2021 年

M-TRENDS
FIREEYE MANDIANT SERVICES | 執行摘要
 執行摘要 M-TRENDS 2021 2

執行摘要
 執行摘要 M-TRENDS 2021 3

分享入侵現實，擴展相關知識

資安從業者去年面臨一系列的挑戰，迫使組織進入未知的領域。當勒索軟體操作員正在攻
擊州和城市網路，以及醫院與學校之時，全球性疫情 COVID-19 回應迫使很大一部分經濟轉向遠端辦
公。組織不得不採用新的技術，並在其正常增長計畫之外迅速進行擴展。

隨著組織習慣於對「正常」的新理解，疑似國家贊助威脅發動者 UNC2452 開展了近代歷史中最先進的

網路間諜活動之一。許多資安團隊被迫停止對採用遠端辦公政策的廣泛分析，轉而關注來自受信任平台
的供應鏈攻擊。
 執行摘要 M-TRENDS 2021 4

國家採用網路間諜活動進行 COVID 研究、威脅組織合作實現其目標、利用快速採納的在家辦公策略，以

及全球供應鏈入侵的警鐘—2020 年的經歷將塑造未來幾年的資安政策。

M-Trends 2021 涵蓋的主題包括：

• Mandiant 去年調查的資安事件中有 59% 最初是由組織自行偵測到的，與上一年相比增加了 12%。

• 勒索軟體已經演變成多方面敲詐，發動者不僅在整個受害環境中部署勒索軟體加密器，還採用了各種
其他勒索戰術，以迫使受害者遵從要求。

• 近期命名的以經濟為動機的威脅組織 FIN11 對廣泛的網路釣魚活動負責，這些活動實施過多起多方

面敲詐行動。

• 無處不在的勒索軟體活動壓低了停留時間中間值，因為威脅發動者試圖利用工作場所與全球危機的變
化趨勢。
 執行摘要 M-TRENDS 2021 5

• 疑似國家贊助組織 UNC2452 在向 SolarWinds Orion 構建過程注入了一個木馬化 DLL 後，

進行了大規模的間諜活動。Mandiant 確定了該活動並與執法機構和產業合作夥伴合作，為組織提供
保護並對該對手做出回應。

• Mandiant 專家觀察到使用了 63% 的 MITRE ATT&CK 技術，而觀察到的技術中有三分之一是

在超過 5% 的入侵中見到。

• 威脅發動者利用支援在家辦公的基礎設施，並且越來越關注漏洞利用。

2019 年 10 月 1 日到 2020 年 9 月 30 日期間最引人注目的趨勢之一是全球停留時間中間值顯著降

低。24 天是 Mandiant 專家首次觀察到全球停留時間中間值降至一個月以內。雖然此次停留時間的減
少可能與更好的可視性與回應有關，但也有可能是勒索軟體的優勢幫助減少初始感染和確認之間的時間。

M-Trends 2021 包含所有上面列出的觀察結果、添加了「數字會說話」中報告的新統計資料、引入了已

命名的威脅組織 FIN11、新的案例研究，以及許多其他主題，依靠我們的透明性來繼續為那些負責保衛組
織的人提供關鍵知識。本報告中的資訊已經過處理，以保護受害者的身分及其資料。
 執行摘要 M-TRENDS 2021 6

數字會說話
 執行摘要 M-TRENDS 2021 7

來自 FireEye Mandiant
調查的資料

M-Trends 2021 報告的統計資料是以 FireEye Mandiant 在 2019 年 10

月 1 日至 2020 年 9 月 30 日期間對針對性攻擊活動所進行的調查為基礎。

依來源偵測
組織繼續提高他們發現其網路內入侵的能力。雖然 M-Trends 2020 提到與 2018 年相比，2019 年
的內部通知有所下降，但是 Mandiant 專家觀察到在 2020 年，組織內部偵測大部分事件有所回升。

內部偵測是組織獨立
2020 年組織的內部事件偵測提高到了 59%，與 2019 年相比增加了 12 個百分點。組織偵測其環境內
發現其被入侵的情況。 絕大部分入侵的回歸趨勢與過去十年中觀察到的內部偵測增加的一致。這顯示出持續致力於有機偵測與
回應能力的擴展與增強。勒索軟體活動的增加也影響著該類別。

外部通知是外部實體
通知組織其被入侵的
情況。
 執行摘要 M-TRENDS 2021 8

依來源偵測，2011-2020 年

100 6% 37% 33% 31% 47% 53% 62% 59% 47% 59%
90 94%
80
70
偵測（百分比）

60
63% 67% 69%
50
53% 47% 53%
50
38% 41% 41%
30
20
10
0
2011 年 2012 年 2013 年 2014 年 2015 年 2016 年 2017 年 2018 年 2019 年 2020 年

外部
內部

地區偵測（按來源）
，2020 年

美洲地區 亞太地區 歐洲、中東和非洲

80 80 80

60 60 60
偵測（百分比）

61%
40 48% 52% 47% 53%
40 40
39%
20 20 20

0 0 0
外部 內部 外部 內部 外部 內部

地區偵測（按來源）
，2019-2020 年對比

70 30

61
美洲地區
60 39 40
53
內部偵測（百分比）

外部通知（百分比）

52 47
洲
歐洲、中東和非
50 48 52 50
48
44
區
40 56 亞太地 60

30 70
27
73
20 80
2019 年 2020 年
 執行摘要 M-TRENDS 2021 9

停留時間
組織繼續以比往年更快的速度找到並遏制對手。在過去十年裡，停留時間中間值有了顯著降低，從稍長於
停留時間的計算方式為攻擊者在被 一年 (2011) 降至不到一個月 (2020)。
偵測到之前，停留在受害網路的天
數。中間值表示按大小排序的資料
組中間點的值。

全球停留時間
2020 年，全球停留時間中間值首次降至一個月以內。組織現在僅在 24 天內就能偵測事件，比 2019
停留時間中間值 年快了不至兩倍。無論通知來源是什麼，這些偵測方面的改進都有效。內部偵測事件的全球停留時間中間
值降至僅僅 12 天，而外部通知來源的事件為 73 天。

