随着全球数字化进程的加速与网络技术的深度演进,网络安全威胁形态正经历前所未有的复杂化与专业化转型。攻击者不再满足于单一、孤立的攻击手法,而是趋向于构建自动化、链路化且具有高成功率的攻击体系,使得传统防御策略往往难以应对真实威胁环境中的多层次、持续化攻击行为。在此背景下,深度理解攻击者的技战术演变趋势,成为企业构建有效安全防御体系的关键前提。
《2025年网络攻击威胁洞察报告》基于过去一年对全球真实攻击活动的持续追踪与系统化分析,全面梳理了攻击库在规模、覆盖范围与结构上的年度更新情况,旨在从攻击者视角揭示当前网络攻击技术的发展脉络,为各类组织提供持续安全验证与防御策略优化的坚实依据。报告不仅聚焦于攻击技术的微观变化,更从宏观层面洞察了威胁环境的整体迁移,涉及攻击链的各个环节,包括初始访问、命令与控制、持久化、防御绕过、凭据窃取、横向移动及数据渗出等,并通过大量数据统计与可视化图表,直观呈现了2025年网络威胁的核心特征与演变方向。
报告首先指出,攻击者在命令与控制(C2)阶段的隐蔽化趋势日益显著。随着企业对网络流量监控能力的提升,攻击者正更多地利用合法协议或非标准端口建立隐蔽通信通道。数据显示,利用DNS、ICMP、HTTP/HTTPS等Web协议以及各类非应用层协议的隧道技术占比在2025年大幅提升。这种隐蔽化通信使得传统的基于特征匹配的入侵检测系统(IDS)或防火墙难以有效识别恶意流量,攻击者得以在受害网络中长期潜伏,持续进行数据窃取或等待下一步攻击指令。这一趋势在MITRE ATT&CK框架的映射热力图中得到明确体现,其中TA0011(命令与控制)相关技术点,特别是T1071(应用层协议)和T1572(协议隧道),占据了新增验证规则的极大比重。这警示防御方必须加强对网络流量的深度行为分析,而不仅仅是依赖协议合规性检查或已知恶意域名/IP的阻断。
另一个不容忽视的趋势是,国产软件已成为网络攻击的“重灾区”。报告统计显示,针对用友、金蝶、泛微、致远互联、蓝凌等国内主流办公自动化(OA)、企业资源计划(ERP)及协同管理软件的漏洞利用攻击在2025年呈现爆发式增长。这反映出攻击者正精准利用国内企业在数字化转型过程中对特定办公和管理系统的高度依赖,以及这些系统可能存在的更新维护不及时、安全开发实践不足等弱点。这种针对供应链关键环节的渗透,往往能产生“攻破一点,波及一片”的连锁效应,对企业核心业务和数据安全构成严重威胁。报告中的攻击目标统计气泡图清晰显示,在涉及的314家厂商中,上述国产软件厂商位于图的核心位置,其相关漏洞规则数量激增。这要求国内企业必须将供应链安全提升至战略高度,加强对关键业务系统供应商的安全评估、漏洞响应协作以及自身的补丁管理流程。
同时,报告揭示了黑客工具的“平民化”趋势。2025年,商业黑客工具和各类木马(尤其是远程访问木马RAT)的使用率首次超过了勒索软件,成为攻击者最常使用的恶意软件类型。这一变化背后有多重含义:其一,攻击者的动机更加多元化,从单纯的财务勒索(勒索软件)转向长期的数据窃取、商业间谍或持续控制(木马和黑客工具);其二,商业化、服务化的攻击工具(如Cobalt Strike的各类变种)降低了实施高级攻击的技术门槛,使得更多初级或资源有限的攻击者也能发起复杂攻击;其三,信息窃取类恶意软件的高占比表明,“窃取数据”已成为贯穿攻击链的核心目标,而非仅仅是最终阶段的行为。这一趋势意味着防御方需要调整检测和响应重点,从应对“破坏性”事件(如数据加密)转向应对“窃密性”和“潜伏性”威胁,加强对内部异常数据外传和长期隐蔽连接的监控能力。
