透过RT IOC的变化解读2023年安全演习

概述

演习期间，山石网科威胁情报团队结合山石网科防火墙、入侵检测与防御系统、云沙箱以及态势感知平台等安全产品，持续监控、捕获、分析和处理了大量已知和潜在的威胁事件，山石云端安全运营中心的数据显示，演习相关的高危威胁事件检出数达到192313条，而全网的威胁事件检出数更高到387317条。山石网科威胁情报中心在演习期间检测、狩猎、收录活跃RT攻击IP数量36890个，演习直接相关样本512个，覆盖演习期间高危漏洞32条。

以下是对演习期间监控处理的感知信息、威胁情报及相关指标的统计分析数据。

演习IOC数据分析

威胁情报库

在过去的两周里，山石网科威胁情报中心通过持续的运营和积极的狩猎行动，成功捕获了大量活跃的IP地址。这些IP地址根据不同的攻击类型得以分类，以下是按照攻击类型划分的活跃IP总体占比数据：

其中，RT扫描器为主，包括了常见的端口扫描工具以及漏洞扫描等。这类IOC主要集中在境外IDC以及国内的代理IP地址，其特点是数据量较大，B段地址显得杂乱无章，同时端口使用频率较高并且变化频繁。在演习中，山石网科情报中心不断优化威胁情报库和相关特征库内容，及时更新设备规则策略，并通过山石网科蜜罐产品，捕获众多攻击事件，包括但不限于Mysql爆破，ssh弱密码等。山石网科情报中心通过防火墙，WAF和IPS产品帮助客户发现大量僵尸网络流量，并成功告警和拦截。值得关注的是，在攻击活动初期，RT扫描器类IOC数量相对较多，然而随着时间的推移，这类IP地址的IOC数量逐渐减少，呈现出逐步减弱的趋势，符合攻击流程。具体的变化趋势请参见下图。

活跃IP地址包括了多种类型，其中涵盖了代理IP以及数据中心等，主要分布在国内，以下是各地区的活跃IP排名情况。通过对数据进行分类，标签清洗等工作，山石网科威胁情报中心发现演习期间RT较多用国内代理IP作为资产扫描，威胁打点，信息收集等渗透前工作，使用国外服务器作为后渗透阶段的C2交互，而这貌似和演习规则有点不符。

国家	数量
中国	18216
美国	2584
韩国	566
英国	519
荷兰	475
印度	453
德国	421
新加坡	384
俄罗斯	276
巴西	256
日本	197
法国	170
印度尼西亚	153
埃及	136
加拿大	104

另外，演习期间RT活跃IP在国内分布以北、江、浙、沪、皖、广为主，符合国内代理服务器以及演习单位分布，如下为统计简图：

有趣的是，今年演习期间，x讯的云服务器数量明显上升，这可能跟该厂商日常优惠有关。

样本特征库

山石网科威胁情报中心借助山石网科云影沙箱狩猎，分析，跟踪演习期间的钓鱼文档，可疑进程等IOC，在山石网科EDR和云景态势日志中跟踪恶意样本，捕获并证实与演习直接相关样本512个，部分IOC如下：

e4b18633c70e491f3219cc58c7e17489677783ab01571ab7d2d70a3f40d9dc5e xxxx检查工具-v1.41.zip
f70a52ae13ca57abe3c566c3e4d4d867ede44a52cd5cfe6ebf22477f65fd467e xxxx实践与应用-0814.docx.exe
4a8c01029906d3fe08a0838529df79393a9db26211e3997d32a2084553f2bd4b xxxx人才管理系统V1.1.zip
5317ccf769f64eb7f81e05e64658fb49cebd3d1ca147b942903be5e69948c4d6 关于xxxxxxxxxx控制的通知.zip
98b141e44460726d5b6bf97bdb6ef6523cb7d855dc4b207c71a4d2d2f1e2c020 中国xxxxxxxx流程审批问题.rar
98898d1bc1ce59e3f7fda7cddc4125559e6d472a330372701eb1275c2a36533c 新xxxxxx表.xlsx.download
5dfcacaed6079cc4f623bcc1885367d7b52938653b16e3c49688adf14db2a7dd 中国xxxxxxxx流程审批问题.exe
70927bc8f82f9c3af92e907ae6f655bd22215607270055dba1230a3a816b1831 金融xxxxxxx崩溃问题反馈.rar
e0304d84391c3aaf0576e40baedfcb50a226820b3f75cfc63570095ab1305a3c flashplayerpp_install_cn_web.exe
7f5b0c318f6d7d2bd094bf7390e6d15b58d5656146ed22e1053a9872c9fbb0d8 安全xx.rar
ec387dd7ec00dd8cd3a7359e6148bb992591c97ef61838a48bc42715006b9961 xxxxx员工终端自查.exe