416
2011 年日數
24
2020 年日數

全球停留時間中間值，2011-2020

入侵通知 2011 年 2012 年 2013 年 2014 年 2015 年 2016 年 2017 年 2018 年 2019 年 2020 年

全部 416 243 229 205 146 99 101 78 56 24

外部通知 — — — — 320 107 186 184 141 73

內部偵測 — — — — 56 80 57.5 50.5 30 12

 執行摘要 M-TRENDS 2021 10

全球停留時間中間值分佈
在全球範圍內，組織在入侵的前 30 天內偵測到更多的事件，而且停留時間超過 700 天的事件也變少
了。全球停留時間的分佈繼續表明越來越多的事件停留時間為 30 天或更少。2020 年，Mandiant 專
家調查的入侵中，52% 的停留時間等於或少於 30 天，相比之下 2019 年和 2018 年分別為 41% 和
31%。另一方面也有所改善；Mandiant 觀察到停留時間超過 700 天的調查減少了 3%。

組織偵測功能的持續發展與改進，以及威脅局勢的演變能夠解釋多年的整體趨勢。

全球停留時間中間值分佈，2018-2020
35%
35

30

25

22%
調查的百分比

20

15%
15 14%

10%
10 9%
8% 8%
7% 7% 7% 7%

7% 6% 6%
5% 7%
6% 4% 4% 4% 4% 6%
5
3% 5% 3% 3%
4% 4% 4% 2%
2% 2%
3% 3% 3% 3% 1% 1% 1% 1%
2% 1% 0 1%
0

上
7

14

30

45

60

75

90

0
0

0
15

50

60

70

80

90

0
20

30

40

以
至

10

20
至
至
至

天
至
0

1至
1至

1至
1至

1至
至

1至

1至
8

61
31
15

1至
46

76

0
1至
91

0
60
40

70
50

80
15

20

30

20
90

0
10

2020
停留時間（日數）
2019 年
2018 年
 執行摘要 M-TRENDS 2021 11

導致停留時間為 30 天或更少的事件比例增加的主要因素是涉及勒索軟體之調查的比例持續激增，從
2020 年的 25% 上升到 2019 年的 14%。在這些勒索軟體入侵中，與 44% 的非勒索軟體入侵相比，
涉及勒索軟體的調查
78% 的停留時間為 30 天或更少。Mandiant 專家也觀察到只有 1% 的勒索軟體入侵停留時間等於或

14
2019 年百分比
25
2020 年百分比
超過 700 天，相比之下非勒索軟體入侵為 11%。

全球停留時間（按調查類型）
，2020 年
0

10

20

7天
30

7天 14

40

14 30
中間值 中間值 中間值

50 24
天
5天
45 天
調查的百分比

30

7天
60
90

14
90
70

200

30
80 200

400

400

700
90
700 90
200
400

100 700

全部調查 勒索軟體調查 非勒索軟體調查

 執行摘要 M-TRENDS 2021 12

美洲地區停留時間中間值
2020 年，美洲地區的停留時間中間值持續降低。內部發現事件的停留時間改進最多，從 32 天降至九
美洲地區停留時間中間值變化
天。這是 Mandiant 首次在任何地區內觀察到停留時間中間值進入單位數。

美洲地區的停留時間中間值在 2020 年比 2019 年要短 3.5 倍。公司在內部偵測事件的速度快了 3.6

60
天（2019 年）
17
天（2020 年）
倍，而且收到外部入侵通知的速度也快了 2.1 倍。

2020 年，美洲地區調查的事件中有 27.5% 涉及勒索軟體。大量涉及勒索軟體的調查無疑壓低了停留

時間中間值。美洲地區的勒索軟體事件停留時間中間值僅為三天，在停留時間等於或少於 14 天的事件中
占 41%。

美洲地區停留時間中間值停留時間，2016-2020

140
137.5

120 124.5

100 104 104

99
停留時間（日數）

80
75.5
71
60
60

46 49
40 42.5

通知 全部 35 32

外部 20
17
內部 9
0
2016 年 2017 年 2018 年 2019 年 2020 年
 執行摘要 M-TRENDS 2021 13

亞太地區停留時間中間值
亞太地區 (APAC) 的停留時間中間值由 2019 年的 54 天增加至 2020 年的 76 天。亞太地區的勒
亞太地區停留時間中間值變化
索軟體相關入侵數量降低了，占 2020 年所調查事件的 12.5%，相比之下 2019 年為 18%。勒索軟體
相關事件的減少可能是亞太地區停留時間中間值整體增加的促進因素。

54
天（2019 年）
76
天（2020 年）
對手繼續在大量的時間內維持對亞太地區內被入侵組織的存取。與 2019 年的觀察結果一致，2020 年
間亞太地區所調查的入侵中有 10% 表示停留時間超過三年，還有 4% 超過九年時間。

亞太地區停留時間中間值，2016-2020

1200

1,088
1000

800
停留時間（日數）

600

498
400

通知 全部
320.5
外部 200 262
204
172
內部 158 131 137
18 33
54 76
0 2016 年 2017 年 2018 年 2019 年 2020 年
 執行摘要 M-TRENDS 2021 14

EMEA 停留時間中間值
EMEA 的停留時間中間值由 2019 年的 54 天增加至 2020 年的 66 天。Mandiant 專家觀察到，
EMEA 停留時間中間值變化 EMEA 28% 的事件停留時間為一週或更少，而 8% 的事件停留時間超過三年。EMEA 內的組織繼續
回應長期入侵，同時也在對抗勒索軟體之類節奏更快的入侵。

54
天（2019 年）
66
天（2020 年）
如果按照通知源劃分，EMEA 的停留時間中間值在內部發現的事件上增加了，但如果公司收收到外部
實體的入侵通知，停留時間則減少了。對於內部偵測的事件而言，EMEA 的停留時間增加了 20%，從
2019 年的 23 天增加到 2020 年的 29 天。相反地，EMEA 外部通知源的入侵之停留時間中間值減
少了 25%，從 2019 年的 301 天降至 2020 年的 225 天。

