最新消息
[iThome文章分享]隐身于显而易见之处:Sophos 最新《主动攻击者报告》揭露可信任应用程式被滥用的情况增加了 51%
Sophos 近日发布了《内部攻击:Sophos 主动攻击者报告》,深入剖析了 2024 年上半年威胁者行为模式与攻击技术的变化。报告中的数据来自近 200 起事件回应 (IR) 案例,涵盖了 Sophos X-Ops 事件回应团队与 Sophos X-Ops 托管式侦测与回应 (MDR) 团队。结果显示,攻击者正在滥用 Windows 系统中的可信任应用程式与工具,这些二进位档通常被称为「就地取材的工具」(LOLbin),可用于侦测系统并维持立足点。与 2023 年相比,Sophos 发现 LOLbin 的滥用增加了 51%;自 2021 年以来,该数字成长了 83%。
在 2024 年上半年被侦测的 187 个独特的 Microsoft LOLbin 中,最常被滥用的可信任应用程式是远端桌面通讯协定 (RDP)。在 Sophos 分析的近 200 起事件回应案例中,有 89% 的攻击者滥用了 RDP。这一趋势延续了 2023 年《主动攻击者报告》中首次观察到的模式,当时 RDP 滥用在所有调查的事件回应案例中占比高达 90%。
Sophos 现场技术长 John Shier 表示:「就地取材 (Living off the Land) 不仅能让攻击者的行为更具隐蔽性,甚至被默许可以执行。滥用某些合法工具可能会引起部分防御人员的警觉,甚至是触发警报,但滥用 Microsoft 二进位档案却不会有这些问题。许多被滥用的 Microsoft 工具是 Windows 系统的重要组成且有其合法用途。因此,系统管理员必须了解这些工具在环境中的使用方式,以及如何区分合法使用与滥用。若缺乏对环境的精细和情境化的认识,包括持续对网路中不断发生的新事件保持警觉性,目前已经疲于奔命的 IT 团队可能会错过一些重要的威胁活动,而它们往往会导致勒索软体攻击。」
此外,报告发现,尽管政府机构在今年 2 月破获了 LockBit 的主要泄密网站和基础架构,但 LockBit 仍是最常见的勒索软体集团,占 2024 年上半年勒索案例约 21%。
最新《主动攻击者报告》的其他关键发现:
-
攻击的根本原因:延续在《给科技领袖的主动攻击者报告》中首次提出的看法,被窃凭证仍然是攻击的首要根本原因,占 39% 的案例。不过,这一数字相较于 2023 年的 56% 有所下降。
-
网路入侵占 MDR 案例的多数:在单独分析 Sophos MDR 团队的案例时,网路入侵是该团队最常遇到的主要事件类型。
-
MDR 案例的潜伏时间更短:对于 Sophos 事件回应团队的案例来说,潜伏时间 (从攻击开始到被侦测到的时间) 大约维持在 8 天。然而,在 MDR 的案例中,各类事件的中位潜伏时间仅为 1 天,勒索软体攻击的中位潜伏时间也仅为 3 天。
-
最常被攻击的 Active Directory 伺服器版本已经接近停止支援 (EOL):攻击者最常攻击的 Active Directory (AD) 伺服器版本为 2019、2016 和 2012,而这三个版本已经不列入 Microsoft 主流支援——这是终止支援 (EOL) 前的最后阶段,除非付费购买支援服务,否则将无法获得修补程式。此外,遭受攻击的 AD 伺服器版本中,有高达 21% 已经处于终止支援状态 (EOL)。