隐形威胁:非Web协议如何重塑攻击面

Zscaler ThreatLabz研究报告揭示攻击者正转向DNS、RDP和SMB等非Web协议进行攻击,DNS滥用占比高达83.8%,零售业成为重灾区。报告分析了协议攻击趋势并提供了零信任防火墙防护方案。

隐形威胁:非Web协议如何重塑攻击面

攻击者找到了新的游乐场,而这个游乐场并不在网络上。真正的行动正在表面之下进行,他们正在劫持DNS、RDP和SMB等非Web协议。

从静默数据泄露到隐藏的命令与控制(C2)通道,这些攻击将普通网络流量变成了敌人,暴露了传统边界防御的盲点。Zscaler ThreatLabz 2025协议攻击面报告揭开了这个隐藏攻击面的面纱,揭示了非Web协议如何成为利用工具,以及哪些行业正在承受压力。

在本博客中,我们探讨了报告的关键发现,以及组织如何领先于这些在雷达下移动的攻击者。

关键发现

ThreatLabz研究人员分析了2024年11月至2025年4月的攻击数据和遥测数据,记录了非Web协议攻击的急剧增加。以下是前5个要点:

  • DNS滥用激增,占非Web威胁的83.8%:攻击者通过隧道、域名生成算法(DGA)和动态更新利用DNS协议来窃取数据并建立隐蔽的命令与控制(C2)通信。
  • 针对RDP和SMB的暴力攻击激增:RDP占暴力流量的90.3%,攻击者利用弱认证措施入侵系统并传播勒索软件。SMBv1仍然是主要目标,攻击者利用遗留漏洞发起零日攻击并促进系统内的横向移动。
  • 零售业仍是最受攻击的行业(占观察到的攻击的62%):针对零售业的攻击利用未修补系统,突显了操作依赖性如何使其成为勒索软件、间谍软件和数据窃取的理想入口。
  • 关键基础设施面临SSH滥用泛滥:能源(61.1%)和制造业(76.1%)等行业是攻击者利用SSH建立立足点、匿名化活动和维持持久性的主要目标。
  • 匿名工具加剧威胁态势:匿名工具(主要是Psiphon和Tor)经常被用来掩盖攻击者活动。

从DNS到恶意软件:塑造现代攻击面的趋势

网络犯罪分子正在将保持网络运行的协议武器化——利用绕过传统防御的工具和策略。非Web攻击中的这些新兴趋势展示了即使是受信任的协议也在变成安全负担。

DNS遭受围攻

DNS仍然是最受攻击的协议,原因很简单:它过于受信任。通过将恶意活动隐藏在DNS查询中,攻击者可以绕过防火墙并维持未被检测到的C2连接或窃取数据。

暴力攻击再次兴起

暴力攻击的复苏,特别是针对RDP和SMBv1的攻击,证明过时的系统仍然是关键的安全负担。攻击者利用自动化工具轰炸由于弱或默认认证凭证而容易受到攻击的开放端口。

非Web协议漏洞利用增加

非Web协议中漏洞的利用正在增加,针对近期和较旧的未修补缺陷。许多面向互联网的未修补系统仍然可访问,允许攻击者利用SMB、RDP、FTP和DNS等协议中的关键弱点。这对于横向移动、数据窃取和勒索软件构成了重大风险,特别是结合高级逃避技术。

恶意软件变得更智能

高级恶意软件家族如Agent Tesla和LockBit勒索软件正在将SMTP、DNS和SMB等非Web协议嵌入其攻击策略中。Gh0st RAT展示了DNS隧道如何支持监视和持久C2通道,而AsyncRAT和ValleyRAT等其他恶意软件则通过使用高级混淆工具将这些攻击推向更深层次。

阅读完整报告以获取有关这一扩展威胁态势的更多见解。

受攻击的行业:协议利用的浪潮

没有行业能够免受非Web协议攻击激增的影响,但有些行业面临着不成比例的威胁。ThreatLabz 2025协议攻击面报告揭示了网络犯罪分子如何制定高度针对性的策略,以利用特定行业内的独特漏洞和操作差距。

零售业是受影响最严重的行业之一,占观察到的非Web协议攻击的62%。对庞大供应链和过时基础设施的依赖使其成为主要目标,攻击者部署DNS隧道、暴力方法和恶意软件来窃取客户数据、传播勒索软件并在关键业务期间中断运营。

与此同时,科技公司经历了显著的DNS重点攻击(78.5%),因为网络犯罪分子试图渗透代码仓库、破坏知识产权并中断基于云的操作。DNS隧道仍然是该领域隐蔽数据窃取和命令与控制操作的最爱工具。

金融部门仍然是高价值目标。攻击者利用DHCP错误配置和SMB协议发起数据窃取活动并传播勒索软件。像Cobalt Strike这样的工具(高级威胁行为者的最爱)已被广泛用于滥用协议并提高攻击效率。

这些发现描绘了一个清晰的画面:网络犯罪分子正在放弃通用攻击,转而采用精确打击。通过调整其策略以利用独特漏洞,攻击者正在最大化其瘫痪组织并从混乱中获利的能力。

阅读完整的ThreatLabz 2025协议攻击面报告,以获取更详细的行业趋势和安全建议。

使用Zscaler零信任防火墙保护非Web协议

随着攻击者利用非Web协议,传统边界和遗留防御使组织容易受到攻击。Zscaler零信任防火墙提供以下关键保护:

  • DNS安全和隧道预防:零信任防火墙检查所有DNS流量,包括DNS over HTTPS(DoH)等加密协议,以识别和阻止用于促进数据窃取或命令与控制(C2)操作的恶意查询、隧道努力和域名生成算法(DGA)。
  • 集成入侵防御系统(IPS):高级零信任防火墙云IPS控制为非Web威胁提供实时保护,包括针对协议特定利用以及通过RDP、SMB和类似协议进行横向移动的尝试。持续更新、内置协议防御和Snort兼容的自定义签名确保了对新兴威胁的弹性。
  • 匿名和隧道检测:高级零信任防火墙识别并中断来自Tor、Chisel和Psiphon等工具的流量,这些工具用于创建隐蔽通信通道并掩盖恶意活动。
  • 全面分段:利用零信任原则,零信任防火墙对经过认证的用户、设备和应用程序执行最小权限访问。集成的应用到应用和用户到应用分段防止未经授权的访问,关闭常见的横向移动路径,并限制受损凭证的范围。

您的攻击面比您想象的要大。DNS、SMB和RDP等非Web协议现在是攻击者的首选游乐场,为数据窃取、勒索软件和恶意持久性提供隐蔽路径。传统安全措施无法应对这些不断演变的威胁——但零信任策略可以在为时已晚之前关闭这些危险的差距。

不要等到攻击发生。立即下载ThreatLabz 2025协议攻击面报告,了解如何保护您的业务。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次