒索攻击兴起网络勒索攻击的一个重要趋势是正在逐步转向无加密攻击(EnCryPtiOnleSS),代表组织有KarakurtxDonut.RansomHouse和BianLian等。与传统的勒索攻击相比,无加密攻击注重窃取大规模的数据,以泄露窃织在收到赎金要求时才知道已经遭受攻击。导致众多勒索组织从双重、多重勒索转向无加密勒索的原因主取的;来施压,威胁受害组织支付赎金。由于摒弃了文件加密阶段,攻击行为更加隐蔽,只有当受害组朝:1 .勒索组织对加密器开发维护以及解密密钥管理存在一定的开销,尤其是加密器被安全研究人员破解后,勒索攻击前面的所有努力将归零;2 .大多数企业注重声誉影响,仅通过敏感数据泄露就足够对企业产生严重的负面影响,包括与客户、合作伙伴、公众之间的信任危机;3 .无加密攻击不会破坏受害者的系统,更不会导致受害者大规模的业务中断,其恶劣程度和负面影响比传统加密勒索低得多,同时也降低了被执法部门和安全研究人员追踪和调查的风险;规避升级,滥用合法软件隐匿自身在当前勒索攻击中,攻击者越来越倾向于滥用合法工具,以这种巧妙手段对目标进行不知不觉的渗透,且能有效混淆安全防护系统,降低被查杀的概率。对合法工具看似合理的利用,实际是为了完成勒索攻击的某项具体行为,如通过ProcessHacker遍历受害主机的上的安全防护进程和服务,并终止它们。表5-3列出了勒索攻击各阶段常被利用的合法工具。表5-3常见被勒索软件利用的合法工具类别合法工具使用过该工具的勒索组织使用目的进程遍历ProcessHackerxPowerTookBCDEDITGMER,PsExecPIayCryptxSnatchxCrysisxNefilim查找并终止安全软件相关进程、服务远程访问AnyDeskPuTTyxTeamViewerxRustDeskPIayCrypt.AvosLockerTrigona控制受害者机器以实现持久化信息搜集AdFindPIayCryptxNefilimNetWaIker,ProLock收集信息并利用这些信息进行后续的网络渗透攻击文件传输FiIeZiIIasRclonesWinSCPAvosLockerxPIayCryptKarakurtxAkiraxLockBit窃取受害主机数据文件文件压缩7zipxWinRARAvosLocker打包压缩窃取的数据文件攻击者对某项具体的恶意行为进行“拆解",并在勒索攻击中的各个阶段滥用合法软件或工具,将恶意活动隐藏在海量的正常操作中,从而欺骗安全防护系统,进行更深一步的渗透和攻击。施压加剧,数据泄露策略升级随着对抗的加深,勒索软件攻击策略不断升级,其中数据泄露策略上升为一个新趋势。为防止被执法机构追踪,通常的做法,勒索组织会将窃取的罐通过Tor站点(TheOnionRoUter)泄露。由于Tor站点的特殊性,访问该站点需要特殊的浏览器,受限的数据泄露范围给到受害者的压力也会大打折扣。为了进f三U施压效果,勒索软件纷纷致力于升级其I螭泄露策略。5月,CLOP搭建了专门用于泄露窃取数据Clear网站,以解决传Tor站点数据传输慢的问题,将从MOVEit平台窃取到的数据暴露给了更广泛的群体,包括受害组织的员工、甚至是公众。然而这类网站很快被执法部门有封,于是CLOP组织转向使用TOrrent来分发数据。除此之外,BIackCat勒索组织在其数据泄露站点上添加了APl调用接口f这些APl接口帮助更快速定位到受害者数据。更有甚者,MedusaLOCker通过制作视频播放的方式来达到泄露数据的目的。综上,勒索软件在施压手法上不断创新和调整策略,无论哪种策略的升级都将对受害者健的安全和制构成巨大威胁。攻击面扩大,针对Mac平台积极尝试在今年的多起勒索攻击事件中,一些勒索组织已将目光瞄准MaCC)S。调查数据显示,MaCoS强大的内生安全机制并没有让勒索软件放弃采取“新动作”。4月,臭名昭著的LockBit勒索软件已经针对Mac系统开发出专门的加密器。