趨勢科技公布2023年資安威脅報告,指出2023年攔截的威脅總數較前一年增加了10%,並提出警告:駭客不僅使用了更多的進階技巧,更縮小了攻擊的範圍、瞄準較有潛力的目標以提高獲利。
趨勢科技威脅情報副總裁Jon Clay表示,幫客戶攔截掉的威脅數量比以往更多,但值得注意的是,駭客已發展出各式各樣的戰術、技巧與程序(TTP),尤其是在躲避防禦方面。如同我們的報告所指出的,今日的網路防禦必須不斷主動管理整體攻擊面的風險,因為掌握敵人偏好的策略是有效防禦的基礎。
2023年,趨勢科技總共攔截了1,610億次威脅,五年前這數字才820億左右。2023年,電子郵件與網站信譽評等所攔截的威脅數量,分別較去年減少47%與2%。趨勢科技行動應用程式信譽評等服務(-2%)、Smart Home Network(-12%)以及物聯網信譽評等服務(-64%)所攔截的威脅數量也同樣減少。不過,趨勢科技檔案信譽評等服務(FRS)攔截的威脅數量卻反而年增35%。
這可能意味著駭客在挑選攻擊目標時變得更加謹慎,他們一改以往大範圍撒網、試圖攻擊各類使用者並希望受害者會點選網站與電子郵件內惡意連結的作法,轉而使用更精密的手法將目標範圍縮小在更有利可圖的受害者身上。這樣做也許更容易越過前端的網路與電子郵件偵測機制,而這或許也解釋了端點偵測到的惡意檔案數量為何飆升。
此外,報告觀察到的重點趨勢參考如下:
- 進階持續性滲透攻擊(APT)駭客出現了各種精密的攻擊型態,尤其是躲避防禦的手法。而台灣需留意從2023年1月活躍至今的Earth Estries駭客組織,他們鎖定政府機關與科技業,擅長利用Github、Gmail、AnonFiles和File.io等公開服務來交換和傳輸命令及竊取資料,並使用多個後門和駭客工具及PowerShell降級攻擊來躲避偵測。
- 電子郵件惡意程式偵測數量較去年暴增349%,但惡意網址與網路釣魚網址偵測數量卻年減27%,再次突顯駭客更常在攻擊中使用惡意附件檔案的趨勢。
- 變臉詐騙(BEC)偵測數量年增16%。
- 勒索病毒偵測數量年減14%,但要再次說明的是,FRS偵測數量的增加也許意味著駭客正利用某些技巧來讓他們更有效避開主流的偵測機制,例如:就地取材的二進位檔案及腳本(LOLBIN/LOLBA)、自備含有漏洞的驅動程式(BYOVD)、零時差漏洞,以及關閉防毒軟體。
- Linux和MacOS惡意程式攻擊約占整體勒索病毒偵測數量的8%。
- 遠端加密、間隔式加密、使用未受監控的虛擬機器(VM)來避開EDR,以及使用多重勒索病毒讓受害者重複感染的情況都有增加。駭客已承認EDR是一項強大的防禦,因此正利用各種手法來繞過這項技術。
- 泰國、美國、土耳其、台灣和印度是遭受勒索病毒襲擊最嚴重的前五名國家,而銀行業、政府機關與科技業則是受害最深的產業前三名。
- MITRE ATT&CK手法偵測數量最多的分別是:躲避防禦、幕後操縱、突破防線、常駐及造成衝擊。
- 「存取危險的雲端應用程式」是趨勢科技「攻擊面風險管理」(ASRM)偵測到的頭號風險事件,偵測數量將近830億次。
- 趨勢科技Zero Day Initiative(ZDI)漏洞懸賞計畫發現並負責任地揭露了1,914個零時差漏洞,年增率12%,其中包括111個Adobe Acrobat與Reader的漏洞。Adobe是漏洞通報數量最多的廠商,而PDF則是散布最多的垃圾郵件附檔類型。
- Windows應用程式的漏洞是虛擬修補偵測到最多的前三大漏洞。
- Mimikatz(用於蒐集資料)與Cobalt Strike(用於幕後操縱)依然是駭客在從事犯罪時最愛使用的合法輔助工具。
基於上述發現,趨勢科技也提供了一些網路防禦上的建議:
- 採用一家值得信賴、並且提供網路資安平台的資安廠商,不僅能確保企業資源的安全,更能持續監控是否有新的漏洞。
- 密切監控雲端應用程式可以讓資安營運中心(SOC)變得更有效率,因為這些應用程式已逐漸成為日常營運的一環。
- 確保作業系統與應用程式套用到最新的修補更新,並升級到最新版本。
- 採用全方位的資安防護來防範漏洞、強化組態設定、管控應用程式存取,並且提升帳戶與裝置安全。將資安防禦左移,提早在攻擊的前期階段(如:突破防線、橫向移動、資料外傳)就能偵測勒索病毒攻擊。