攻防过半：最能打的竟然不是0day？

2024-10-01 04:19:39 围观 : 596 次 0 评论

攻防大战过半，赛博世界虽未火力全开，但依旧波诡云谲，充满刀光剑影。话不多说，来看看过去一个月，有哪些新的攻击手段和趋势：

攻击木马

CS超90%，Linux新型特马增加

微步云沙箱S首月捕获CobaltStrike样本 6000+，红队工具样本1500+。攻击木马仍以CobaltStrike家族为主，占比达90%以上，也有部分攻击者技术高超，使用自写“特马”绕过检测，具备极强对抗免杀能力。

微步情报局发现并命名了一款新型Linux特马——“acc特马”，主要用于攻击者渗透后远程控制，且采用C2轮询机制，用同一公钥进行远程上线以追求自动化操作。通过测绘发现在野未有样本关联C2达70多个，预计未来一个月，该特马很可能大肆攻击相关单位Linux主机。目前微步云沙箱S已支持同组特马精确检测，详情可查看：还在Webshell？警惕Linux特马“大杀四方”。

漏洞利用

71%为Nday利用，行业供应链需加倍关注

微步威胁感知平台TDP及威胁防御系统OneSIG检测到0day漏洞与Nday漏洞攻击300余个，涉及漏洞主要集中在国产OA系统、ERP系统、开发常用组件及安全设备。

检测到的漏洞攻击中，“老漏洞”（Nday）由于获取成本低、广泛存在且具备更好的隐蔽性，仍是攻击者利用的主要手段，其中捕获到2022年以前的老漏洞攻击行为达到71%，且绝大部分Nday均通过工具扫描，而“新漏洞”更多是通过手工探测方式进行攻击。

另外，基于微步情报局观察，也出现了行业特有的供应链系统（尤其是0day）漏洞，此类漏洞一旦被利用，将产生巨大“爆炸半径”，可能成为攻击者针对行业的“差异化”武器，影响大量终端用户及企业，值得特别关注。

对于这一变化，企业不仅需要注意0day漏洞，也需提前重点盘点内部资产是否受到历史高危漏洞影响，做好日常漏洞防护，持续关注自身资产。（漏洞情报订阅通道：https://x.threatbook.com/v5/vulSubscribeIntro）

红队工具

Mimikatz、fscan、Frp位列前三，需重点关注Chisel

基于微步云沙箱S捕获样本，Mimikatz、fscan和Frp排在前三，是攻击者最常用工具。排名第四则是一款新兴工具Chisel，需要企业特别关注。Chisel是一款快速的TCP/UDP 隧道工具，使用Go语言编写而成，通过HTTP进行传输，并通过SSH进行加密，由于Chisel简单易用以及跨平台等特点，备受攻击者青睐。

木马技术

Rust与Python语言势头凶猛，多种隐秘、绕过手法并用

微步情报局发现，大部分木马仍由C/C++语言编写，紧随其后则是Rust和Python。木马样本执行与对抗手法上，主要涉及LOLBins的应用、ftp.exe执行相关代码、控制流平坦化混淆技术以及通过Patch正常文件执行恶意行为四种方式。

其中，LOLbins是系统自带的可执行文件和工具，攻击者利用其进行恶意操作，但无需引入外部恶意软件，非常隐蔽，且工具合法，具备系统适配性。ftp.exe则是Windows自带的命令行FTP客户端程序，该程序支持运行脚本文件，因此被攻击者利用。

此外，控制流平坦化混淆，通过重组代码逻辑，让分析人员在逆向工程时更难理解程序的实际流程，减少被安全软件或防病毒产品检测的概率，能有效绕过自动化分析。通过Patch正常文件执行恶意行为，是在逆向分析技术中对二进制文件或程序进行修改，从而修复软件缺陷，破解软件保护、绕过安全检查，或是更改软件行为。

钓鱼攻击

Ink快捷方式增多，双重后缀及多加空格伪装广泛应用

社工钓鱼是0day、1day/Nday之后，排名第三的入侵源手法。文件格式上，exe后缀依旧保持领先，zip、rar后缀名紧随其后。需要注意的是，Ink快捷方式由于更具迷惑性，容易让人放松警惕，也受到了攻击者的喜爱。不过，钓鱼主题上，攻击者仍围绕政策、招聘、行政通知、社保福利等方向，与此前相比并无大异。

攻击远控情报

攻击源IP&公有云远控地址阿里云最多

近一个月，我们从远控解析到的归属云厂商来看，公有云C2地址归于阿里云的占比最高，达到64%以上，其次则是腾讯云、联通云、华为云，来自其他公有云厂商的远控较少。

另外，基于微步情报局每天自动化累计挖掘的数千个最新高可信攻击IP，我们发现攻击源IP占比最高，同样来自阿里云，其次分别来自电信云、联通云、腾讯云，这些来源访问IP行为需防守方重点关注。

警惕

黑灰产浑水钓鱼，未知身份攻击者VPN水坑攻击

微步情报局发现，有攻击者仿冒金融、央企等20多家企业VPN站点，采用典型白加黑绕过手法，传播远控木马，窃取敏感信息和远程控制受害者终端，攻击危害极大，详情可点击：警惕！大规模VPN水坑攻击来袭。

