Sophos 是創新和提供新一代網路安全即服務的全球領導者,今日發布了《內部攻擊:Sophos 主動攻擊者報告》,深入剖析了 2024 年上半年威脅者行為模式與攻擊技術的變化。報告中的數據來自近 200 起事件回應 (IR) 案例,涵蓋了 Sophos X-Ops 事件回應團隊與 Sophos X-Ops 託管式偵測與回應 (MDR) 團隊。結果顯示,攻擊者正在濫用 Windows 系統中的可信任應用程式與工具,這些二進位檔通常被稱為「就地取材的工具」(LOLbin),可用於偵測系統並維持立足點。與 2023 年相比,Sophos 發現 LOLbin 的濫用增加了 51%;自 2021 年以來,該數字成長了 83%。
在 2024 年上半年被偵測的 187 個獨特的 Microsoft LOLbin 中,最常被濫用的可信任應用程式是遠端桌面通訊協定 (RDP)。在 Sophos 分析的近 200 起事件回應案例中,有 89% 的攻擊者濫用了 RDP。這一趨勢延續了 2023 年《主動攻擊者報告》中首次觀察到的模式,當時 RDP 濫用在所有調查的事件回應案例中佔比高達 90%。
Sophos 現場技術長 John Shier 表示:「就地取材 (Living off the Land) 不僅能讓攻擊者的行為更具隱蔽性,甚至被默許可以執行。濫用某些合法工具可能會引起部分防禦人員的警覺,甚至是觸發警報,但濫用 Microsoft 二進位檔案卻不會有這些問題。許多被濫用的 Microsoft 工具是 Windows 系統的重要組成且有其合法用途。因此,系統管理員必須了解這些工具在環境中的使用方式,以及如何區分合法使用與濫用。若缺乏對環境的精細和情境化的認識,包括持續對網路中不斷發生的新事件保持警覺性,目前已經疲於奔命的 IT 團隊可能會錯過一些重要的威脅活動,而它們往往會導致勒索軟體攻擊。」
此外,報告發現,儘管政府機構在今年 2 月破獲了 LockBit 的主要洩密網站和基礎架構,但 LockBit 仍是最常見的勒索軟體集團,佔 2024 年上半年勒索案例約 21%。
最新《主動攻擊者報告》的其他關鍵發現:
- 攻擊的根本原因:延續在《給科技領袖的主動攻擊者報告》中首次提出的看法,被竊憑證仍然是攻擊的首要根本原因,佔 39% 的案例。不過,這一數字相較於 2023 年的 56% 有所下降。
- 網路入侵佔 MDR 案例的多數:在單獨分析 Sophos MDR 團隊的案例時,網路入侵是該團隊最常遇到的主要事件類型。
- MDR 案例的潛伏時間更短:對於 Sophos 事件回應團隊的案例來說,潛伏時間 (從攻擊開始到被偵測到的時間) 大約維持在 8 天。然而,在 MDR 的案例中,各類事件的中位潛伏時間僅為 1 天,勒索軟體攻擊的中位潛伏時間也僅為 3 天。
- 最常被攻擊的 Active Directory 伺服器版本已經接近停止支援 (EOL):攻擊者最常攻擊的 Active Directory (AD) 伺服器版本為 2019、2016 和 2012,而這三個版本已經不列入 Microsoft 主流支援——這是終止支援 (EOL) 前的最後階段,除非付費購買支援服務,否則將無法獲得修補程式。此外,遭受攻擊的 AD 伺服器版本中,有高達 21% 已經處於終止支援狀態 (EOL)。
若想了解更多攻擊者行為、工具和技術的資訊,請參閱 Sophos.com 的《內部攻擊:Sophos 主動攻擊者報告》。