同时，通过优化策略和特征，丰富检出方案，借助山石网科云影沙箱捕获海量恶意样本。演习期间样本投递量以及演习相关样本检出率如下：

入侵检测与防御系统

在演习期间，山石网科的入侵检测与防御系统发挥了重要作用，针对众多攻击活动，不断优化规则策略、检测方案，跟踪最新威胁事件和漏洞情报，每日全网高危威胁事件检出数达到40k条，覆盖演习期间高危漏洞32条，其中包含0day和1day共12个。这些攻击活动涵盖了众多企业产品漏洞，如：

xxxxxx系统uploadApk.do 任意文件上传漏洞
xxxxxx管理平台 files 任意文件上传漏洞
xxxxxx管理平台 report 任意文件上传漏洞
xxxxxx管理平台 env 信息泄漏漏洞
xxxxxx 回调地址漏洞
PHP代码注入检测
xxxxxx后台文件上传漏洞
xxxxxx SQL注入漏洞
xxxxxx SqlData.aspx SQL注入漏洞
xxxxxx接口未授权敏感信息泄露漏洞
xxxxxx SQL注入漏洞
xxxxxx 管理平台 video 任意文件上传漏洞
xxxxxx 管理平台用户信息泄露漏洞
xxxxxx 远程代码执行漏洞（CVE-2023-xxxxx）
xxxxxx 任意文件读取漏洞
xxxxxx userTokenService 远程命令执行漏洞
xxxxxx ApiUpdate.ashx 任意文件上传漏洞
xxxxxx UploadFileFromClientServiceForClient 任意文件上传漏洞
xxxxxx 反序列化漏洞（CVE-2023-xxxxx）
xxxxxx 命令执行漏洞（CVE-2023-xxxxx）
xxxxxx任意代码执行漏洞
xxxxxx UIExtensionClass代码注入漏洞（CVE-2023-xxxxx）
xxxxxx searchFilter命令注入漏洞（CVE-2023-xxxxx）
xxxxxx NTLM中继漏洞
xxxxxx SQL注入漏洞（CVE-2023-xxxxx）
xxxxxx Agent SQL注入漏洞（CVE-2023-xxxxx）

在演习期间，山石网科入侵检测与防御系统对客户的威胁事件捕获一直处于高并发拦截运行状态，平均每日高危威胁事件检出数达20k条，其威胁日志量变化如下：

其中拦截各漏洞类型数量如下图，其中各类漏洞利用威胁事件达1463种，这其中包括了数个演习期间的专门Exploit，以及一些通用漏洞：

各威胁大类告警严重等级划分如图，web和漏洞攻击侧严重漏洞居多，占所有威胁事件中32%：

总结

山石网科威胁情报中心在演习过程中，独家收录了近万条C2情报和几百个Malware类IOC，通过针对性的规则防护策略优化，及时猎取并收录各类情报，深入溯源攻击流程，紧密跟踪安全趋势和威胁事件，协助客户成功抵御了多次威胁攻击事件，为客户的安全保驾护航。

关于山石网科情报中心

山石网科情报中心，涵盖威胁情报狩猎运维和入侵检测与防御团队。山石网科情报中心专注于保护数字世界的安全。以情报狩猎、攻击溯源和威胁分析为核心，团队致力于预防潜在攻击、应对安全事件。山石网科情报中心汇集网络安全、计算机科学、数据分析等专家，多学科融合确保全面的威胁分析。我们积极创新，采用新工具和技术提升分析效率。团队协同合作，分享信息与见解，追求卓越，为客户保驾护航。无论是防范未来威胁还是应对当下攻击，我们努力确保数字世界安全稳定。其中山石网科网络入侵检测防御系统，是山石网科公司结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成，满足各类法律法规如 PCI、等级保护、企业内部控制规范等要求。

山石网科云瞻威胁情报中心：https://ti.hillstonenet.com.cn/

山石网科云影沙箱：https://sandbox.hillstonenet.com.cn/