EMEA 停留時間中間值，2016-2020

500

474

400
停留時間（日數）

300
305 301

200 225

175 177
通知 全部
128
外部 100 106
83
內部 61 54
66
24.5 23 29
0 2016 年 2017 年 2018 年 2019 年 2020 年
 執行摘要 M-TRENDS 2021 15

產業定位
Mandiant 觀察到，最被針對的產業繼續每年都保持一致。2020 年最被針對的前五大產業分別是商
業與專業服務、零售與酒店、金融、醫療保健與高科技。在過去十年裡，商業與專業服務和金融一直在前五
大最被針對的產業之列。整體上，最被針對的產業變化不大，但是排名中的位置則有些不固定。

重大變動
Mandiant 專家觀察到，2020 年零售與酒店業組織被針對的次數更多，與 2019 年排名 11 相比，已
經躋身第二最被針對的產業。相比 2019 年的第 8，醫療保健在 2020 年躋身第三最被針對的產業。
另一方面，Mandiant 專家觀察到對娛樂與媒體業的針對有所下降，從 2019 年最被針對的產業降至
2020 年的第六。
 執行摘要 M-TRENDS 2021 16

目標產業，2015-2020

排名 2016 年 2017 年 2018 年 2019 年 2020 年

商業/
1 專業服務

零售業/
2 酒店業

醫療保健業
3 金融

5 高科技

營造/工程
6 娛樂/媒體

製造業 電信業
8 5

教育
9 政府機關

10

運輸業/
11 物流業

航太/
12 國防

13 能源產業

14 公用事業

15 生物技術 非營利
 執行摘要 M-TRENDS 2021 17

針對性攻擊
首次感染媒介 2020 年，Mandiant 專家回應了各種各樣的入侵，對首次感染媒介、對手行動及受害網路進行了觀察。
（確認時）
首次感染媒介
Ⰵ 儘管網路釣魚仍是首次入侵的有效媒介，但是在 2020 年，Mandiant 觀察到對手利用漏洞比利用其
29% 他媒介更頻繁。在首次入侵媒介被發現的案例中，在 29% 的入侵中發現了漏洞入侵的證據，然而網路釣
魚在入侵中占 23%。Mandiant 專家還在 19% 的調查中觀察到對手使用了被盜取的憑證或蠻力作為
首次攻擊媒介。在確認為首次入侵的入侵中，之前的入侵占 12%。

對手行動
23% 對手繼續使用入侵牟取金錢利益，所使用的方法包括敲詐、勒索、付款卡盜竊及非法轉帳。直接金錢利益
可能是 36% 的入侵之動機，還有 2% 的入侵可能是以轉售存取為目的。
笪騟ꆥ눴

2020 年，資料盜竊仍是威脅發動者的重要任務目標。在 32% 的入侵中，對手盜竊了資料，而這其中

29% 的案例中（所有案例的 9%）,資料盜竊可能支援了知識財產或間諜活動最終目標。
目標：獲取金錢利益
大約 3% 的入侵可能僅用於為進一步攻擊而入侵架構，而內部威脅仍然很少，在入侵中的比例不足 1%。
湬䱺

36% 環境
在 29% 的案例中，Mandiant 專家在受害網路中確認了不止一個不同的威脅組織，這是 2019 年所提
到比例的將近兩倍。

2%
鱲㈒㶸《

目標：竊取資料

甦《须俲

32%

9% IP/
꟦镄崞⹛

確認的多個威脅組織
（每個環境）

15
2019 年百分比
29
2020 年百分比
 執行摘要 M-TRENDS 2021 18

倞鷆髠ⵌ 威脅組織
涸㪮腙꧌㕰
在 Mandiant 的歷史過程中，Mandiant 專家已經追蹤了超過 2,400 個威脅組織，包括 2020 年
新追蹤的 650+ 個威脅組織。Mandiant 專家在這些年裡合併或消除了大約 500 個威脅組織，此時
倞鷆髠ㄤ錚㻌 追蹤超過 1,900 個不同的威脅組織。透過擴大和完善一個龐大的威脅發動者知識庫，Mandiant 可以
支援廣泛的調查，同時保持該資料集內的保真度。2020 年，Mandiant 專家基於對活動重疊的大量研
652 ⵌ涸㪮腙꧌㕰

究，把一個組織升級為一個命名的威脅組織，併合並了 75 個威脅組織。如需關於 Mandiant 如何定義

161
錚㻌ⵌ涸 和引用 UNC 組織和合併的詳細資訊，請參見“How Mandiant Tracks Uncategorized Threat
Actors”。1
246 㪮腙꧌㕰

2020 年，Mandiant 專家調查了涉及 246 個不同威脅組織的入侵。組織面臨四個已命名金融威脅

(FIN) 組織、六個已命名高級持續威脅 (APT) 組織，包括來自中國、伊朗和越南等民族國家的組織，以
及 236 個未分類威脅 (UNC) 組織的入侵。在入侵客戶處觀察到的 246 個威脅組織中，有 161 個威
脅組織是 2020 年新追蹤到的威脅組織。

威脅組織，2020 年

2
活躍的 FIN 組織
來自這些地理位置
• 俄羅斯
• 烏克蘭

55 4
活躍的 UNC 組織來 活躍的 FIN 組織
自這些地理位置
• 中國
• 伊朗
• 奈及利亞 6
• 北韓 來自這些國家的活躍
• 俄羅斯 236 APT 組織
• 瑞典 活躍的 UNC • 中國
• 瑞士 組織 11 • 伊朗
• 斯洛維尼亞 FIN 組織 • 越南
• 烏干達 （1 個升級） 6
• 烏克蘭 活躍的 APT 組
• 越南 織

