面對網路攻擊者的行為,第一線威脅搜尋和事件回應人員應該利用什麼策略、技術和程序(TTP)來防禦,是確保網路安全與運作的關鍵。新一代網路安全技術廠商Sophos今天發表《2021年主動攻擊者的劇本》(Active Adversary Playbook 2021)報告,詳細介紹在2020年間在外界看到相關作法,也提供2021年初的TTP偵測資料。研究結果表明,攻擊者在被發現之前的平均停留時間為11天(264小時),未被發現的最長入侵時間為15個月。81%的事件和間諜軟體有關,69%的攻擊使用遠端桌面通訊協定(RDP)在網路內橫向移動。
這份報告的資料是來自Sophos遙測技術,和Sophos Managed Threat Response(MTR)威脅搜尋和分析人員以及Sophos Rapid Response事件回應團隊對81次事件的調查和結果。目的是協助安全團隊了解攻擊者在攻擊過程中的行為,以及如何發現和防禦網路上的惡意活動。
該報告發現,攻擊者被發現之前的平均停留時間為11天,也就是說攻擊者在11天之內有264小時可以進行惡意活動,包括橫向移動、偵察、憑證傾印、資料外洩和其他行為。其中某些行為可能只需要幾分鐘或幾小時,而且通常是在夜間或非上班時間進行,所以11天足可讓攻擊者有充裕的時間對企業網路造成損害。值得注意的是,勒索軟體攻擊的停留時間通常比「隱匿式」攻擊要短,因為它們只在乎破壞力。
此外,90%的攻擊和遠端桌面通訊協定(RDP)有關。在所有案例中,有69%的攻擊者使用RDP進行內部橫向移動。通常保護RDP的安全措施,例如VPN和多因素驗證等,往往只著重在防護來自外部的存取,但如果攻擊者已存在於網路內部,這些保護都會無效。在主動的人為攻擊,例如和勒索軟體有關的攻擊中,使用RDP進行內部橫向移動的情形越來越普遍。
Sophos也發現,受害者網路的前五大工具之間具有關聯性。例如,當在攻擊中使用PowerShell時,Cobalt Strike佔58%,PsExec佔49%,Mimikatz佔33%,GMER佔19%。27%的攻擊同時使用了Cobalt Strike和PsExec,而31%的攻擊同時使用了Mimikatz和PsExec。同時使用Cobalt Strike、PowerShell和PsExec的組合佔所有攻擊的12%。這種關聯性很重要,因為一旦偵測到,就可以作為即將發生的攻擊的預警,或用於確認是否存在作用中的攻擊。
Sophos調查的攻擊中,81%和勒索軟體有關。通常在勒索軟體出現後,IT安全團隊才會看到攻擊,因此Sophos回應的事件大都和勒索軟體有關不足為奇。Sophos發現,其他攻擊類型還包括僅進行滲透、加密挖礦、銀行木馬、抹除程式、下載投放程式、滲透測試試/攻擊工具等。
Sophos資深安全顧問John Shier表示:「威脅形勢變得越來越複雜且多變。在過去的一年中,我們的事件回應人員協助抵擋了超過37個攻擊團體發動的攻擊,使用的工具超過400種。而且許多工具與IT系統管理員和安全專家用於執行日常工作的相同,因此很難辨識出良性和惡意活動之間的區別。」
他也強調:「由於攻擊者在網路中平均躲了11天,並將攻擊混在一般正常的IT作業中進行,因此安全團隊必須了解哪些警訊應該要注意,以便進行調查。最重要的是,安全部門要記住技術雖然可以完成很多工作,但在當今的威脅形勢下,僅靠技術是不夠的。人類的經驗和回應能力,是任何安全解決方案的重要一環。」