在安全验证的边界拓展方面,2025年标志着一个新时代的开端——AI应用安全验证首次被纳入验证体系。随着大语言模型等AI技术在企业中的广泛应用,针对AI应用组件、模型本身以及上下游数据 pipeline的新型攻击手段开始涌现。塞讯验证在报告中首次公布了针对AI应用的新增验证规则(22条),这标志着安全验证正式迈入AI时代。企业不仅需要关注传统IT基础设施的安全,还必须评估其AI应用生态的脆弱性,例如针对模型窃取、数据投毒、提示注入(Prompt Injection)或AI供应链(如第三方模型库、框架)的攻击。此外,在传统的Web攻击领域,SQL注入依然保持着极高的活跃度,但其攻击重点正从简单的数据库信息窃取,逐渐向更深层的数据库直接访问、控制乃至破坏转移。攻击者不断演化注入技巧(如时间盲注、报错注入、二阶注入等),以绕过日益成熟的Web应用防火墙(WAF)规则。报告数据显示,SQL注入类规则在新增Web攻击规则中占据绝对主导(455条),这警示企业尽管SQL注入是“老生常谈”的问题,但其威胁从未消退,且因现代业务逻辑的复杂化和微服务架构的普及而变得更具挑战性。
关于攻击库的年度更新,报告提供了详实的数据:2025年共新增了6882条验证规则、1099条检测规则以及393个验证场景。同时,新增了35个深度还原真实攻击链的“攻击剧本”,以及123条专门用于实战攻防演练(HVV)场景的专项验证及检测规则。这些剧本完整复现了如Patchwork(又名白象、摩词草)、APT38(又名Lazarus)等高级持续性威胁(APT)组织的最新攻击活动,涵盖了从初始访问到数据窃取的全过程,并特别针对金融、能源、高科技制造等高价值行业进行了战术适配。验证场景的设计也紧跟实战,大幅加强了对命令与控制(C2)和持久化(Persistence)阶段的模拟,凸显了当前攻击者“放长线钓大鱼”、追求长期控制而非一次性破坏的策略特点。此外,验证能力的覆盖范围也在稳步拓展,新增了对18种云环境类型和18项工业控制系统(ICS)专属攻击技术的支持,帮助企业应对混合云、多云以及OT/IT融合环境下的新兴安全挑战。
从MITRE ATT&CK技术的映射分析来看,2025年新增验证规则覆盖了214个技术点。除了前述命令与控制(TA0011)成为焦点外,初始访问(TA0001)和持久化(TA0003)也备受关注。在初始访问阶段,利用面向公众的应用程序漏洞(T1190)和鱼叉式网络钓鱼仍是主流手段。而在持久化阶段,攻击者倾向于植入WebShell、劫持系统进程或创建计划任务,以便在系统重启或用户登出后仍能保持对受害主机的控制权。防御绕过(TA0005)和凭据访问(TA0006)阶段的技术手段也变得更加多样化,例如更多地使用无文件攻击、内存操作、合法凭证滥用以及针对加密流量的混淆技术,这对现有安全设备在动态行为分析和内存保护方面的能力提出了更高要求。
在验证规则所覆盖的安全产品方面,报告统计显示,下一代防火墙(NGFW)仍然是验证覆盖面最广的安全产品,关联规则高达5455条,这与其作为网络边界核心防御节点的地位相符。紧随其后的是入侵检测/防御系统(IDS/IPS,4131条)和端点检测与响应/扩展检测与响应(EDR/XDR,4119条),体现了纵深防御体系中网络层和终端层并重的理念。值得注意的是,验证能力实现了对IT基础设施的全栈覆盖,从网络边界的代理服务器(Proxy)、Web应用防火墙(WAF),到终端的主机入侵检测系统(HIDS)、防病毒软件(AV),再到云原生环境的容器(Container)安全防护,均被纳入验证范畴。这种全栈覆盖能力帮助企业全面评估其防御体系是否存在短板或盲区。