7月,Knight背后的组织宣称他们的勒索软件也会覆盖Mac系统。此外,11月,安全人员披露了T基于Go语言编写的MacOS勒索载荷一Turtle",鉴于威胁较低,最终将其定性为针对MacOS的积极尝武作为勒索"重灾区”的美国,根据IDC统计,MacOS在企业端点中已达1/4,逐年上升的市场份额和受众群体是吸引勒索攻击者积极尝试的一大诱因。更重要的是,Mac用户通常更具有影响力,如拥有管理权限的高层人员,或可以访问敏感数据和系统的开发人员。无论是出于“端点权限”或是"经;梭力"的考量,这些用户往往将成为勒索软件重点的关注目标。6AIGC时代下勒索攻击和防御2022年底,以ChatGPT为代表的生成式人工智能(ArtifiCiaIlntelligenCeGeneratedContent,AIGQ产品问世,为人工智能产业带来突破性、革命性的发展,作为T将人工智能(ArtificialIntelligence,AI)与大语言模型(LargeLanguageModeLLLM)结合的新兴智能产物,其生成潜力已经引起了各行各业的广泛关注,迅速在全球范围内掀起一股应用热潮。AIGC带来的风险与机遇并存,网络勒索攻击在不断迭代更新的同时,AI技术的发展也为其提供了更加智能化、实时性的支持。另一方面,基于分析式AI和生成式AI的网络安全技术也将深度赋能勒索检测与安全运营。攻防双方的对抗,将开辟新的战场。1 .1辅助勒索者进行关键攻击流程开发对于勒索攻击者来说,AIGC技术是一把"利剑"。AIGC和勒索软件的融合无疑提升攻击者的效能。首先,AIGC的智能生成降低了勒索软件开发的准入门槛,开发者不再需要掌握复杂的编程技巧。另外,基于AI的机器学习等智能技术将带来更复杂、高效的勒索攻击技术,引入更高程度的自动化,传统的网络安全防御措施在检测和防范此类新兴攻击时显得捉襟见肘。协助代码开发尽管目前还未发现AI模型从零开始构建可执行恶意软件工程,但攻击者会借助AIGC强大的上下文关联和生成能力编写恶意功能代码并取得方法论支持。从开捌率上,当攻击者想要实现特定的敏酶作,如“遍历辍所有文档文件",如图6-1,通过"提问-回答”的方式获取有特定的编程规范和语法的代码原型,并且能够快速定位代码结构逻辑的潜在问题,降低人工调试开销,保证软件运行的稳定性和高效性。显而易见,当攻击者将AIGC技术与恶意软件开发相结合,不仅加快了恶意软件的开发周期,田是升效率的同时还兼具恶意软件定制化和隐蔽性等特点。另外,从可移植性上,在将旧代码迁移到更先进、更安全的编程语言时,AIGC技术的出现在一定程度上打破原有人为主观性和经验主义的束缚,通过提供自动化的迁移方案和新编程语言模板来确保代码的正确性和可婚唯图6-1AIGC生成"遍历系统所有文档X件"案例当然用以!以下是一个PythOT于例.用于»历年跣中所有的文档文件:forroot.IHr.“1”MS.Mlk(flrj11t):2HUU41Ut.:f11t.*ndwlt>(,<.doc,.ttj>H',ppt,.'fileJiatfi6Mb却MN×>tfl¼)9rlM(11leJMth)ocuBMnjfl4rY:/DoCUMMs'travrs_AXMM<Yt'_,Q】d*r<dOCMBMaSJolUril9"要栉ocwnts.folder空KM?茂加宓拗文档文件夹哂理主种邃历三T主文件决SJS及H子文件夹中的后色文件.井Htt出Ir联名为大.AXM,.ut,Rf.MW.BU的文件路电MiJ日忸文恃格式寓卡也35T任iiS句中港mwsa的Irj寰名.WailtS,MMD!加为仅他a.Mm,.参与社工攻击IBM在2023数据泄露成本报告中指出,通过社交工程技术弓I发的数据泄露平均损失超过450万美元社交工程攻击对于网络9巳罪分子来说成功率高并且利润不菲。作为一种高度定制化的攻击,社交工程攻击通常都有针对性的目标和完备的执行计划,从而使得受害者很难察觉到攻击的真实性,并产生强烈的紧迫感或情感驱动,进而愿意相信并遵从攻击者的指示。