此外，微步情报局还监测到，一个名叫GanbRun的高活跃黑产团伙，在钓鱼攻击中使用窃密软件，主动收集受害者信息，伪造成政府网站链接地址并诱导点击，从云存储或攻击者服务器下载恶意文件，窃取浏览器数据。具体情况可查看：目标银行、证券、央企！黑产团伙伪造政府网站大规模钓鱼。

漏洞情报服务

对微步漏洞情报服务感兴趣

可扫描下方二维码

↓↓↓

点此电话咨询

· END ·

标签微步在线

上一篇：NEW IN | 秋风起，印花依旧迷人下一篇：利欧首个真空泵项目：新疆信友奇台项目2×66万千瓦机组工程

技术 | 当背包侠邂逅3D高斯，数字孪生迎来“瞬时”革命

在数字化的浪潮中，我们渴望在数字虚拟的世界中复刻出现实的每一个细节。然而，对于仓库、地下工事、码头等结构复杂且无GNSS信号的“信息孤岛”，传统的三维重建技术往往面临效率低下、模型笨重、真实感不足的困境。其生成的数字孪生模型，常常只是空有点...
2025-07-28 13:01:06 立得空间
携手越南BW Industrial集团，共建高标准TPO屋面系统

近年来，东方雨虹以产业基础、科创平台、资源优势及实践探索经验为支撑，积极抢抓国际发展新机遇、探索全球发展新路径、加速全球化布局，陆续在美国、加拿大、马来西亚、越南、菲律宾等多国开设海外分公司及办事处，为夯实海外发展基础、拓展海外发展空间奠定...
2025-07-28 11:09:19 东方雨虹
SNEC2025开展首日| 利珀科技在2.1H-D110展位等你

6月11日，SNEC第十八届国际太阳能光伏与智慧能源（上海）大会暨展览会在上海盛大开幕，利珀科技携光伏电池端通用解决方案，BC电池与组件端视觉解决方案亮相。利珀展位 2.1H-D110 leapers合影展会现场，利珀科技的技术团...
2025-07-27 21:02:52 新能源杭州利珀科技
用友BIP：打造企业数智化的战略级“操作系统”

来源：新华网客户端yonyou在新一代信息技术持续突破、人工智能加速应用落地、产业体系深度重构的时代背景下，软件已从传统的“辅助工具”跃升为“新型生产力”。国家持续推进《“十四五”数字经济发展规划》《数字中国建设整体布局规划》等顶层设计落地...
2025-07-23 10:31:02 用友
捷昌驱动：以科技重构适老化生活，赋能银发经济新未来

在人口老龄化趋势加速的当下，如何让老年群体享有更有尊严、更具品质的生活，已成为社会发展的重要命题。2025年6月11日至13日，上海国际养老、辅具及康复医疗博览会（AID）上，线性驱动领域领军企业捷昌驱动（展位号：W5F32）以"从零部件供...
2025-07-22 22:16:10 捷昌驱动
数智服务·智慧运营——用友四川用户企业报表赋能培训圆满结束！

yonyou为助力客户企业加速财务数字化转型，深化数智应用能力，用友网络科技股份有限公司四川分公司于6月13日在蓉成功举办“数智服务·智慧运营——四川用户系统操作与价值提升培训会”。本次培训聚焦企业报表核心场景，通过系统化赋能，助力客户高效...
2025-07-22 11:48:19 软件用友四川
正式介绍美团闪购，欢迎10亿消费者来购物！

正式向大家介绍新一代购物平台——美团闪购！我们把“等快递”升级为“30分钟送达”海量商品，吃的用的，应有尽有24小时随时随地陪伴大家更有每日神价，就是便宜就是快为大家打造下一代购物体验诚邀全国10亿消费者，随时来美团闪购逛逛我们特地准备了开...
2025-07-20 18:16:00 美团Meituan
数智焕新进行时，用友BIP助力企业跨越周期、迈向高质量发展

用友BIP全球经济波动加剧、技术迭代加速，当关税战如迷雾般笼罩全球贸易航道、AI 大模型开始重塑整个行业生态，全球范围内的企业都面临着关税壁垒、政策合规、AI技术落地难以及全球化运营复杂性等多重挑战。加速推进数智化转型成为企业突破困境、实现...
2025-07-19 15:46:37 用友
国际权威认证！凌云光通过CMMI四级评估

近期，凌云光成功通过国际公认最权威的软件研发管理体系认证——CMMI（软件能力成熟度模型集成）DEV四级评估，这标志着公司在软件研发过程管理能力、项目交付质量等方面持续进阶，目前已具备高成熟度的量化管理能力，将为客户提供更高确定性的交付保障...
2025-07-19 07:17:55 软件凌云光技术
北京市科委报道双鹤创新平台：AI驱动药物研发全链条塑造医药创新“国家队”新范式

在创新药物研发领域，面对漫长的周期、高昂的成本以及巨大的风险，北京双鹤润创科技有限公司（以下简称“双鹤润创”），作为华润双鹤旗下的科技创新平台，提出了一种创新的解决方案。该平台以“人工智能...
2025-07-18 21:33:57 药品华润双鹤药业