攻击目标的统计分析进一步印证了国产软件风险的高企。全年更新涉及的453款软件/产品中,国产OA、ERP厂商及其产品构成了最密集的攻击面。除了用友、金蝶、泛微、蓝凌、致远等知名厂商外,报告还指出攻击面正在向行业垂直业务系统扩散,例如外贸管理领域的孚盟软件(Fumasoft)、广电传媒领域的索贝(Sobey)、物流领域的东胜软件等。这些垂直系统通常承载着企业的核心业务流程和数据,一旦被攻破,后果更为严重。此外,物联网(IoT)设备,特别是视频监控设备(如天地伟业、大华、海康威视、宇视科技),正成为攻击者侵入内网的重要跳板。这些设备通常暴露在互联网上,且其自带的Web管理平台往往存在未修复的漏洞,攻击者可以利用它们作为初始立足点,进而向内网更关键的系统横向移动。基础组件方面,Apache基金会下的Tomcat、Struts2等开源组件,以及Microsoft的Exchange、SharePoint等产品,依然是漏洞利用的高频目标,显示出广泛使用的通用基础软件仍是企业安全的基础性风险点。
年度高危漏洞盘点揭示了漏洞利用的“新旧并存”现象。2025年新增验证规则涉及350个CVE漏洞,其中利用率最高的TOP5既包含“经久不衰”的历史漏洞,如CVE-2017-0199(Office RTF漏洞)、CVE-2021-44228(Log4j2漏洞),也包含了2025年新出现的致命威胁,如CVE-2025-55182(ReactJSHE RCE漏洞)和CVE-2025-99287(WSUS RCE漏洞)。历史漏洞的持续活跃,暴露出企业在补丁管理和资产清点方面仍存在严重滞后和盲区,大量未及时修复的系统成为攻击者唾手可得的猎物。而新漏洞的快速武器化(从披露到被大规模利用的时间窗急剧缩短),则对企业的漏洞情报获取、风险评估和应急响应能力提出了“敏捷性”的极限挑战。企业必须具备快速甄别影响自身资产的关键漏洞、并立即采取缓解或修复措施的能力。
在Web攻击的细分领域,SQL注入、任意文件读取和任意文件上传构成了最主要的威胁三角。任意文件上传漏洞常被用于上传WebShell,从而快速获得服务器控制权;任意文件读取则可能导致敏感配置文件、源代码或数据库凭证泄露,为后续攻击铺平道路。报告建议企业需实施多层防御:在Web应用层,加强输入验证、使用参数化查询、部署专业的WAF并定期更新规则;在主机层,严格控制Web服务器运行权限,限制其对文件系统的访问;在数据库层,实施最小权限原则和敏感数据加密;同时,对文件上传接口进行严格的类型、内容、大小检查和恶意代码扫描。
威胁组织的追踪显示,2025年塞讯验证重点监控了270个活跃的威胁组织。其中,APT38(Lazarus,朝鲜背景)和Patchwork(白象/摩词草,疑似南亚背景)是年度最为活跃的两大组织。APT38以其兼具金融犯罪和国家间谍活动的双重动机、以及凶悍直接的攻击手法著称;Patchwork则长期专注于利用各类办公软件漏洞对特定目标进行鱼叉式钓鱼攻击。此外,像MuddyWater(中东背景)这类擅长社会工程学的组织也持续构成威胁。这些高级威胁组织不仅技术先进,而且攻击战术、技术和程序(TTPs)更新迭代极快。塞讯验证通过深度分析其攻击链,将其中关键技战术转化为攻击剧本和验证规则,帮助企业提前模拟和防御此类高级攻击。
恶意软件生态的统计呈现出明显的“工具化”和“服务化”导向。在覆盖的415个恶意软件家族中,木马(Trojan,390条规则)和黑客工具(HackTool,384条规则)的规则数量位居前两位,超过了后门(Backdoor,327条)和勒索软件(Ransomware,265条)。信息窃取器(InfoStealer,227条)也占有显著比例。这一分布清晰地表明,攻击者正在组建功能更为全面、隐蔽性更强的攻击工具包,远控木马和商业化攻击平台提供了更灵活的持久控制、数据窃取和横向移动能力。勒索软件虽然造成的直接破坏性影响大,但其“一次性”获利模式可能正在被更倾向于长期潜伏、持续窃取高价值数据或商业秘密的模式所部分取代。
