近日,CrowdStrike发布了《2024年全球威胁报告》,揭示了网络攻击的最新趋势。报告指出,网络攻击生态系统仍在持续增长,CrowdStrike在2023年观察到了34个新的威胁参与者。同时,攻击者正越来越多地瞄准云环境,以满足其牟利需求,某些情况下甚至允许攻击者到达内部部署的服务器。
供应链攻击也经常被滥用,允许威胁行为者轻松攻击多个目标。在技术领域运营的组织或将面临更高的风险,因为他们为世界各地的许多组织提供服务,而几乎每一起信任关系的妥协都源于对上游商业软件供应商的入侵。此外,网络边缘的报废产品和未管理设备也是攻击目标。
虽然网络钓鱼仍然是从目标组织的员工那里获取凭据的有效方法,但其他身份验证数据也被用于进行攻击。无论网络安全攻击的动机是什么,基于身份和社会工程的攻击仍然占据着中心位置。
例如,FANCY BEAR威胁参与者在2023年进行了网络钓鱼活动,并开发了一个自定义工具包从雅虎邮件和ukr.net网络邮件用户处收集凭据。该工具包使用了“browser -in- browser”技术,并添加了多因素身份验证拦截功能,以收集身份验证中使用的一次性密码。
SCATTERED SPIDER威胁行为组织则使用短信网络钓鱼(smishing)和语音网络钓鱼(vishing)来获取凭据。此外,该黑客组织还利用早期对电信机构的入侵,对目标员工进行SIM卡交换操作;一旦SIM卡交换激活,该威胁组织就可以直接接收带有OTP代码的SMS消息。此外,该威胁组织还经常使用住宅代理(residential proxies)绕过基于目标物理位置的检测。
API密钥和秘密也是攻击者的目标——只要API密钥或秘密不被更改,拥有这些信息的网络犯罪分子就可以保持无限期的访问权限。与此同时,Cookie会话和令牌盗窃也在被威胁行为者积极滥用。
此外,攻击者还会窃取或伪造Kerberos票据,以获得对可以脱机破解的加密凭据的访问权限。CrowdStrike观察到,Kerberoasting攻击激增了583%。
CrowdStrike指出,从2022年到2023年,全球云环境入侵增加了75%(见下图)。
【图1:云环境入侵案例的增长情况】
在CrowdStrike的分析中,该团队将“云意识”(residential proxies)案例——即攻击者意识到云环境并利用它的案例、“云不可知”(cloud-agnostic)案例——即攻击者没有意识到云环境或不使用云环境进行了区分。
结果显示,从2022年到2023年,云意识案例增加了110%,而云不可知案例增加了60%。
调查还显示,有经济动机的网络犯罪分子在攻击云环境方面最为活跃;在所有涉及云的入侵中,它们占比高达84%,而有针对性的入侵仅占16%。
在整个2023年,SCATTERED SPIDER主要推动了云意识活动的增加,其攻击活动占总案例的29%。该威胁组织在目标云环境中展示了先进而复杂的入侵技术,以保持持久性、获取凭据、横向移动和渗漏数据。
例如,SCATTERED SPIDER威胁组织经常使用受害者的Microsoft 365环境来搜索VPN指令,然后使用VPN访问目标组织的内部网络并在其内部横向移动。
根据CrowdStrike的报告显示,有针对性的入侵行为者在2023年一直试图利用信任关系来访问多个垂直领域和地区的组织。
对于攻击者来说,这些攻击具有极高的投资回报率:攻击提供IT服务的第三方或软件供应链中的第三方可能导致数百或数千个后续目标。这些攻击还可以更有效地帮助攻击者瞄准更具价值的组织。
例如,JACKPOT PANDA威胁组织利用CloudChat(赌博社区常用的一款聊天应用程序)的木马安装程序,最终用名为XShade的恶意软件感染了用户。在另一个案例中,身份未知的威胁行为者通过合法的软件更新过程分发恶意软件,最终入侵了一家印度信息安全软件供应商。
据CrowdStrike称,在不久的将来,信任关系的妥协将继续吸引有针对性的入侵行为者。在技术领域运营的组织或将面临更高的风险,因为他们为世界各地的许多组织提供服务。
在2023年期间,CrowdStrike观察到34个新的威胁参与者,总数达到232。除了这些已知的威胁参与者,CrowdStrike还追踪了130多个活跃的恶意活动集群。
专门的数据泄露网站显示,被暴露的受害者数量比2022年增加了76%,这使得2023年的受害者总数达到4615人。新出现的大型游戏狩猎(Big Game Hunting,BGH)玩家是受害者数量猛增的因素之一。
【图2:泄露网站上披露的受害者数量】
