Sophos 是創新和提供新一代網路安全即服務的全球領導者,今日發布了《內部攻擊:Sophos 主動攻擊者報告》,深入剖析了 2024 年上半年威脅者行為模式與攻擊技術的變化。報告中的數據來自近 200 起事件回應 (IR) 案例,涵蓋了 Sophos X-Ops 事件回應團隊與 Sophos X-Ops 託管式偵測與回應 (MDR) 團隊。結果顯示,攻擊者正在濫用 Windows 系統中的可信任應用程式與工具,這些二進位檔通常被稱為「就地取材的工具」(LOLbin),可用於偵測系統並維持立足點。與 2023 年相比,Sophos 發現 LOLbin 的濫用增加了 51%;自 2021 年以來,該數字成長了 83%。
在 2024 年上半年被偵測的 187 個獨特的 Microsoft LOLbin 中,最常被濫用的可信任應用程式是遠端桌面通訊協定 (RDP)。在 Sophos 分析的近 200 起事件回應案例中,有 89% 的攻擊者濫用了 RDP。這一趨勢延續了 2023 年《主動攻擊者報告》中首次觀察到的模式,當時 RDP 濫用在所有調查的事件回應案例中佔比高達 90%。
Sophos 現場技術長 John Shier 表示:「就地取材 (Living off the Land) 不僅能讓攻擊者的行為更具隱蔽性,甚至被默許可以執行。濫用某些合法工具可能會引起部分防禦人員的警覺,甚至是觸發警報,但濫用 Microsoft 二進位檔案卻不會有這些問題。許多被濫用的 Microsoft 工具是 Windows 系統的重要組成且有其合法用途。因此,系統管理員必須了解這些工具在環境中的使用方式,以及如何區分合法使用與濫用。若缺乏對環境的精細和情境化的認識,包括持續對網路中不斷發生的新事件保持警覺性,目前已經疲於奔命的 IT 團隊可能會錯過一些重要的威脅活動,而它們往往會導致勒索軟體攻擊。」
此外,報告發現,儘管政府機構在今年 2 月破獲了 LockBit 的主要洩密網站和基礎架構,但 LockBit 仍是最常見的勒索軟體集團,佔 2024 年上半年勒索案例約 21%。
最新《主動攻擊者報告》的其他關鍵發現:
-
攻擊的根本原因:延續在《給科技領袖的主動攻擊者報告》中首次提出的看法,被竊憑證仍然是攻擊的首要根本原因,佔 39% 的案例。不過,這一數字相較於 2023 年的 56% 有所下降。
-
網路入侵佔 MDR 案例的多數:在單獨分析 Sophos MDR 團隊的案例時,網路入侵是該團隊最常遇到的主要事件類型。
-
MDR 案例的潛伏時間更短:對於 Sophos 事件回應團隊的案例來說,潛伏時間 (從攻擊開始到被偵測到的時間) 大約維持在 8 天。然而,在 MDR 的案例中,各類事件的中位潛伏時間僅為 1 天,勒索軟體攻擊的中位潛伏時間也僅為 3 天。
-
最常被攻擊的 Active Directory 伺服器版本已經接近停止支援 (EOL):攻擊者最常攻擊的 Active Directory (AD) 伺服器版本為 2019、2016 和 2012,而這三個版本已經不列入 Microsoft 主流支援——這是終止支援 (EOL) 前的最後階段,除非付費購買支援服務,否則將無法獲得修補程式。此外,遭受攻擊的 AD 伺服器版本中,有高達 21% 已經處於終止支援狀態 (EOL)。
若想了解更多攻擊者行為、工具和技術的資訊,請參閱 Sophos.com 的《內部攻擊:Sophos 主動攻擊者報告》。
了解更多資訊
-
攻擊者如何濫用遠端桌面通訊協定 (RDP)
-
過去《主動攻擊者報告》中提到的攻擊者技術、策略與程序 (TTP)
-
Sophos 的託管式偵測與回應 (MDR) 和補救能力
關於 Sophos
Sophos 是以進階安全解決方案來對抗網路攻擊的全球領導者和創新者,提供了包括託管式偵測與回應 (MDR) 和事件回應服務,以及廣泛的端點、網路、電子郵件和雲端安全技術組合。作為最大型的純網路安全供應商之一,Sophos 保護全球超過 60 萬個企業和超過 1 億個使用者免受主動攻擊者、勒索軟體、網路釣魚、惡意軟體等攻擊。Sophos 的服務和產品可經由 Sophos Central 管理主控台連線,並由旗下跨領域威脅情報部門 Sophos X-Ops 提供支援。Sophos X-Ops 情報會最佳化整個 Sophos 自適應網路安全生態系統,包括一個提供一整組開放式 API 的集中式資料湖,可供客戶、合作夥伴、開發人員和其他網路安全和資訊技術廠商使用。Sophos 為需要完全託管型安全解決方案的企業提供了網路安全即服務,客戶還可以使用 Sophos 的安全營運平台直接管理網路安全,或是採用混合式作法,利用 Sophos 的服務來補強自己的內部團隊,包括威脅捕獵和補救措施。Sophos 透過全球經銷商合作夥伴和託管服務供應商 (MSP) 進行銷售。Sophos 總部位於英國牛津。如需詳細資訊,請瀏覽 www.sophos.com。
熱門新聞
2024-12-24
2024-12-22
2024-08-14
2024-12-20
2024-11-29