2023年影响最大的两次勒索攻击(MGMzCaesars)都是由社交工程引起的,人为因素仍是网络攻击链中最薄弱的环节。根据Verizon的2023数据泄露调查报告统计,商业电子邮件失陷(BUSineSSEmailCompromise,BEC)攻击比2022年翻了T,占所有社交攻击事件的50%以上。在AIGC技术的帮助下,几乎任何人都可以零门槛编造信服力较高的网络钓鱼电子邮件内容,使得BEC攻击变得更加隐蔽和普遍。值得注意的是,AIGC可以帮助生成符合员工口吻和写作风格的邮件内容,以及创造吸引人眼球的话题,这往往也是引发受害者点击恶意附件的重要推手。此外,由于高度针对性的邮件内容具有极强的真实性且几乎不含语法错误等特点,使得这类邮件很难被传统的邮件过滤器识别和阻断。AIGC技术为社交工程攻击提供了新的思路和解决方案,根据这种发展趋势,由AIGC技术生成的欺诈内容不仅在伪造个人身份方面表现出高度逼真性,甚至可能会发展新的方法来绕过生物识别身份验证,攻击者非法获得访问权限的机会大大增加,直接或间接性地促进了勒索软件的传播。自动优化攻击策略AIGC技术卓越的自动化生成能力在网络勒索攻击中发挥着重大作用,尤其在自动化和优化攻击策略方面,将网络攻击上升至新的维度。具体而言,基于AI和LLM增强技术,攻击者能够自动化采集、处理和分析大量数据,快速识SU应用代码中潜在的漏洞并生成最佳的攻击路径,同样也会随着目标系统的环境和配置来自动调整攻击策略。另外,在勒索谈判阶段,AIGC技术也扮演重要角色。在跨国地区攻击中,语言差异和表述方式是攻击者与受害者谈判交流的重要障碍。借助AIGC技术的高级语言处理和翻译模型,攻击者不仅能够清晰传达勒索谈判条件,同时也能够快速获悉受害者谈判诉求。通过AIGC技术自动化生成威胁信息、谈判策略,甚至是进行心理战术的文本,攻击者可以在极短的时间内对受害者施加极大的心理压力,大大提升勒索谈判的效率和成功率。此外,通过自动化生成的话术内容,攻击者可以避免暴露个人风格或身份特征,达到隐蔽自身的匿踪效果。总体而言,AICG的应用在自动化和优化攻击策略方面带来了全新的可能性,为勒索攻击者提供了更为复杂和难以对抗的网络攻击手段,同时也给网络安全防御带来更高的要求。2 .2赋能安全厂商升级防御技术与方案在当前勒索攻击日益复杂和不断演化的网络威胁环境中,以AlGC驱动的网络安全解决方案已经成为各行各业保护敏翩掂和数字资产安全的得力助手。基于AIGC驱动的网络安全技术,结合AI和机器学习算法来分析业务中存在的大量风险数据以及各方威胁数据之间的联系,相较于传统基于规则的网络安全技术,能够快速发现新兴威胁,不断优化防御策略,从而进行更智能、更迅速的网络攻击检测、威胁预测、行为分析和自动化响应,有效增强网络安全防御的即时性和准确性。提升威胁检测能力相较于传统的基于规则的网络安全技术,AI/AIGC在提高威胁检测的效率和准确性上具有明显优势。一方面,先验性规则开发依赖于安全人员对威胁行为的长期分析和经验积累,尤其在面对新型语言编写的攻击载荷,更是对安全人员的经验和能力有较高的要求;另一方面,传统的检测引擎在面对新型的、未知的威胁则余力不足。而AIGC技术的应用能够有效地解决上述难题,通过对大量不同语言的开源代码的学习和训练,AIGC能够快速检测到新型语言的恶意载荷甚至是恶意代码片段,为安全团队提供实时的辅助决策,提升威胁响应能力。此外,即使新型威胁的样本或特征较少,AIGC也能够基于小样本学习(FeW-ShOt)方法智能扩充训练集生成威胁检测模型,从而增强模型的泛化能力,对未知威胁的检测和防御更加智能化和精准化。提高安全运营效率在面对安全业务中生成的海量告警数据和日志时,基于AIGC的自动化威胁分析和告警相较于传统依赖人工初筛和核查具有明显的优势。AIGC能够快速识别大规模数据中最严重的威胁告警并提升其处理优先级,结合其对业务上下文的理解能力,能更好地帮助安全人员快速定位并在安全事件发生之前采取预防性措施,提升安全运营效朝口能力。