652
在 2020 年間
FIN
41
確認的 UNC APT 組織
組織
（75 個合併）
AP
C
UN

1900+
組織總數
2020 2020 追蹤的
年活躍的地理位置 年的活動 總工作量

1. FireEye（2020 年 12 月 17 日）
。DebUNCing 歸因：Mandiant 如何追蹤未分類的威脅發動者。
 執行摘要 M-TRENDS 2021 19

惡意軟體
倞鷆髠ⵌ涸䟅
䠑鮿넓停纈
Mandiant 根據從一線 Mandiant 調查、公開報導、資訊分享及其他研究獲取的見解，持續擴展其惡意
軟體族群知識庫。2020 年，Mandiant 開始追蹤超過 500 個新的惡意軟體族群。相比之下，這一數字
與上一年新追蹤的惡意軟體族群數量不相上下。
514 倞鷆髠ㄤ錚㻌ⵌ
涸䟅䠑鮿넓停纈

144 Mandiant 每年都會回應數百個不同的入侵，在這些入侵中，對手都為組織好帶來了不同的挑戰。

294 2020 年，Mandiant 專家在調查被入侵環境時，觀察到使用了 294 個不同的惡意軟體族群。
錚㻌ⵌ涸䟅
䠑鮿넓停纈 Mandiant 專家在入侵期間觀察到的將近 300 個惡意軟體族群中，有 144 個惡意軟體族群是
Mandiant 在 2020 年開始追蹤的。對手不僅使用成熟的惡意軟體，還會繼續創新與適應，使之在受害
網路內保持有效。

惡意軟體族群是一個程式或成
員間有足夠的「程式碼重疊」的
一組程式，FireEye 視其為同
一種東西，即「族群」 。「族群」一
詞擴大了單個惡意軟體的範圍，
因為它可以隨著時間的變化而
變化，這反過來又會創造新的，
但從根本上而言又是重疊的惡
意軟體。
 執行摘要 M-TRENDS 2021 20

惡意軟體族群（按類別劃分）
惡意軟體類別分部仍然每年都保持相對一致。在 2020 年新追蹤到的 514 個惡意軟體族群中，前五大
類別分別是後門 (36%)、下載器 (16%)、植入程式 (8%)、啟動器 (7%) 以及勒索軟體 (5%)。
惡意軟體類別描述一個惡意軟
體族群的主要目標。每個惡意軟
體族群都只會分配一個最能描
述其主要目的的類別，無論其功
能是否不止適合一個類別。

惡意軟體類別 主要目的

後門程式 該程式的主要目的是讓威脅發動者能互動式地向安裝了該程式的系統發出命令。

憑證竊取器 該公用程式的主要目的是存取、複製或竊取身分驗證憑證。

下載器 該程式的唯一目的是從特定地址下載（也許還會啟動）一個檔案，並且不會提供任何額外的功
能或支援任何其他互動式命令。

病毒植入程式 該程式的主要目的是提取、安裝並可能會啟動或執行一個或多個檔。

啟動器 該程式的主要目的是啟動一個和多個檔案。與植入程式或安裝器的區別之處在於它不包含或
不會對檔案進行配置，只是會執行或載入檔案。

勒索軟體 該程式的主要目的是執行一些惡意操作（如加密資料）
，其目標為牟取受害者付款，以避免或
撤銷惡意操作。

其他 包括所有其他惡意軟體類別，如公用程式、鍵盤記錄器、銷售點 (POS)、隧道器和資料採擷器。

最新追蹤到的惡意軟體族群（按類別劃分）
，2020 年

䖕Ꟍ玑䒭

25%
36%

Ⱖ➮

㉬⹛㐼
4%

5%
⹗程鮿넓
7%
䤊阮甦《㐼 8% 16%
♴鯺㐼
氻嫬嗃Ⰵ玑䒭
 執行摘要 M-TRENDS 2021 21

觀察到的惡意軟體族群（按類別劃分）
後門是對手的主要手段，一直是調查期間觀察到的最大惡意軟體族群類別。Mandiant 專家觀察到攻擊
者在超過一半所調查的入侵種都部署了至少一個後門。在 2020 年新追蹤到的 294 個惡意軟體族群
觀察到的惡意軟體族群是
Mandiant 專家調查期間確認 中，前五大類別分別是後門 (41%)、下載器 (9%)、植入程式 (9%)、勒索軟體 (8%) 以及啟動器 (6%)。
的惡意軟體族群。

觀察到的惡意軟體族群（按類別劃分）
，2020 年

䖕Ꟍ玑䒭

Ⱖ➮ 22%

41%
䤊阮甦《㐼
4%

6%
㉬⹛㐼

8%

⹗程鮿넓 9% 9%
♴鯺㐼
氻嫬嗃Ⰵ玑䒭
 執行摘要 M-TRENDS 2021 22

新追蹤的惡意軟體族群（按可用性劃分）
Mandiant 專家觀察到 81% 新追蹤的惡意軟體族群都是非公開的，而 19% 是可公開獲取的。儘管對
手確實使用公開可用的工具和代碼，但是絕大部分追蹤到的惡意軟體族群都有可能是私人開發的，或者
其可用性受到限制。

新追蹤的惡意軟體族群（按可用性劃分）
，2020 年

公開可用的工具或代碼族群很 ⰗꟚ
容易獲取，沒有限制。這包括可 19%
以在互聯網上自由獲取的工具，
以及出售或購買的工具，只要能
被任何買家購買的工具都屬於
該範疇。

非公開工具或代碼族群，據我們 81%
所知，是無法公開獲取的（免費
ꬌⰗꟚ
或出售）。它們可能包括私人開
發、持有或使用的工具，以及在
受限制的客戶群體中共用或出
售的工具。
 執行摘要 M-TRENDS 2021 23

觀察到的惡意軟體族群（按可用性劃分）
與新追蹤的惡意軟體族群之可用性類似，2020 年，Mandiant 專家觀察到對手在入侵期間所使用的惡
意軟體族群有 78% 是非公開的，而 22% 是公開可用的。

