Sophos發布《內部攻擊:Sophos 主動攻擊者報告》,深入剖析2024(今)年上半年威脅者行為模式與攻擊技術的變化。報告中的數據來自近200起事件回應(IR)案例,涵蓋Sophos X-Ops事件回應團隊與Sophos X-Ops託管式偵測與回應(MDR)團隊。結果顯示,攻擊者正在濫用Windows系統中的可信任應用程式與工具,這些二進位檔通常被稱為「就地取材的工具」(LOLbin),可用於偵測系統並維持立足點。與2023年相比,Sophos發現LOLbin的濫用增加51%;自2021年以來,該數字成長83%。
在2024年上半年被偵測的187個獨特的Microsoft LOLbin中,最常被濫用的可信任應用程式是遠端桌面通訊協定(RDP)。在Sophos分析的近200起事件回應案例中,有89%的攻擊者濫用了 RDP。這一趨勢延續2023年《主動攻擊者報告》中首次觀察到的模式,當時RDP濫用在所有調查的事件回應案例中佔比高達90%。
Sophos現場技術長John Shier表示,就地取材(Living off the Land)不僅能讓攻擊者的行為更具隱蔽性,甚至被默許可以執行。濫用某些合法工具可能會引起部分防禦人員的警覺,甚至是觸發警報,但濫用Microsoft二進位檔案卻不會有這些問題。許多被濫用的 Microsoft工具是Windows系統的重要組成且有其合法用途。因此,系統管理員必須了解這些工具在環境中的使用方式,以及如何區分合法使用與濫用。若缺乏對環境的精細和情境化的認識,包括持續對網路中不斷發生的新事件保持警覺性,目前已經疲於奔命的IT團隊可能會錯過一些重要的威脅活動,而它們往往會導致勒索軟體攻擊。
此外,報告發現,儘管政府機構在今年2月破獲LockBit的主要洩密網站和基礎架構,但LockBit仍是最常見的勒索軟體集團,佔2024年上半年勒索案例約21%。最新《主動攻擊者報告》的其他關鍵發現:
- :延續在《給科技領袖的主動攻擊者報告》中首次提出的看法,被竊憑證仍然是攻擊的首要根本原因,佔39%的案例。不過,這一數字相較於2023年的56%有所下降。
- :在單獨分析Sophos MDR團隊的案例時,網路入侵是該團隊最常遇到的主要事件類型。
- :對於Sophos事件回應團隊的案例來說,潛伏時間(從攻擊開始到被偵測到的時間)大約維持在8天。然而,在MDR的案例中,各類事件的中位潛伏時間僅為1天,勒索軟體攻擊的中位潛伏時間也僅為3天。
- :攻擊者最常攻擊的Active Directory(AD)伺服器版本為2019、2016和2012,而這三個版本已經不列入Microsoft主流支援,這是終止支援(EOL)前的最後階段,除非付費購買支援服務,否則將無法獲得修補程式。此外,遭受攻擊的AD伺服器版本中,有高達21%已經處於終止支援狀態(EOL)。
Sophos.com的《內部攻擊:Sophos 主動攻擊者報告》