今天小編分享的科技經驗:大多數勒索軟體活動源自三條常見的初始攻擊途徑,歡迎閱讀。
大多數勒索軟體攻擊者使用三種主要的攻擊途徑之一來攻陷網絡,并獲得訪問組織關鍵系統和數據的權限。
據卡巴斯基最近發布的報告《網絡事件的性質》顯示,比如說,2022 年成功的勒索軟體攻擊的最重要途徑就是利用面向公眾的應用程式,這占了所有攻擊事件的 43%,其次是使用被攻擊的帳戶(24%)和惡意電子郵件(12%)。
與上一年相比,利用應用程式和惡意電子郵件在所有攻擊中所占的比例有所下降,而利用被攻擊帳戶所占的比例較 2021 年的 18% 有所上升。
結論就是,加大關注最常見攻擊途徑的力度對于防止勒索軟體攻擊大有助益。卡巴斯基全球應急響應團隊負責人 Konstantin Sapronov 表示,許多公司并不是攻擊者最初的目标,但由于薄弱的 IT 安全機制,它們很容易被黑客攻擊,因此網絡犯罪分子趁機而入。如果我們看看三大攻擊途徑,它們共占幾乎所有事件的 80%,就可以實施一些防御措施來應對攻擊,并大大降低淪為受害者的可能性。
卡巴斯基提到的三大攻擊途徑與事件響應公司谷歌 Mandiant 早前的一份報告相符,Mandiant 發現同樣的常見攻擊途徑構成了前三種技術:利用漏洞(32%)、網絡釣魚(22%)和竊取憑據(14%),但勒索軟體攻擊者往往将重點放在利用漏洞和竊取憑據上,這兩種攻擊技術共占所有勒索軟體事件的近一半(48%)。
勒索軟體在 2020 年和 2021 年大行其道,但在去年趨于平穩,甚至略有下降。Mandiant 的金融犯罪分析部門首席分析師 Jeremy Kennelly 表示,但今年,勒索軟體及相關攻擊(以索要贖金為目标的數據洩露)似乎在增加,2023 年上半年被發布到數據洩露網站的組織數量有所增加。
這可能是一個早期警告,表明我們在 2022 年看到的偃旗息鼓将是短暫的,能夠繼續使用同樣的初始訪問途徑助長了攻擊。
Kennelly 表示,近年來,參與勒索軟體活動的攻擊者不需要顯著完善其戰術、技術和程式 (TTP),因為眾所周知的攻擊策略繼續被證明很有效。
不足為奇的三大途徑:漏洞利用、憑據和網絡釣魚
2022 年 12 月,美國網絡安全和基礎設施安全局(CISA)警告,攻擊者通常使用五條初始訪問途徑,包括卡巴斯基和 Mandiant 提到的三大途徑,外加外部遠程服務(比如 VPN 和遠程管理軟體)以及第三方供應鏈攻擊(又叫可信任關系)。
據卡巴斯基的報告顯示,大多數攻擊要麼很快要麼很慢:快速攻擊會在短短幾天内破壞系統并加密數據。而在慢速攻擊中,威脅分子通常在幾個月内更縱深地滲入到網絡中,可能進行網絡間諜活動,然後部署勒索軟體或發送勒索信。
卡巴斯基的 Sapronov 表示,如果沒有某種應用程式或行為監控機制,利用面向公眾的應用程式和濫用合法憑據這兩種現象也往往更難檢測出來,導致攻擊者在受害者的網絡中停留的時間更長。
組織對應用程式監控沒有給予足夠的關注。此外,當攻擊者利用應用程式時,他們需要采取更多的步驟才能企及目标。
圖 1. 利用應用程式是首要的初始訪問途徑,往往導致勒索軟體快速攻擊或持續更久的間諜活動(圖片來源:卡巴斯基)
貼士:跟蹤漏洞利用方面的趨勢
了解攻擊者可能會采取的最常見方法有助于為防御者提供信息。比如說,公司應該繼續優先考慮那些在野外被大肆利用的漏洞。Mandiant 的 Kennelly 表示,只有密切關注威脅生态系統方面的變化,公司才能确保自己為可能出現的攻擊做好準備。
由于威脅分子可以迅速将漏洞利用代碼變成武器以支持入侵活動,了解哪些漏洞正在被肆意利用、漏洞利用代碼是否公開可用以及特定的補丁或補救策略是否有效,這很可能讓組織無須處理一起或多起主動入侵事件。
不過由于攻擊者不斷适應防御機制,應避免過分強調防範特定的初始訪問途徑。
在某個時間最常見的特定感染途徑應該不會廣泛地改變組織的防御态勢,因為威脅分子不斷改變其活動,将重點放在最成功的攻擊途徑上。任何某條途徑的流行程度下降并不意味着它構成的威脅明顯降低——比如說,通過網絡釣魚獲得訪問權限的入侵比例在緩慢下降,但電子郵件仍然被許多頗具影響力的威脅組織所使用。
