Sophos 發現攻擊者在目標網路中躲過偵測的時間平均超過 250 小時

Sophos 是發表《2021 年主動攻擊者的劇本》(Active Adversary Playbook 2021) 報告，詳細介紹了攻擊者的行為，以及 Sophos 第一線威脅搜尋和事件回應人員在 2020 年間在外界看到的策略、技術和程序 (TTP)。報告中還包含了 2021 年初的 TTP 偵測資料。研究結果表明，攻擊者在被發現之前的平均停留時間為 11 天 (264 小時)，未被發現的最長入侵時間為 15 個月。81% 的事件和間諜軟體有關，69% 的攻擊使用遠端桌面通訊協定 (RDP) 在網路內橫向移動。

這份報告的資料是來自 Sophos 遙測技術，和Sophos Managed Threat Response (MTR) 威脅搜尋和分析人員以及Sophos Rapid Response 事件回應團隊對 81 次事件的調查和結果。目的是協助安全團隊了解攻擊者在攻擊過程中的行為，以及如何發現和防禦網路上的惡意活動。

報告中的主要發現包括：

• 攻擊者被發現之前的平均停留時間為 11 天 – 如上所述，攻擊者在 11 天之內有 264 小時可以進行惡意活動，包括橫向移動、偵察、憑證傾印、資料外洩和其他行為。其中某些行為可能只需要幾分鐘或幾小時，而且通常是在夜間或非上班時間進行，所以 11 天足可讓攻擊者有充裕的時間對企業網路造成損害。此外，值得注意的是，勒索軟體攻擊的停留時間通常比「隱匿式」攻擊要短，因為它們只在乎破壞力

• 90% 的攻擊和遠端桌面通訊協定 (RDP) 有關 – 在所有案例中，有 69% 的攻擊者使用 RDP 進行內部橫向移動 – 保護 RDP 的安全措施 (例如 VPN 和多因素驗證等) 往往只著重於防護來自外部的存取，但若攻擊者已經在存在於網路內部，這些保護都將無效。在主動的人為攻擊 (例如和勒索軟體有關的攻擊) 中，使用 RDP 進行內部橫向移動的情形越來越普遍

• 我們在受害者網路中發現的前五大工具之間看到了關聯性 – 例如，當在攻擊中使用 PowerShell 時，Cobalt Strike 佔 58%，PsExec 佔 49%，Mimikatz 佔 33%，GMER 佔 19%。27% 的攻擊同時使用了 Cobalt Strike 和 PsExec，而 31% 的攻擊同時使用了 Mimikatz 和 PsExec。同時使用 Cobalt Strike、PowerShell 和 PsExec 的組合佔所有攻擊的 12%。這種關聯性很重要，因為一旦偵測到，就可以作為即將發生的攻擊的預警，或用於確認是否存在作用中的攻擊

• 在 Sophos 調查的攻擊中 81% 和勒索軟體有關。通常在勒索軟體出現後，IT 安全團隊才會看到攻擊，因此 Sophos 回應的事件大都和勒索軟體有關不足為奇。Sophos 發現到的其他攻擊類型還包括僅進行滲透、加密挖礦、銀行木馬、抹除程式、下載投放程式、滲透測試試/攻擊工具等。

Sophos 資深安全顧問 John Shier 表示：「威脅形勢變得越來越複雜且多變，包含新手駭客到民族國家支持的威脅團體等攻擊者紛紛使用各種技能和資源發動攻擊。這讓安全部門的工作充滿挑戰。在過去的一年中，我們的事件回應人員協助抵擋了超過 37 個攻擊團體發動的攻擊，他們使用的工具超過 400 種。其中許多工具同樣被 IT 系統管理員和安全專家用於執行日常工作，因此很難辨識出良性和惡意活動之間的區別。 

「由於攻擊者在網路中平均躲了 11 天，並將攻擊混在一般正常的 IT 作業中進行，因此安全團隊必須了解哪些警訊應該要注意，以便進行調查，這一點非常重要。例如，最大的危險訊號之一就是在不應該出現的地方偵測到合法工具或活動。最重要的是，安全部門要記住技術雖然可以完成很多工作，但在當今的威脅形勢下，僅靠技術是不夠的。人類的經驗和回應能力，是任何安全解決方案的重要一環。」

報告中並列出在主動威脅中最常看到並可深入調查的策略和技術、最早攻擊跡象，以及最常見的攻擊、威脅類型和惡意組件，還有最常看到的攻擊者團體等。

如需了解攻擊者的行為以及策略、技術和程序 (TTP) 的更多資訊，請參見 Sophos 《2021 年主動攻擊者的劇本》。

Sophos Intercept X 可透過偵測勒索軟體和其他攻擊的動作和行為來保護使用者。

其他資源

• 閱讀《2021 年勒索軟體現況》，了解過去一年的全球勒索軟體現貌

• Sophos Rapid Response 和 Managed Threat Response 團隊對回應安全事件的四個重要提示

• 由我們獲獎的 Naked Security 取得最新的安全新聞和觀點，並由 Sophos News 觀看更多關於我們的介紹。

• 隨時和 Sophos 連線：Twitter、LinkedIn、Facebook、Spiceworks 和 YouTube

關於 Sophos
Sophos 是新一代網路安全的全球領導者，保護 150 多個國家/地區的 50 萬家企業和數百萬消費者免受當今最先進的網路威脅的危害。透過來自 SophosLabs 和 SophosAI 的威脅情報、人工智慧和機器學習，Sophos 提供多種先進的產品和服務組合，保護使用者、網路和端點免於勒索軟體、惡意軟體、漏洞利用、網路釣魚和其他網路攻擊。Sophos 提供一個整合式的雲端管理主控台 Sophos Central，這是自適應網路安全生態系統的核心，使用一個提供一整組開放式 API 的資料湖，可供客戶、合作夥伴、開發人員和其他網路安全廠商使用。Sophos 透過經銷商合作夥伴和託管服務供應商 (MSP) 在全球銷售產品和服務。Sophos 總部位於英國牛津。如需詳細資訊請瀏覽 www.sophos.com。