觀察到的惡意軟體族群（按可用性劃分）
，2020 年

ⰗꟚ
22%

78%
ꬌⰗꟚ
 執行摘要 M-TRENDS 2021 24

最常見的惡意軟體族群
Mandiant 專家調查的入侵取件最常見的五大惡意軟體族群分別是 BEACON、EMPIRE、MAZE、
NETWALKER 和 METASPLOIT。BEACON 在 2020 年非常普遍，以至於在 Mandiant 調查
的全部入侵中有將近四分之一觀察到它。Mandiant 專家也觀察到在事件之間使用的惡意軟體缺乏交
叉授粉。 入侵期間看到的惡意軟體族群中只有 3.4% 是在 10 個或更多入侵中觀察到，而所看到的惡意
軟體族群中有 70% 僅在單個入侵期間觀察到。

最常見的惡意軟體族群，2020 年

25
24%
20
入侵百分比

15

10
8%
5 5%
4%
3%
0 BEACON EMPIRE MAZE NETWALKER METASPLOIT

• BEACON 惡意軟體是一個商用後門程式，是 Cobalt Strike 軟體平台的一部分，通常用於對網路

環境進行滲透測試。該惡意軟體支援好幾種功能，如注入和執行任意代碼、上傳和下載檔案，以及執行
shell 命令。Mandiant 已經看見許多已命名威脅組織使用過 BEACON，包括 APT19、APT32、
APT40、APT41、FIN6、FIN7、FIN9 和 FIN11，以及將近 300 個 UNC 組織。

• EMPIRE 是個公開可用的 PowerShell 入侵後框架，讓使用者能在不使用 powershell.exe 的

情況下執行 PowerShell 代理。PowerShell Empire 也讓發動者能執行各種類型的入侵後模組，
並在規避偵測時進行自我調整通訊。Mandiant 專家追蹤 90 個使用過 EMPIRE 的威脅組織，包括
APT19、APT33、FIN10、FIN11 和 86 個 UNC 組織。

• MAZE是個勒索軟體族群，會加密本機存放區和網路上分享的檔案。MAZE 可以配置成感染遠端與
可攜式磁碟機，以及透過 HTTP 發送基本系統資訊。Mandiant 已經觀察到有十幾個不同的以經濟
為動機的威脅組織利用 MAZE 勒索軟體。

• NETWALKER 是一個勒索軟體族群，能夠偵測磁碟區陰影複製，並使用 SALSA20 和

Curve25519 加密演算法的組合來加密受害主機及任何映射的網路磁碟上的檔案。Mandiant 追蹤
八個使用過 NETWALKER 勒索軟體來促進其牟利之最終目標的威脅組織。

• METASPLOIT 是個滲透測試平台，使用者可以在平台上發現、利用及驗證漏洞。Mandiant 已經看

見 APT40、APT41、FIN6、FIN7、FIN11 和 40 個 UNC 組織使用過 METASPLOIT，其最終目
標從間諜活動和金錢利益到滲透測試不等。
 執行摘要 M-TRENDS 2021 25

作業系統有效性
為了符合之前的趨勢，絕大部分新追蹤到的族群都在 Windows 上有效。只有 8% 和 3% 新追蹤到的
惡意軟體族群分別在 Linux 和 MacOS 上有效。
惡意軟體族群的作業系統有效性
是可以在上面使用惡意軟體的作
業系統。

新追蹤到的惡意軟體族群的有效性（按作業系統劃分）
，2020 年

94% Windows 剤佪

89% ⫦ꣳ Windows

8% Linux 剤佪

3% ⫦ꣳ Linux
514
⦐剓倞鷆髠ⵌ
涸䟅䠑鮿넓停纈

3% MacOS 剤佪

1% ⫦ꣳ MacOS

與新追蹤到的惡意軟體族群所看到的趨勢類似，Mandiant 調查期間觀察到的絕大部分惡意軟體族群
都在 Windows 上有效。也有觀察到在 Linux 和 MacOS 上有效的惡意軟體，但是它們在惡意軟體
族群中分別只占 13% 和 5%。

觀察到的惡意軟體族群的有效性（按作業系統劃分）
，2020 年

95% Windows 剤佪

86% ⫦ꣳ Windows

13% Linux 剤佪

4% ⫦ꣳ Linux
294
⦐錚㻌ⵌ涸
䟅䠑鮿넓停纈

5% MacOS 剤佪

0% ⫦ꣳ MacOS
 執行摘要 M-TRENDS 2021 26

威脅技術
Mandiant 繼續將其調查結果映射到 MITRE ATT&CK 架構，以支援社群與產業活動。2020
MITRE ATT&CK® 是個可 年，MITRE ATT&CK 框架發生了重大變化，引入了子技術，並在企業 ATT&CK 中融入了 PRE-
以公開存取的攻擊者戰術與技 ATT&CK。部分由於這些變化及其資料模型的持續改進，Mandiant 現在擁有的 MITRE ATT&CK
術知識庫，以現實生活中的觀察
技術能映射到超過 1,800 個 Mandiant 技術與後續調查結果。
結果為基礎。在私營部門、政府
及網路安全產品與服務社區內，
ATT&CK 知識庫被用作特定 在做出安全決定時，組織必須考慮特定技術在入侵期間使用的可能性。2020 年，Mandiant 專家觀察
威脅模型與方法的開發基礎。 到攻擊者使用 63% 的 MITRE ATT&CK 技術和 24% 的子技術。然而，觀察到的技術中只有 37%
（全部技術的 23%）在超過 5% 的入侵中出現。

在 2020 年調查的過半入侵中，Mandiant 專家觀察到對手在檔案或資訊上使用了混淆，如加密或

編碼，使偵測與後續分析變得更加困難 (T1027)。對手經常使用命令或指令碼語言解譯器來推進入侵
(T1059)，而這些案例中有 80% 涉及使用 PowerShell (T1059.001)。系統服務 (T1569) 也是一
種常見的執行方法，在 31% 的入侵中出現過，而這些入侵都使用了 Windows 服務 (T1569.002)。
對手也使用遠端服務 (T1021) 來推進入侵，其中有 88% 使用遠端桌面通訊協定 (T1021.001)。對手
經常會利用受害者網路中可用的資源；對手使用 PowerShell、Windows 服務及遠端桌面的頻繁程
度就突出了這種趨勢。

