网络安全公司红金丝雀(Red Canary)发布了第六份年度威胁检测报告,研究了未来数月和数年组织应优先考虑的趋势、威胁和对手技术。
该报告追踪了对手全年最常滥用的 MITRE ATT&CK 技术,其中有两项新的引人注目的技术在 2023 年跃居前十名: 电子邮件转发规则和云账户。
红金丝雀的最新报告深入分析了 2023 年从客户端点、网络、云基础设施、身份和 SaaS 应用程序收集的超过 216PB 的遥测数据中检测到的近 60,000 种威胁。该报告以其独特的数据和洞察力区别于其他年度报告,这些数据和洞察力来自于广泛的检测覆盖范围以及专家、人工主导的威胁调查和确认。
研究表明,虽然威胁环境在不断变化和发展,但攻击者的动机却没有改变。对手部署的经典工具和技术仍然保持一致,但也有一些明显的例外。主要发现包括
- 云账户是 2023 年红金丝雀检测到的第四大最普遍的 MITRE ATT&CK 技术,从 2022 年的第 46 位上升到 2023 年的第 46 位,检测量增加了 16 倍,影响的客户数量是 2022 年的三倍。
- 对恶意电子邮件转发规则的检测上升了近 600%,因为对手入侵了电子邮件账户,将敏感通信重定向到归档文件夹和其他用户不可能查看的地方,并试图修改工资单或电汇目的地,将资金转入犯罪分子的账户。
- 排名前 10 的威胁中有一半利用了恶意广告和/或 SEO 中毒,偶尔会导致更严重的有效载荷,如勒索软件前兆。
- 顶级威胁中有一半是勒索软件前兆,如果不加以控制,可能会导致勒索软件感染,勒索软件继续对企业造成重大影响。
- 尽管出现了一波新的软件漏洞,但人类仍然是 2023 年对手利用的主要漏洞,这些漏洞包括利用身份访问云服务 API、利用电子邮件转发规则实施薪资欺诈、发起勒索软件攻击等。
- 2023 年,红金丝雀在 macOS 环境中检测到比以往更多的窃取活动,以及反射代码加载和 AppleScript 滥用情况。
红金丝雀注意到影响威胁格局的几个更广泛的趋势,如生成式人工智能的出现、远程监控和管理(RMM)工具滥用的持续突出、基于网络的有效载荷交付(如 SEO 中毒和恶意广告)的盛行、MFA 规避技术的必要性不断增加,以及服务台网络钓鱼等厚颜无耻但非常有效的社交工程计划的主导地位。
"排名前 10 位的威胁和技术每年的变化很小,因此我们在 2024 年报告中看到的变化非常明显。云账户入侵从第 46 位上升到第 4 位,这在我们的数据集中是前所未有的,电子邮件转发规则也是类似的情况,"红金丝雀首席安全官 Keith McCammon 说。"连接这些攻击模式的金线是身份。要访问云账户和 SaaS 应用程序,对手必须破坏某种形式的身份或凭证,而高权限的身份或凭证可以让对手获得难以计数的宝贵账户访问权限,这凸显了保护企业身份和身份提供商安全的极端重要性。
macOS、微软和 Linux 用户需要注意的新兴技术
报告中的 "技术 "部分重点介绍了 2023 年在红金丝雀客户群中确认的威胁中观察到的最普遍、影响最大的技术。虽然 PowerShell 和 Windows Command Shell 等许多技术依然存在,但也出现了一些有趣的变化,其中包括:
- 攻击者利用微软的新 MSIX 打包工具编译恶意安装程序(通常用于更新现有桌面应用程序或安装新程序),以下载合法软件为幌子,诱骗受害者运行恶意脚本。
- 容器逃逸--对手利用容器内核和运行环境中的漏洞或错误配置来 "逃逸 "容器并感染主机系统。
- 反射代码加载允许攻击者规避 macOS 安全控制,并在原本经过加固的苹果终端上运行恶意代码。
攻击者的目标不是垂直行业,而是系统
数据显示,无论受害者属于哪个部门或行业,攻击者都会可靠地利用同样的 10-20 种 ATT&CK 技术来攻击组织。不过,对手确实偏爱某些工具和技术,这些工具和技术可能会针对特定行业中常见的系统和工作流程:
- 医疗保健: Visual Basic 和 Unix Shell 更为普遍,这可能是由于该行业使用的机器和系统不同。
- 教育: 电子邮件转发和隐藏规则更常见,这可能是由于对电子邮件的严重依赖。
- 制造业: 通过 USB 等可移动媒体进行复制的情况更为普遍,这可能是由于依赖于空气屏蔽或伪空气屏蔽的物理基础设施和传统系统。
- 金融服务和保险: HTML 走私和分布式组件对象模型等不太明显的技术更为常见,这可能是由于在控制和测试方面加大了投资。
建议采取的行动
- 验证您的防御措施。看看最主要的威胁和技术,然后问:"我对自己防御这些威胁和技术的能力有信心吗?Red Canary 的开源测试库 Atomic Red Team 免费且易于采用。
- 修补漏洞是关键。它仍然是屡试不爽的防范风险的最佳方法之一。
- 成为云专家--确保您的权限和配置设置正确,并了解组织中每个人是如何使用云基础设施的,因为云中可疑活动与合法活动之间的区别是微妙的,需要深入了解环境中的正常情况。
