网络安全公司 Red Canary 发布了第六份年度威胁检测报告,研究了未来数月和数年内组织应优先考虑的趋势、威胁和对手技术。
该报告追踪了攻击者全年最常滥用的 MITRE ATT&CK 技术,其中两个新的引人注目的条目在 2023 年飙升至前十名:电子邮件转发规则和云帐户。
Red Canary 的最新报告对 2023 年从客户端、网络、云基础设施、身份和 SaaS 应用程序收集的超过 216 PB 遥测数据中检测到的近 60,000 种威胁进行了深入分析。该报告以其独特的数据和见解脱颖而出,这些数据和见解源于广泛的检测覆盖范围以及专家、人工主导的威胁调查和确认。
研究表明,尽管威胁形势不断变化和发展,但攻击者的动机却没有变化。攻击者部署的经典工具和技术保持一致,但也有一些明显的例外。主要发现包括:
- 云帐户 是 Red Canary 在 2023 年检测到的第四大最常见的 MITRE ATT&CK 技术,从 2022 年的第 46 位上升,检测量增加了 16 倍,2023 年影响的客户数量是 2022 年的三倍。
- 由于攻击者入侵电子邮件账户、将敏感通信重定向到存档文件夹和其他用户不太可能查看的地方,并试图修改工资单或电汇目的地,将钱重新转入犯罪分子的账户,恶意电子邮件转发规则的检测 率上升了近 600%。
- 排名前 10 的威胁中有一半利用了恶意广告和/或 SEO 投毒,偶尔会导致更严重的负载,如勒索软件前兆。
- 一半的顶级威胁都是勒索软件的前身,如果不加以控制,可能会导致勒索软件感染,勒索软件将继续对企业产生重大影响。
- 尽管出现了一波新的软件漏洞,但人类仍然是攻击者在 2023 年利用的主要漏洞,包括访问云服务 API、利用电子邮件转发规则执行工资欺诈、发起勒索软件攻击等。
- macOS 威胁上升——2023 年,Red Canary 在 macOS 环境中检测到的窃取活动比以往任何时候都多,同时还存在反射代码加载和AppleScript 滥用的情况。
Red Canary 指出了影响威胁形势的几个更广泛的趋势,例如生成式人工智能的出现、远程监控和管理 (RMM) 工具滥用的持续突出、基于网络的有效负载传递(如 SEO 投毒和恶意广告)的盛行、 MFA 规避技术的日益必要性,以及帮助台网络钓鱼等厚颜无耻但高度有效的社会工程计划的主导地位。
“前十大威胁和技术每年变化很小,因此我们在 2024 年报告中看到的转变非常显著。在我们的数据集中,云账户入侵从第 46 位上升到第 4 位是前所未有的,电子邮件转发规则的情况也类似,”Red Canary 首席安全官 Keith McCammon 表示。“连接这些攻击模式的黄金线索是身份。要访问云账户和 SaaS 应用程序,攻击者必须入侵某种形式的身份或凭证,而拥有高权限的身份或凭证可以让攻击者获得对宝贵账户的无限访问权限,这凸显了保护企业身份和身份提供者的重要性。”
macOS、Microsoft 和 Linux 用户需要注意的新兴技术
报告中的技术部分重点介绍了 2023 年 Red Canary 客户群中已确认的威胁中最普遍、影响最深远的技术。虽然PowerShell和Windows 命令 Shell等许多技术仍然存在,但也存在一些有趣的变化,包括:
- 攻击者使用微软的新 MSIX 打包工具(通常用于更新现有桌面应用程序或安装新的桌面应用程序)编译恶意安装程序,以下载合法软件为幌子诱骗受害者运行恶意脚本。
- 容器逃逸——攻击者利用容器内核和运行时环境中的漏洞或错误配置来“逃离”容器并感染主机系统。
- 反射代码加载允许对手逃避 macOS 安全控制并在原本强化的 Apple 端点上运行恶意代码。
攻击者的目标不是垂直行业,而是系统
数据显示,无论受害者属于哪个部门或行业,攻击者都会可靠地利用同一组 10-20 种 ATT&CK 技术来攻击组织。然而,攻击者确实青睐某些工具和技术,这些工具和技术可能针对特定行业中常见的系统和工作流程:
- 医疗保健:Visual Basic 和 Unix Shell 更为流行,这可能是因为该行业使用不同的机器和系统。
- 教育:电子邮件转发和隐藏规则更为常见,可能是因为严重依赖电子邮件。
- 制造业:通过可移动介质(例如 USB)进行复制更为常见 – 可能是因为依赖于隔离或伪隔离物理基础设施和遗留系统。
- 金融服务和保险:不太明显的技术(例如 HTML 走私和分布式组件对象模型)更为常见,这可能是因为在控制和测试方面的投资较大。
建议采取的措施:
- 验证您的防御措施。查看主要威胁和技术,并问自己:“我是否有信心防御这些威胁和技术?”Red Canary 的开源测试库Atomic Red Team是免费的,并且易于采用。
- 修补漏洞是关键。它仍然是保护自己免受风险的最佳方法之一,这一点已得到证实。
- 成为云专家——确保您的权限和配置正确设置,并了解组织中的每个人如何使用云基础设施,因为可疑活动和合法活动之间的差异在云中是微妙的,需要深入了解您的环境中的正常情况。