最常用的 MITRE ATT&CK 技術，2020 年

Mandiant 锅叆⚥錚㻌ⵌ涸

63%

馄麕 5% 涸Ⰵ⚥溏ⵌ涸
23%
 執行摘要 M-TRENDS 2021 27

經常被針對的技術，2020 年

88% 的遠端桌面通訊協定 (T1021.001) 用於使用遠端服務 (T1021) 的入侵

在全部入侵的 25% 中使用

100% 的 Windows 服務 (T1569.002) 用於使用系統服務 (T1569) 的入侵

在全部入侵的 31% 中使用

80% 的 PowerShell (T1059.001) 用於使用命令或指令碼語言編譯器 (T1059) 的入侵

在全部入侵的 41% 中使用

 執行摘要 M-TRENDS 2021 28

與攻擊生命週期相關的 MITRE ATT&CK 技術，2020 年

初步偵察 初步破壞

事前勘查 初始存取

T1190：利用面向公眾的應用 21.0%
T1595：主動掃描 0.2% 程式

T1566：網路釣魚 T1566.001：魚叉式網路釣魚
資源開發
14.2%
附件
8.1%

T1588：獲取能力 21.3% T1588.003：編碼簽署憑證 21.0% T1566.002：魚叉式網路釣魚 7.1%

連結
T1583：獲得基礎設施 7.8% T1583.003：虛擬私人伺服器 7.8%
T1566.003：透過服務的魚叉 0.5%
式網路釣魚
T1584：入侵基礎設施 5.1%
T1133：外部遠端服務 11.5%
T1587：開發能力 1.2% T1587.003：數位證書 1.2%
T1078：有效帳戶 6.8%

T1199：可信關係 3.2%

T1189：路過式入侵 1.5%

T1091：透過可移動媒介複製 0.5%

T1195：供應鏈入侵 0.5% T1195.002：入侵軟體供應鏈 0.5%

T1200：硬體添加 0.5%

Mandiant 攻擊生命週期

MITRE ATT&CK 架構
20+
10–19.99
5–9.99
2–4.99
0–1.99
 執行摘要 M-TRENDS 2021 29

建立據點 提升權限

持續 提升權限

T1053：計劃的任務/工作 15.2% T1053.005：計劃的工作 6.6% T1055：處理序注入 18.1% T1055.003：執行緒執行劫持 1.0%

T1505：伺服器軟體元件 12.2% T1505.003：Web Shell 12.2% T1055.012：處理程序空白 0.5%

T1133：外部遠端服務 11.5% T1053：計劃的任務/工作 15.2% T1053.005：計劃的工作 6.6%

T1098：帳戶操縱 9.0% T1543：建立或修改系統處理序 9.0% T1543.003：Windows 服務 9.0%

T1078：有效帳戶 6.8%
T1543：建立或修改系統處理序 9.0% T1543.003：Windows 服務 9.0%
T1134：存取權杖操縱 5.9% T1134.001：權杖偽裝/盜竊 0.2%
T1078：有效帳戶 6.8%
T1547：啟動或登入自動啟動 4.2% T1547.001：登錄執行執行金 4.2%
執行 鑰 / 開機資料夾
T1136：建立帳戶 6.1% T1136.001：本機帳戶 0.2%

T1136.002：網域帳戶 0.2% T1547.009：快捷方式修改 0.2%

T1547：啟動或登入自動啟動 4.2% T1547.001：登錄執行執行金 4.2% T1546：事件觸發執行 3.2% T1546.008：可存取性功能 1.2%

執行 鑰 / 開機資料夾
T1546.011：應用程式勻場 1.2%
T1547.009：快捷方式修改
T1546.003：Windows
0.2%
0.7%
Management
T1546：事件觸發執行 3.2% T1546.008：可存取性功能 1.2% Instrumentation 事件訂閱

T1546.011：應用程式勻場 1.2% T1574：劫持執行流 3.2% T1574.001：DLL 搜尋命令 2.4%

劫持
T1546.003：Windows 0.7%
Management T1574.002：DLL 端載入 2.4%
Instrumentation 事件訂閱
T1574.008：透過搜尋順序劫 0.2%
T1574：劫持執行流 3.2% T1574.001：DLL 搜尋命令 2.4% 持的路徑攔截
劫持
T1548：濫用提升控制機制 0.7% T1548.002：繞開使用者帳戶 0.5%
T1574.002：DLL 端載入 2.4% 控制

T1574.008：透過搜尋順序劫 0.2% T1548.001：Setuid 和 0.2%

持的路徑攔截 Setgid

T1197：BITS 工作 0.7% T1068：權限提升利用 0.2%

T1542：作業系統前啟動 0.2% T1542.003：Bootkit 0.2% T1484：網域政策修改 0.2% T1484.001：群組政策修改 0.2%

 執行摘要 M-TRENDS 2021 30

內部偵察 橫向移動

發現 橫向移動

T1082：系統資訊發現 24.2% T1021：遠端服務 28.4% T1021.001：遠端桌面通訊協 24.9%

定
T1083：檔案和目錄發現 21.8%
T1021.002：SMB / 3.9%
Windows 管理共用
T1012：查詢登錄 13.0%
T1021.004：SSH 3.2%
T1016：系統網路設定發現 13.0%