除此之外,结合自动化SOAR的剧本生成,可以更好的实现处置协同。当网络安全运营过程中发生安全事件时,一旦事件被AIGC归类到指定分类,就会自动触发响应机制来达到快速响应的目的,为用户快速提供风险危害与处置建议,提供自动化响应编排处置,可以大幅提升事件分析的准确性和闭环处置效率,还可以辅助企业及时发现潜在的网络安全威胁,提升企业网络安全防御能力。增强安全培训效果人为因素仍是网络攻击链中最薄弱的环节,无论是社会工程学攻击、弱口令、还是由于员工的不当操作,都可能导致安全事件的发生。在增强普通员工的网络安全意识和应对上,AIGC技术则是一把重要武器。对于员工而言,在受控环境中由AI生成模拟攻击,比如精心设计的钓鱼邮件或伪装的恶意程序,员工可以学习并识别出这些威胁。这种直观、体验式的学习方法让员工们能够更直观地接触到网络威胁的形式和特征,从而在日常工作中提高警觉性,并在实际网络中提升对各种威胁的识别和应对能力。降低人为因素对网络安全的风险,对于组织的安全管理和风险控制具有重要意义。7新华三勒索防御方案新华三依托“主动安全3.0”,提供“云-网-边-端"一体化多层次协同防御解决方案,结合云端沙箱阵列、威胁情报库、海量病毒库,全面提升勒索病毒检测能力。本地搭载高性能动静态检测引擎,以及勒索组织常用的攻击工具指纹流量特征,结合加密流量检测、未知威胁分析模块,协同云端,全方位防范勒索病毒入侵。对于已经进入内网的病毒,可以回溯样本投递路径、预测内网传播趋势、及时全网联动阻断,自动及时止损。同时,新华三安全拥有AI全面力时寺的安全运营中心,依托专业安服与五大攻防团队,提供7*24h的防护服务,全面覆盖企业安全运营的技术与管理流程,也可结合用户业务提供定制化防勒索解决方案与实战演习,防范于未然,充分保障企业整体安全建设效果。附录:安全建议和处置清单安全建议企业建议3 .注重员工安全意识培训(1)建立定期的安全意识培训课程,了解勒索软件、网络钓鱼、恶意软件的特征与危害(2)设立安全意识奖励机制,鼓励对可疑的电子邮件和网站进行上报(3)定期举办网络安全模拟演习4 .加强网络访问控制与身份验证(1)实施多因素身份验证,如叠加验证码、生物识别技术等(2)权限管理策略坚持最小权限原则,严格控制或关闭非必要的端口与功能(3)使用零信任解决方案5 .安全更新和数据备份(1)及时对系统和软件进行补丁更新和漏洞修复(2)对关键的数据应采取离线备份和加密存储等方式进行备份(3)对安全设备、杀软也需定期更新,以保障防御方案的俄性和实时性个人建议6 .勒索软件我知道了解勒索软件的常见攻击手段以及被勒索软件入侵后造成的危害,如财物损失、业务影响等,增强对威胁的认识和警惕性7 .网络行为我负责(1)避免随意点击来自电子邮件、社交媒体中未知或可疑的链接,点击之前要先验证链接的真实性和信任度,确保它们指向安全的站点或资源(2)谨慎下载?口安装软件,只从官方和可信的来源下物口安装软件,避免下载来自不明来源或未经验证的软件,这些软件可能携带恶意代码(3)防止网络钓鱼攻击,避免在未经验证的网站上输入个人敏感信息,警惕仿冒的电子邮件、登录页面、社交媒体链接等(4)避免在不安全或未加密的公共Wi-Fi网络上进行敏感信息的传输,如银行账户信息、密码等(5)保持操作系统、浏览器和最新版本,并定期更新安全补丁,以修复已知的漏洞8 .账户安全我先行(1)创建复杂、独特好记且难以猜解的密码,包括字母、数字和特殊字符的组合,避免使用包含生日、姓名等常用词的密码(2)定期更换密码,每三个月或颗繁进行更改,避免重复使用相同的密码9 .数据备份我会用(1)定期备份数据,并定期验证备份数据的完整性和可访问性,确保备份文件能够正常恢复和使用,同时在备份前要检查存储介质是否安全可靠,包括移动硬盘、U盘等10 安全软件我不关(1)使用防火墙和和其他具有威胁防护能力的安全软件,用于检测和阻止病毒、恶意软件入侵,做到不随意关闭或退出这些安全软件,以及确保这些软件的及时更新