[iThome文章分享]隐身于显而易见之处：Sophos 最新《主动攻击者报告》揭露可信任应用程式被滥用的情况增加了 51%

Sophos 近日发布了《内部攻击：Sophos 主动攻击者报告》，深入剖析了 2024 年上半年威胁者行为模式与攻击技术的变化。报告中的数据来自近 200 起事件回应 (IR) 案例，涵盖了 Sophos X-Ops 事件回应团队与 Sophos X-Ops 托管式侦测与回应 (MDR) 团队。结果显示，攻击者正在滥用 Windows 系统中的可信任应用程式与工具，这些二进位档通常被称为「就地取材的工具」(LOLbin)，可用于侦测系统并维持立足点。与 2023 年相比，Sophos 发现 LOLbin 的滥用增加了 51%；自 2021 年以来，该数字成长了 83%。

在 2024 年上半年被侦测的 187 个独特的 Microsoft LOLbin 中，最常被滥用的可信任应用程式是远端桌面通讯协定 (RDP)。在 Sophos 分析的近 200 起事件回应案例中，有 89% 的攻击者滥用了 RDP。这一趋势延续了 2023 年《主动攻击者报告》中首次观察到的模式，当时 RDP 滥用在所有调查的事件回应案例中占比高达 90%。

Sophos 现场技术长 John Shier 表示：「就地取材 (Living off the Land) 不仅能让攻击者的行为更具隐蔽性，甚至被默许可以执行。滥用某些合法工具可能会引起部分防御人员的警觉，甚至是触发警报，但滥用 Microsoft 二进位档案却不会有这些问题。许多被滥用的 Microsoft 工具是 Windows 系统的重要组成且有其合法用途。因此，系统管理员必须了解这些工具在环境中的使用方式，以及如何区分合法使用与滥用。若缺乏对环境的精细和情境化的认识，包括持续对网路中不断发生的新事件保持警觉性，目前已经疲于奔命的 IT 团队可能会错过一些重要的威胁活动，而它们往往会导致勒索软体攻击。」

此外，报告发现，尽管政府机构在今年 2 月破获了 LockBit 的主要泄密网站和基础架构，但 LockBit 仍是最常见的勒索软体集团，占 2024 年上半年勒索案例约 21%。

最新《主动攻击者报告》的其他关键发现：

• 攻击的根本原因：延续在《给科技领袖的主动攻击者报告》中首次提出的看法，被窃凭证仍然是攻击的首要根本原因，占 39% 的案例。不过，这一数字相较于 2023 年的 56% 有所下降。

• 网路入侵占 MDR 案例的多数：在单独分析 Sophos MDR 团队的案例时，网路入侵是该团队最常遇到的主要事件类型。

• MDR 案例的潜伏时间更短：对于 Sophos 事件回应团队的案例来说，潜伏时间 (从攻击开始到被侦测到的时间) 大约维持在 8 天。然而，在 MDR 的案例中，各类事件的中位潜伏时间仅为 1 天，勒索软体攻击的中位潜伏时间也仅为 3 天。

• 最常被攻击的 Active Directory 伺服器版本已经接近停止支援 (EOL)：攻击者最常攻击的 Active Directory (AD) 伺服器版本为 2019、2016 和 2012，而这三个版本已经不列入 Microsoft 主流支援——这是终止支援 (EOL) 前的最后阶段，除非付费购买支援服务，否则将无法获得修补程式。此外，遭受攻击的 AD 伺服器版本中，有高达 21% 已经处于终止支援状态 (EOL)。