T1021.006：Windows 遠 1.0%
T1497：虛擬化 / 沙箱規避 12.7% T1497.001：系統檢查 1.5% 端系統管理

T1057：流程發現 12.0% T1021.003：分散式元件物件 0.2%

模型
T1518：軟體發現 11.5%
T1091：透過可移動媒介複製 0.5%
T1033：系統所有者/使用者發現 9.8%
T1550：使用替代身分驗證材料 0.5% T1550.002：雜湊傳遞 0.2%
T1049：系統網路連接發現 5.4%
T1550.003：票證傳遞 0.2%
T1007：系統服務發現 4.9%
T1563：遠端服務工作階段劫持 0.5% T1563.002：RDP 劫持 0.2%
T1482：網域信任探索 4.9%
T1534：內部魚叉式網路釣魚 0.2%
T1087：帳戶發現 4.2% T1087.004：雲端帳戶 0.2%

T1087.002：網域帳戶 0.2%

T1010：應用程式視窗發現 2.4%

T1069：權限群組發現 2.4% T1069.003：雲端群組 0.2%

T1046：網路服務掃描 1.7%

T1124：系統時間發現 1.0%

T1018：遠端系統發現 0.2%

T1135：網路共用發現 0.2%

T1217：瀏覽器書籤發現 0.2%

T1538：雲端服務儀表板 0.2%

T1580：雲端基礎設施發現 0.2%
 執行摘要 M-TRENDS 2021 31

持續存取 任務完成

持續 收集

T1053：計劃的任務/工作 15.2% T1053.005：計劃的工作 6.6% T1560：把收集到的資料存檔 15.2% T1560.001：透過公用程式存 3.4%

檔
T1505：伺服器軟體元件 12.2% T1505.003：Web Shell 12.2%
T1560.002：透過庫存檔 1.5%

T1133：外部遠端服務 11.5%
T1056：輸入擷取 4.9% T1056.001：鍵盤記錄 4.9%

T1098：帳戶操縱 9.0% T1213：來自資訊庫的資料 4.2% T1213.002：Sharepoint 0.2%

T1543：建立或修改系統處理序 9.0% T1543.003：Windows 服務 9.0% T1113：螢幕擷取 3.2%

T1078：有效帳戶 6.8% T1114：電子郵件收集 3.2% T1114.003：電子郵件轉發規則 1.5%

T1115：剪貼板數據
T1136：建立帳戶 T1136.001：本機帳戶
2.7%
6.1% 0.2%
T1530：來自雲端儲存物件的
T1136.002：網域帳戶
0.5%
資料
0.2%

T1547：啟動或登入自動啟動 T1547.001：登錄執行執行金
T1074：資料已分級
4.2% 4.2%
執行 鑰 / 開機資料夾
0.2%

T1123：音訊擷取
T1547.009：快捷方式修改
0.2%
0.2%
T1125：視訊擷取 0.2%
T1546：事件觸發執行 3.2% T1546.008：可存取性功能 1.2%
滲透
T1546.011：應用程式勻場 1.2%

T1546.003：Windows 0.7% T1567：Web 服務滲透 0.2%

Management
Instrumentation 事件訂閱
影響
T1574：劫持執行流 3.2% T1574.001：DLL 搜尋命令 2.4%
劫持
T1489：服務停止 13.4%
T1574.002：DLL 端載入 2.4%
T1529：系統關閉/重啟 3.2%
T1574.008：透過搜尋順序劫 0.2%
持的路徑攔截
T1490：禁止系統發現 2.7%
T1197：BITS 工作 0.7%
T1486：為影響加密資料 2.2%
T1542：作業系統前啟動 0.2% T1542.003：Bootkit 0.2%
T1496：資源劫持 2.0%

T1565：資料操縱 1.7% T1565.001：儲存資料操縱 1.7%

T1531：帳戶存取移除 1.0%

T1491：損壞 0.7% T1491.002：外部損壞 0.7%

 執行摘要 M-TRENDS 2021 32

整個生命週期

憑證存取 命令與控制

T1003：作業系統憑證傾倒 8.8% T1003.001：LSASS 記憶體 4.4% T1105：輸入工具傳輸 24.2%

T1003.003：NTDS 3.4% T1573：加密管道 15.9% T1573.002：非對稱密碼 15.9%

T1003.002：資安客戶經理 0.7% T1095：非標準應用程式層通 13.0%

訊協定

T1003.006：DCSync 0.2% T1071：應用程式層通訊協定 9.5% T1071.001：Web 通訊協定 7.6%

T1003.008： /etc/ 0.2% T1071.004：DNS 1.7%

passwd 和 /etc/shadow

T1110：暴力攻擊法 6.1% T1110.003：密碼噴灑 2.0% T1071.003：郵件通訊協定 0.5%

T1110.001：密碼猜測 1.2% T1071.002：檔案傳輸通訊協 0.2%

定

T1056：輸入擷取 4.9% T1056.001：鍵盤記錄 4.9% T1572：通訊協定隧道 5.4%

T1555：來自密碼商店的憑證 1.7% T1555.003：來自 Web 瀏 1.0% T1090：代理 4.9% T1090.003：多跳接代理主機 3.2%

