面对网路攻击者的行为,第一线威胁搜寻和事件回应人员应该利用什麽策略、技术和程序(TTP)来防御,是确保网路安全与运作的关键。新一代网路安全技术厂商Sophos今天发表《2021年主动攻击者的剧本》(Active Adversary Playbook 2021)报告,详细介绍在2020年间在外界看到相关作法,也提供2021年初的TTP侦测资料。研究结果表明,攻击者在被发现之前的平均停留时间为11天(264小时),未被发现的最长入侵时间为15个月。81%的事件和间谍软体有关,69%的攻击使用远端桌面通讯协定(RDP)在网路内横向移动。
这份报告的资料是来自Sophos遥测技术,和Sophos Managed Threat Response(MTR)威胁搜寻和分析人员以及Sophos Rapid Response事件回应团队对81次事件的调查和结果。目的是协助安全团队了解攻击者在攻击过程中的行为,以及如何发现和防御网路上的恶意活动。
该报告发现,攻击者被发现之前的平均停留时间为11天,也就是说攻击者在11天之内有264小时可以进行恶意活动,包括横向移动、侦察、凭证倾印、资料外泄和其他行为。其中某些行为可能只需要几分钟或几小时,而且通常是在夜间或非上班时间进行,所以11天足可让攻击者有充裕的时间对企业网路造成损害。值得注意的是,勒索软体攻击的停留时间通常比「隐匿式」攻击要短,因为它们只在??破坏力。
此外,90%的攻击和远端桌面通讯协定(RDP)有关。在所有案例中,有69%的攻击者使用RDP进行内部横向移动。通常保护RDP的安全措施,例如VPN和多因素验证等,往往只着重在防护来自外部的存取,但如果攻击者已存在於网路内部,这些保护都会无效。在主动的人为攻击,例如和勒索软体有关的攻击中,使用RDP进行内部横向移动的情形越来越普遍。
Sophos也发现,受害者网路的前五大工具之间具有关联性。例如,当在攻击中使用PowerShell时,Cobalt Strike占58%,PsExec占49%,Mimikatz占33%,GMER占19%。27%的攻击同时使用了Cobalt Strike和PsExec,而31%的攻击同时使用了Mimikatz和PsExec。同时使用Cobalt Strike、PowerShell和PsExec的组合占所有攻击的12%。这种关联性很重要,因为一旦侦测到,就可以作为即将发生的攻击的预警,或用於确认是否存在作用中的攻击。
Sophos调查的攻击中,81%和勒索软体有关。通常在勒索软体出现後,IT安全团队才会看到攻击,因此Sophos回应的事件大都和勒索软体有关不足为奇。Sophos发现,其他攻击类型还包括仅进行渗透、加密挖矿、银行木马、抹除程式、下载投放程式、渗透测试试/攻击工具等。
Sophos资深安全顾问John Shier表示:「威胁形势变得越来越复杂且多变。在过去的一年中,我们的事件回应人员协助抵挡了超过37个攻击团体发动的攻击,使用的工具超过400种。而且许多工具与IT系统管理员和安全专家用於执行日常工作的相同,因此很难辨识出良性和恶意活动之间的区别。」
他也强调:「由於攻击者在网路中平均躲了11天,并将攻击混在一般正常的IT作业中进行,因此安全团队必须了解哪些警讯应该要注意,以便进行调查。最重要的是,安全部门要记住技术虽然可以完成很多工作,但在当今的威胁形势下,仅靠技术是不够的。人类的经验和回应能力,是任何安全解决方案的重要一环。」