总的来说,BITWISE SPIDER、ALPHA SPIDER、GRACEFUL SPIDER、RECESS SPIDER和BRAIN SPIDER是攻击主力军,所披露受害者占总数的77%。其中,BITWISE SPIDER和ALPHA SPIDER历来都名列前茅,分别在2022年和2023年位居DLS披露受害者最多的第一名和第二名。
RECESS SPIDER和BRAIN SPIDER分别在2022年年中和2023年1月开始了自己的勒索软件行动。自那以后,它们的地位越来越突出,在2023年的DLS排名中位居第四(RECESS SPIDER)和第五(BRAIN SPIDER)。GRACEFUL SPIDER自2016年开始运营,通常进行小批量攻击,在2023年利用了三个零日漏洞,从全球数百名受害者那里窃取了数据。
【图3:泄露网站披露贴数最高的威胁组织排名】
在目标网络上获取初始立足点通常只是攻击的第一阶段;一旦成功进入,攻击者还需要突破第一个被攻破的设备,并横向移动到网络的其他部分,才能达到他们的目标。
交互式网络犯罪入侵活动的平均时间从2022年的84分钟下降到2023年的62分钟,最快的时间仅为2分7秒。
在CrowdStrike提供的一个示例中,攻击者在开始网络侦察操作并获取系统信息后31秒就植入了合法工具。然后,攻击者还植入了额外的文件,在3分钟内添加了更多的工具,包括勒索软件(见下图)。
【图4:交互式电子犯罪入侵的剖析图】
根据该报告,攻击者还通过使用更少的恶意软件和更有效的手段(例如使用窃取的凭证和利用信任关系漏洞)来赢得时间。到2023年,无恶意软件活动占所有检测活动的75%,而2022年这一数字为71%,2021年之前还不到62%。身份攻击的成功以及从初始访问代理处购买有效凭据诠释了使用较少恶意软件的趋势。
由于端点检测和响应传感器的使用越来越多,威胁行为者已经调整了他们的攻击策略,开始通过瞄准网络边缘设备来进行初始访问和横向移动(见下图)。
【图5:一般网络上的托管和非托管目标】
企业网络中的某些设备不一定受到安全解决方案的监视。特别是,边缘网关设备通常基于过时的架构,因此容易受到攻击者可能利用的多个漏洞的攻击。例如,防火墙和VPN平台的漏洞在2023年被用来袭击了思科、思杰和F5,路由器、移动电话或NAS/备份存储也可能受到攻击。
CrowdStrike强调了2023年观察到的另一个趋势:攻击者将重点放在已经停止受支持的产品利用上。这些产品不再打补丁,而且通常不允许部署现代安全解决方案,因此成为攻击者的目标,他们正在积极开发漏洞来滥用这些产品。
由于成功率高,基于身份和社会工程的攻击正在逐年激增,被盗的凭据允许攻击者快速实现访问和控制。为了应对这些威胁,必须实现抗网络钓鱼的多因素身份验证,并将其扩展到遗留系统和协议,对团队进行社会工程培训,并实施可以跨身份、端点和云环境检测和关联威胁的技术。
随着公司意识到云提供的创新和业务敏捷性的潜力,云采用率正在爆炸式增长。由于这种增长,云正迅速成为网络攻击的主要战场。企业需要完全的云可见性,包括对应用程序和API的可见性,以消除错误配置、漏洞和其他安全威胁。CNAPPs至关重要:云安全工具不应该孤立存在,CNAPPs提供了一个统一的平台,简化了对潜在云安全威胁和漏洞的监控、检测和应对。
攻击者通常使用有效凭据访问面向云的受害者环境,然后使用合法工具执行攻击,使防御者难以区分正常的用户活动和破坏行为。要识别这种类型的攻击,组织需要了解身份、云、端点和数据保护遥测之间的关系,它们可能位于不同的系统中。事实上,企业平均使用45种以上的安全工具,这造成了数据孤岛和可见性缺口。通过整合到一个具有人工智能功能的统一安全平台,组织可以在一个地方拥有完全的可见性,并且可以轻松控制他们的操作。通过统一的安全平台,组织可以节省时间和金钱,并且可以快速、自信地发现、识别和阻止漏洞。
攻击者平均需要62分钟——最快的只需2分钟就能从一个最初受到攻击的主机转移到环境中的另一个主机。组织能跟上这种速度吗?让我们面对现实:传统的SIEM解决方案无法满足SOC的需求。组织需要一种比传统SIEM解决方案更快、更容易部署且更具成本效益的工具。
虽然技术在检测和阻止入侵的斗争中显然是至关重要的,但最终用户仍然是阻止入侵的关键环节。为此,组织应该启动用户意识程序,以对抗网络钓鱼和相关社会工程技术的持续威胁。对于安全团队来说,熟能生巧。鼓励建立一个定期进行桌面练习和红蓝团队合作的环境,以识别网络安全实践和响应中的缺口并消除弱点。
原文链接:
https://go.crowdstrike.com/rs/281-OBQ-266/images/GlobalThreatReport2024.pdf