全球网络安全状况如何？

在过去的一年里，全球针对组织的攻击 总体显著增加，每个组织每周平均遭受 攻击的次数达到 1673 次。这比 2023 年 高出 44%。

在 2024 年，信息窃取软件和多用途恶意软件的攻击尝试显著 增加。多用途恶意软件（RAT、僵尸网络和银行木马）经常用 于攻击的初始阶段，以投放其它工具并扩大攻击者对被攻破系 统的控制。因此，它是最常见的恶意软件类型也就不足为奇 了，2024 年有 39% 的组织受其影响。与 2023 年只有 31% 的 组织面临类似攻击尝试相比，这一数字与 2023 年相比，同比 增加了 25%。

信息窃取软件的感染尝试也显著增加，受影响的组织比例从 2023 年的 12% 增加到 2024 年的 19%，同比增加了 58%。信 息窃取软件攻击的增加，通常是在大规模活动中分发，而不是 针对特定受害者，这反映了信息窃取软件有一个成熟的生态系 统，以及对包含凭证、会话 Cookie 和其它个人信息的被盗信 息窃取软件日志的需求不断增加。多种恶意活动都会使用信息 窃取软件，从通过被盗的金融凭证直接进行欺诈，到利用被盗 的会话 Cookie 入侵企业网络等。关于信息窃取软件生态系统 的最新发展情况和更多细节在“趋势”章节中提供，并且在本 章的后面将提供专门的数据部分。 在系统所有者不知情的情况下安装的加密货币挖矿攻击显著下 降，受影响的组织比例从 9% 降至仅 2%。我们所见到的大多 数加密货币挖矿程序都以门罗币为目标，而今年门罗币的挖矿 难度（挖掘门罗币所需的计算工作量）几乎翻了一番，从 1 月 份的平均 260G 上升到 12 月份的近 450G。这极大地降低了其 盈利能力。关于加密货币挖矿程序的更多详细信息将在专门的 部分中介绍。

在过去的一年里，全球针对组织的攻击总数显著增加，每个组 织每周遭受的平均攻击次数达到 1673 次。这比 2023 年高出 44%。图 3 说明了按行业划分的每个组织每周平均遭受的攻击 次数。2024 年，大多数行业每周遭受的攻击次数都有显著增 加。教育部门遭受的攻击量最高，同比 (YoY) 增长 75%，每周 遭受的平均攻击次数超过 3574 次。教育机构成为专门针对个 人信息收集的目标。这种持续上升的攻击率影响到大学、中小 学以及教育部门和服务机构。 医疗保健部门每周遭受的平均攻击次数也增加了 47%。网络犯 罪分子愈发放弃了他们之前自我约束的不针对医疗保健服务行 业进行攻击的禁令。医疗部门特别容易受到长期服务中断的影 响（如前面的“勒索软件”部分所述），并且其所持有的患者 数据具有高度敏感性。

技术供应链领域，包括软件、硬件、半导体公司，遭受的网络 攻击的大幅增加。值得注意的是，硬件和半导体行业的平均每 周攻击次数增长最为显著，高达 179%，总数现已超过 1400 次。这一激增可归因于全球对硬件需求的不断增长以及对人工 智能技术的高度关注。作为现代基础设施和创新的关键组成部 分，这些行业已成为网络犯罪分子为获取经济利益、进行间谍 活动或造成破坏而寻求利用供应链漏洞的主要目标。

基于电子邮件的攻击仍然是主要的初始攻击向量，68% 的攻击 源自电子邮件。 源自电子邮件。尽管网络传递的攻击显著增加 (32%)，但这种 情况仍在持续，这主要归因于基于受感染网站的恶意软件分发 框架（如 FakeUpdates）依然占据着主导地位。 Office 文档中恶意宏攻击的减少导致了策略的转变：大多数恶意电子邮件现在包含 HTML 文件或 PDF 文档。HTML 文件的恶意 使用包括网络钓鱼和凭证窃取，通常通过复制合法的登录页面来 实现。其它用例包括更高级的技术，如 HTML 走私、重定向到恶 意网站、浏览器漏洞利用和其它方法。值得注意的是，61% 通过 电子邮件传递的恶意文件包含 HTML 附件。

恶意 PDF 文件是另一种常见的攻击向量，在 22% 的恶意电子 邮件中都能发现。这些通常涉及在文档中嵌入 JavaScript 代码 或嵌入式链接，这既可以触发恶意软件下载，也可以将受害者 重定向到恶意网站。在某些情况下，PDF 文件会利用过时的 PDF 阅读器软件中的漏洞在受害者的机器上执行代码。 恶意档案文件在网络攻击活动中也已成为一种常见的攻击向量， 比如ZIP、RAR、7z 等格式都经常被利用。在这些格式中，ZIP 文件最为常见，占恶意档案文件的 31%，其次是 RAR 文件占 22%，7z 文件占 8%。档案文件对于躲避检测特别有效，因为它们能压缩恶意有效载荷并混淆其内容，使安全解 决方案更难对其进行分析。

当攻击者使用有密码保护的档案时，安全机制面临 着一个显著的挑战。如果没有密码，就无法扫描这 些档案中的恶意内容，而密码通常包含在电子邮件 的正文中或单独共享。通过对档案内容进行加密， 威胁行为者试图绕过自动防御。一旦解压，这些档 案可以直接将恶意软件传送到受害者的系统中。攻 击者经常使用多阶段传递，初始的档案文件包含看 似无害的文档或脚本，当执行时，会从远程服务器 下载实际的恶意有效载荷。档案文件使用的增加突 显了网络犯罪分子不断演变的策略，以利用电子邮 件安全中的漏洞，并利用用户的信任来成功实施攻 击。

恶意 DLL 文件（动态链接库），通常在压缩档案 中传递，常用于 DLL 侧载或 DLL 劫持技术。在这 些情况下，攻击者通过将恶意 DLL 文件放置在与 受信任的可执行文件相同的目录中来利用易受攻击 的合法应用程序。当应用程序运行时，它会加载恶 意 DLL 而不是预期的 DLL，从而允许攻击者执行 任意代码。这种技术对于躲避检测特别有效，因为 合法应用程序充当了恶意有效载荷和 DLL 的受信 任载体。 网络传递攻击通常依靠隐蔽式下载、通过被入侵的 网站或欺骗性广告来传递这些文件，这也突出了网 络过滤、安全软件定期更新和提高用户意识以减少 此类威胁的重要性。网络传递的恶意文件呈上升趋 势，利用 EXE、DLL 和 PDF 等文件格式来分发恶 意软件。其中，EXE 文件最为普遍，占网络传递恶 意文件的 54%。这些可执行文件经常伪装成合法软 件或更新，诱使用户下载并运行它们。DLL 文件占 这些攻击的 11%，而 PDF 文件占 8%。