覽器的憑證

T1552：無擔保憑證 1.0% T1552.004：私人金鑰 0.5% T1090.004：網域前端 0.2%

T1552.001：檔案中的憑證 0.2% T1102：網路服務 1.0%

T1111：雙因素身分驗證攔截 0.7% T1219：遠端存取軟體 0.7%

T1558：竊取或偽造 0.7% T1558.003： 0.2% T1001：資料混淆 0.2%

Kerberos 票證 Kerberoasting

T1187：強迫身分驗證 0.2% T1568：動態解析度 0.2% T1568.002：網域產生演算法 0.2%

T1539：竊取 Web 工作階段 0.2% T1571：非標準連接埠 0.2%

Cookie

執行

T1059：命令與指令碼語言解 51.3% T1059.001：PowerShell 40.8%

譯器

T1059.003：Windows 命 15.4%
令 Shell

T1059.005：Visual Basic 5.9%

T1059.007：JavaScript/ 2.7%
JScript

T1059.006：Python 1.0%

T1569：系統服務 30.6% T1569.002：服務執行 30.6%

T1053：計劃的任務/工作 15.2% T1053.005：計劃的工作 6.6%

T1204：使用者執行 11.5% T1204.001：惡意連結 7.3%

T1204.002：惡意檔案 4.2%

T1203：用戶端執行的利用 4.9%

T1047：Windows 2.7%
Management
Instrumentation

T1106：本機 API 0.2%

 執行摘要 M-TRENDS 2021 33

整個生命週期

防禦規避

T1027：混淆檔案或資訊 52.6% T1027.001：二進位填充 0.2% T1140：反混淆/解碼檔案或 2.7%

資訊

T1027.004：交付後編譯 0.2% T1218：帶符號的二進位代理 2.4% T1218.010：Regsvr32 1.0%

執行

T1027.005：從工具中移除的 1.0% T1218.002：控制台 0.5%

指標

T1027.002：軟體封包 8.1% T1218.005：Mshta 0.5%

T1027.003：資訊隱寫 0.5% T1218.003：CMSTP 0.2%

T1070：主機指標移除 24.4% T1070.004：檔案刪除 18.1% T1218.011：Rundll32 0.2%

T1070.006：Timestomp 5.9% T1564：隱藏人工製品 2.2% T1564.003：隱藏的視窗 2.0%

T1070.001：清除 4.2% T1564.004：NTFS 檔案屬性 0.2%

Windows 事件日誌

T1070.005：網路共用連接移除 1.2% T1036：偽裝 1.5% T1036.003：重新命名系統公 0.7%

用程式

T1553：推翻信任控制 21.3% T1553.002：程式碼簽名 21.0% T1036.001：程式碼簽名無效 0.5%

T1055：處理序注入 18.1% T1055.003：執行緒執行劫持 1.0% T1036.005：匹配合法名稱或 0.2%

位置

T1055.012：處理程序空白 0.5% T1480：執行護欄 1.5%

T1112：修改登錄 15.6% T1197：BITS 工作 0.7%

T1497：虛擬化 / 沙箱規避 12.7% T1497.001：系統檢查 1.5% T1548：濫用提升控制機制 0.7% T1548.002：繞開使用者帳戶 0.5%

控制

T1562：損害防禦 9.8% T1562.001：停用或修改工具 5.9% T1548.001：Setuid 和 0.2%

Setgid

T1562.004：停用或修改系統 5.1% T1578：修改雲端計算基礎設施 0.5% T1578.002：建立雲端執行個體 0.5%

防火牆

T1562.007：停用或修改雲端 0.2% T1578.003：刪除雲端執行個體 0.2%

防火牆

T1078：有效帳戶 6.8% T1550：使用替代身分驗證材料 0.5% T1550.002：雜湊傳遞 0.2%

T1134：存取權杖操縱 5.9% T1134.001：權杖偽裝/盜竊 0.2% T1550.003：票證傳遞 0.2%

T1202：間接命令執行 3.7% T1127：授信開發者公用程式代 0.2% T1127.001：MSBuild 0.2%

理執行

T1574：劫持執行流 3.2% T1574.001：DLL 搜尋命令 2.4% T1211：防禦規避的利用 0.2%

劫持

T1574.002：DLL 端載入 2.4% T1484：網域政策修改 0.2% T1484.001：群組政策修改 0.2%

T1574.008：透過搜尋順序劫 0.2% T1542：作業系統前啟動 0.2% T1542.003：Bootkit 0.2%

持的路徑攔截
 執行摘要 M-TRENDS 2021 34

結論
 執行摘要 M-TRENDS 2021 35

更多安全意識，構建最佳實踐

2020 年讓我們想起了物質世界中的事件是如何與網路安全相互交錯的。在過去的
M-Trends 中，我們報告了地緣政治事件如何經常對網路安全產生影響。2020 年，我們看到全球疫情
如何改變企業經營，並因此改變大多數企業的受攻擊面和風險狀況。由於攻擊者利用了這些前所未有的
時期，世界各地的組織都在努力適應新的常態，並維持他們的防禦。

在過去一年裡，我們還記住了供應鏈攻擊的複雜性與影響，我們最初是在 M-Trends 2013 中提到這種

趨勢，並討論了攻擊者如何利用協力廠商服務提供者來入侵其受害者。雖然我們在 2020 年觀察到的許
多趨勢都是新的趨勢，但是我們已經看到這些問題達到了新的且令人難忘的複雜程度與比例。
 執行摘要 M-TRENDS 2021 36

我們也見證了勒索軟體如何演變成多方面敲詐並繼續升級。2020 年，除了加密器部署外，我們還看到
「點名羞辱」網站的興起。威脅發動者利用初次存取的新舊漏洞，從部署用於支援遠端辦公人員的基礎設
施中牟利。這些趨勢強調了良好基礎的重要性，如漏洞與修補程式管理、最小特權與硬化。

資安組織需要繼續為威脅發動者的持續升級做好準備，並應對其自身環境與受攻擊面的變化。儘管很多
方面都保持不變，但是我們看到過去的趨勢正在持續演變，要求資安團隊保持警惕、不斷適應和發展。
要知道更多關於 FireEye，請前往： www.FireEye.com
若要深入瞭解 Mandiant 解決方案，請參訪： www.FireEye.com/mandiant

FireEye Taiwan / 台灣火眼有限公司 關於 FireEye 關於 Mandiant 解決方案

10683 台北市信義路四段 6 號 6 樓 / 在 FireEye，我們的使命是以從網路攻擊前線獲取的創新技術、 Mandiant 解決方案聚集了世界上領先的威脅情報和前線專業
+886 2 5551 1268 / 情報及專業知識，不懈地為組織提供保護。若要深入瞭解，請至 知識，並用持續的資安驗證來為組織提高資安效益和提供減少業
Taiwan@FireEye.com www.FireEye.com。 務風險所需的工具。

©2021 FireEye, Inc. 保留一切權利。FireEye 和 Mandiant

為 FireEye, Inc. 的註冊商標。所有其他品牌、產品或服務名稱分
屬各擁有人之商標或服務標記。
M-EXT-RT-US-EN-000372-01