2021-Threat-Detection-Report.pdf

【网络安全】2021年威胁检测报告详细解读 网络安全是全球互联网用户关注的重要话题，尤其是在数字化日益深入的今天。2021年的威胁检测报告显示，网络犯罪分子采取了多种高级技术来规避检测，对企业和个人的信息安全构成严重威胁。本报告通过分析2021年大约20,000个确认的威胁事件，揭示了最常见的攻击技术，旨在帮助安全领导者和团队了解并应对最紧迫的安全问题。 1. **命令与脚本解释器(T1059)**：这是攻击者常用的工具，包括PowerShell（T1059.001）和Windows命令提示符（T1059.003）。攻击者利用这些工具执行恶意代码，进行文件操作、系统信息收集等活动，以实现对目标系统的控制。 2. **签名二进制程序执行(T1218)**：如Rundll32（T1218.011）和Mshta（T1218.005），攻击者通过这些合法的系统组件来隐藏和执行恶意代码，绕过安全检查。 3. **创建和修改系统进程(T1543)**：攻击者创建或修改系统服务（T1543.003 Windows Service）以持久化其存在，确保即使系统重启也能保持控制。 4. **计划任务/作业(T1053)**：攻击者利用计划任务（T1053.005 Scheduled Task）来定时执行恶意代码，使攻击在特定时间点自动启动，增加发现难度。 5. **操作系统凭证dumping(T1003)**：攻击者通过LSASS内存（T1003.001）获取敏感的用户名和密码，为后续的横向移动和权限提升提供便利。 6. **进程注入(T1055)**：攻击者将恶意代码注入到其他进程中，以隐藏活动并提高持久性，同时避免被安全软件检测到。 7. **混淆文件或信息(T1027)**：攻击者通过加密、压缩或编码等方式对恶意文件和信息进行混淆，使其在静态分析时难以识别。 8. **入口工具传输(T1105)**：攻击者通过各种途径（如电子邮件、Web下载等）将恶意工具传入目标网络，以开始攻击链。 9. **系统服务(T1569)**：攻击者利用服务执行（T1569.002 Service Execution）创建持久的后门，确保长期控制。 10. **伪装(T1036)**：攻击者通过重命名系统实用程序（T1036.003 Rename System Utilities）来模仿正常文件，欺骗用户或绕过安全控制。 此外，报告还提到了一些常见的恶意软件家族，如TA551、Cobalt Strike、Qbot、IcedID、Mimikatz、Shlayer、Dridex、Emotet、TrickBot和Gamarue。这些恶意软件各有特点，例如： - **TA551**：一个活跃的垃圾邮件和恶意软件分发网络。 - **Cobalt Strike**：一个常用于渗透测试的工具，但也被黑客用于恶意活动。 - **Qbot**：一种银行木马，能够窃取用户的财务信息。 - **Mimikatz**：用于提取Windows系统的明文凭据。 - **Shlayer**：一种MacOS上的恶意软件，通过伪装成合法应用来感染用户。 了解这些攻击技术和恶意软件行为，对于构建有效的防御策略至关重要。报告提供的洞察力可以帮助安全团队调整和优化其威胁检测和响应流程，以更好地保护组织免受日益复杂的网络威胁。