检测规则的新增情况进一步细化了防御重点。SQL注入依然是检测规则数量最多的攻击类型,反映出其在实战中的超高出镜率。任意文件读取和上传紧随其后,大量规则专门针对国产OA/ERP系统的文件操作接口。此外,认证绕过、未授权访问类规则的增加,揭示了大量应用系统在身份验证和会话管理逻辑上存在根本性缺陷。为了应对更深层次的威胁,新增检测规则还加强了对JNDI注入、JWT令牌硬编码、服务器端请求伪造(SSRF)等新型攻击手法的覆盖,显示出检测能力正从传统的输入验证漏洞,向业务逻辑漏洞、不安全的数据反序列化、不安全的依赖组件等更深、更广的维度延伸。
检测规则的厂商分布构建了一张覆盖业务应用、基础组件、操作系统和安全设备四大领域的立体防御网。在业务应用层,国产管理软件是绝对核心;在基础组件层,WordPress插件、Apache系列组件、Spring框架等全球性开源生态是规则更新的重点;在操作系统层,Windows、Linux的各类服务漏洞持续被关注;尤为有趣的是,在安全设备层,报告显示针对深信服、Palo Alto、思科、Ivanti等主流安全厂商产品本身的攻击尝试也被纳入检测范围。这意味着攻击者正在尝试“攻破盾牌本身”,而验证规则则致力于帮助客户验证这些“盾牌”是否足够坚固,是否可能存在自身漏洞或被错误配置。
作为国家信息安全漏洞库(CNNVD)的技术支撑单位,塞讯安全研究团队在2025年不仅验证已知漏洞,更积极投身于原创漏洞挖掘的前线。本年度累计挖掘并获CNNVD收录的原创高危漏洞达19个,重点覆盖了国产办公软件和物联网/网络设备两大薄弱环节。例如,发现了蓝凌智慧协同平台的SQL注入漏洞、用友UB/CRM系列的高危漏洞,直接推动了相关厂商的修复,从源头加固了供应链安全。在网络边界侧,捕获了D-Link路由器、锐捷网络设备等的命令执行漏洞,填补了此类广泛部署设备的安全防护空白。针对全球爆发的重大漏洞(如Apache OFBiz、Kubernetes Ingress、Next.js等),团队也做到了第一时间预警、分析与提供缓解方案的验证规则更新,帮助客户在漏洞武器化扩散前筑牢防线。
最后,报告阐述了塞讯科技(Cyritex)的核心理念与定位。作为智能驱动全维安全验证解决方案的提供商,塞讯不主张无休止的单纯对抗,而是致力于通过“以验增效,确证安全”的方式,帮助企业实现防御效能的可视化与数字化。其核心解决方案基于Gartner提出的持续威胁暴露管理(CTEM)框架,将软件供应链安全、互联网攻击面管理、人员安全意识以及防御设施有效性进行有机整合。依托自主研发的AI攻防推理引擎与工程化威胁情报,塞讯帮助客户持续回答“我的防御体系到底有没有效?”、“我的安全策略是否已经过时?”等根本性问题。从开发阶段的代码安全,到暴露面的收敛,再到内网防御能力的度量,塞讯旨在为企业提供一套可衡量、可决策的安全基准,让安全投入能够转化为实实在在、可见可感的防御能力提升。其核心团队汇聚了来自全球知名网络安全公司及APT研究机构的专家,具备深厚的实战经验,通过在北京、上海、深圳、杭州等地的分支机构,为中国企业的数字化转型保驾护航,致力于成为守护企业数字韧性的核心力量。
《2025年网络攻击威胁洞察报告》以海量数据与深入分析,为我们勾勒出一幅当前网络威胁环境的全景图:攻击者正变得更为隐蔽、耐心和专业,攻击链各环节的技战术持续进化,攻击目标高度聚焦于供应链关键节点和垂直业务系统,而恶意软件生态则向着工具化、服务化方向发展。面对这一态势,被动防御已不足以应对,企业必须转向更为主动、持续和可度量的安全验证与暴露面管理范式。通过像塞讯验证这样的平台,定期对自身防御体系进行“实战化体检”,模拟最新攻击手法,验证安全策略与设备的有效性,才能洞悉安全短板,优化资源投入,最终在动态变化的威胁环境中构建起真正具有韧性的主动防御体系。这份报告不仅是一份趋势总结,更是一份面向未来的行动指南,提醒所有安全从业者:唯有深刻理解攻击者,才能更好地保护自己。
2025年网络攻击威胁洞察报告.pdf
-
