Sophos發表《2021 年主動攻擊者的劇本》(Active Adversary Playbook 2021) 報告,詳細介紹了攻擊者的行為,以及 Sophos 第一線威脅搜尋和事件回應人員在 2020 年間在外界看到的策略、技術和程序 (TTP)。報告中還包含了 2021 年初的 TTP 偵測資料。研究結果表明,攻擊者在被發現之前的平均停留時間為 11 天 (264 小時),未被發現的最長入侵時間為 15 個月。81% 的事件和間諜軟體有關,69% 的攻擊使用遠端桌面通訊協定 (RDP) 在網路內橫向移動。
這份報告的資料是來自 Sophos 遙測技術,和Sophos Managed Threat Response (MTR) 威脅搜尋和分析人員以及Sophos Rapid Response 事件回應團隊對 81 次事件的調查和結果。目的是協助安全團隊了解攻擊者在攻擊過程中的行為,以及如何發現和防禦網路上的惡意活動。
報告中的主要發現包括:
- 攻擊者被發現之前的平均停留時間為 11 天 – 如上所述,攻擊者在 11 天之內有 264 小時可以進行惡意活動,包括橫向移動、偵察、憑證傾印、資料外洩和其他行為。其中某些行為可能只需要幾分鐘或幾小時,而且通常是在夜間或非上班時間進行,所以 11 天足可讓攻擊者有充裕的時間對企業網路造成損害。此外,值得注意的是,勒索軟體攻擊的停留時間通常比「隱匿式」攻擊要短,因為它們只在乎破壞力
- 90% 的攻擊和遠端桌面通訊協定 (RDP) 有關 – 在所有案例中,有 69% 的攻擊者使用 RDP 進行內部橫向移動 – 保護 RDP 的安全措施 (例如 VPN 和多因素驗證等) 往往只著重於防護來自外部的存取,但若攻擊者已經在存在於網路內部,這些保護都將無效。在主動的人為攻擊 (例如和勒索軟體有關的攻擊) 中,使用 RDP 進行內部橫向移動的情形越來越普遍
- 我們在受害者網路中發現的前五大工具之間看到了關聯性 – 例如,當在攻擊中使用 PowerShell 時,Cobalt Strike 佔 58%,PsExec 佔 49%,Mimikatz 佔 33%,GMER 佔 19%。27% 的攻擊同時使用了 Cobalt Strike 和 PsExec,而 31% 的攻擊同時使用了 Mimikatz 和 PsExec。同時使用 Cobalt Strike、PowerShell 和 PsExec 的組合佔所有攻擊的 12%。這種關聯性很重要,因為一旦偵測到,就可以作為即將發生的攻擊的預警,或用於確認是否存在作用中的攻擊
- 在 Sophos 調查的攻擊中 81% 和勒索軟體有關。通常在勒索軟體出現後,IT 安全團隊才會看到攻擊,因此 Sophos 回應的事件大都和勒索軟體有關不足為奇。Sophos 發現到的其他攻擊類型還包括僅進行滲透、加密挖礦、銀行木馬、抹除程式、下載投放程式、滲透測試試/攻擊工具等。
Sophos 資深安全顧問 John Shier 表示:「威脅形勢變得越來越複雜且多變,包含新手駭客到民族國家支持的威脅團體等攻擊者紛紛使用各種技能和資源發動攻擊。這讓安全部門的工作充滿挑戰。在過去的一年中,我們的事件回應人員協助抵擋了超過 37 個攻擊團體發動的攻擊,他們使用的工具超過 400 種。其中許多工具同樣被 IT 系統管理員和安全專家用於執行日常工作,因此很難辨識出良性和惡意活動之間的區別。
「由於攻擊者在網路中平均躲了 11 天,並將攻擊混在一般正常的 IT 作業中進行,因此安全團隊必須了解哪些警訊應該要注意,以便進行調查,這一點非常重要。例如,最大的危險訊號之一就是在不應該出現的地方偵測到合法工具或活動。最重要的是,安全部門要記住技術雖然可以完成很多工作,但在當今的威脅形勢下,僅靠技術是不夠的。人類的經驗和回應能力,是任何安全解決方案的重要一環。」
報告中並列出在主動威脅中最常看到並可深入調查的策略和技術、最早攻擊跡象,以及最常見的攻擊、威脅類型和惡意組件,還有最常看到的攻擊者團體等。