信息化觀察網(wǎng)

本文來(lái)自嘶吼網(wǎng)，作者/布加迪。

大多數(shù)勒索軟件攻擊者使用三種主要的攻擊途徑之一來(lái)攻陷網(wǎng)絡(luò)，并獲得訪問(wèn)組織關(guān)鍵系統(tǒng)和數(shù)據(jù)的權(quán)限。

據(jù)卡巴斯基最近發(fā)布的報(bào)告《網(wǎng)絡(luò)事件的性質(zhì)》顯示，比如說(shuō)，2022年成功的勒索軟件攻擊的最重要途徑就是利用面向公眾的應(yīng)用程序，這占了所有攻擊事件的43%，其次是使用被攻擊的帳戶（24%）和惡意電子郵件（12%）。

與上一年相比，利用應(yīng)用程序和惡意電子郵件在所有攻擊中所占的比例有所下降，而利用被攻擊帳戶所占的比例較2021年的18%有所上升。

結(jié)論就是，加大關(guān)注最常見(jiàn)攻擊途徑的力度對(duì)于防止勒索軟件攻擊大有助益。卡巴斯基全球應(yīng)急響應(yīng)團(tuán)隊(duì)負(fù)責(zé)人Konstantin Sapronov表示，許多公司并不是攻擊者最初的目標(biāo)，但由于薄弱的IT安全機(jī)制，它們很容易被黑客攻擊，因此網(wǎng)絡(luò)犯罪分子趁機(jī)而入。如果我們看看三大攻擊途徑，它們共占幾乎所有事件的80%，就可以實(shí)施一些防御措施來(lái)應(yīng)對(duì)攻擊，并大大降低淪為受害者的可能性。

卡巴斯基提到的三大攻擊途徑與事件響應(yīng)公司谷歌Mandiant早前的一份報(bào)告相符，Mandiant發(fā)現(xiàn)同樣的常見(jiàn)攻擊途徑構(gòu)成了前三種技術(shù)：利用漏洞（32%）、網(wǎng)絡(luò)釣魚(yú)（22%）和竊取憑據(jù)（14%），但勒索軟件攻擊者往往將重點(diǎn)放在利用漏洞和竊取憑據(jù)上，這兩種攻擊技術(shù)共占所有勒索軟件事件的近一半（48%）。

勒索軟件在2020年和2021年大行其道，但在去年趨于平穩(wěn)，甚至略有下降。Mandiant的金融犯罪分析部門(mén)首席分析師Jeremy Kennelly表示，但今年，勒索軟件及相關(guān)攻擊（以索要贖金為目標(biāo)的數(shù)據(jù)泄露）似乎在增加，2023年上半年被發(fā)布到數(shù)據(jù)泄露網(wǎng)站的組織數(shù)量有所增加。

這可能是一個(gè)早期警告，表明我們?cè)?022年看到的偃旗息鼓將是短暫的，能夠繼續(xù)使用同樣的初始訪問(wèn)途徑助長(zhǎng)了攻擊。

Kennelly表示，近年來(lái)，參與勒索軟件活動(dòng)的攻擊者不需要顯著完善其戰(zhàn)術(shù)、技術(shù)和程序（TTP），因?yàn)楸娝苤墓舨呗岳^續(xù)被證明很有效。

不足為奇的三大途徑：漏洞利用、憑據(jù)和網(wǎng)絡(luò)釣魚(yú)

2022年12月，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）警告，攻擊者通常使用五條初始訪問(wèn)途徑，包括卡巴斯基和Mandiant提到的三大途徑，外加外部遠(yuǎn)程服務(wù)（比如VPN和遠(yuǎn)程管理軟件）以及第三方供應(yīng)鏈攻擊（又叫可信任關(guān)系）。

據(jù)卡巴斯基的報(bào)告顯示，大多數(shù)攻擊要么很快要么很慢：快速攻擊會(huì)在短短幾天內(nèi)破壞系統(tǒng)并加密數(shù)據(jù)。而在慢速攻擊中，威脅分子通常在幾個(gè)月內(nèi)更縱深地滲入到網(wǎng)絡(luò)中，可能進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)，然后部署勒索軟件或發(fā)送勒索信。

卡巴斯基的Sapronov表示，如果沒(méi)有某種應(yīng)用程序或行為監(jiān)控機(jī)制，利用面向公眾的應(yīng)用程序和濫用合法憑據(jù)這兩種現(xiàn)象也往往更難檢測(cè)出來(lái)，導(dǎo)致攻擊者在受害者的網(wǎng)絡(luò)中停留的時(shí)間更長(zhǎng)。

組織對(duì)應(yīng)用程序監(jiān)控沒(méi)有給予足夠的關(guān)注。此外，當(dāng)攻擊者利用應(yīng)用程序時(shí)，他們需要采取更多的步驟才能企及目標(biāo)。

圖1.利用應(yīng)用程序是首要的初始訪問(wèn)途徑，往往導(dǎo)致勒索軟件快速攻擊或持續(xù)更久的間諜活動(dòng)（圖片來(lái)源：卡巴斯基）

貼士：跟蹤漏洞利用方面的趨勢(shì)

了解攻擊者可能會(huì)采取的最常見(jiàn)方法有助于為防御者提供信息。比如說(shuō)，公司應(yīng)該繼續(xù)優(yōu)先考慮那些在野外被大肆利用的漏洞。Mandiant的Kennelly表示，只有密切關(guān)注威脅生態(tài)系統(tǒng)方面的變化，公司才能確保自己為可能出現(xiàn)的攻擊做好準(zhǔn)備。

由于威脅分子可以迅速將漏洞利用代碼變成武器以支持入侵活動(dòng)，了解哪些漏洞正在被肆意利用、漏洞利用代碼是否公開(kāi)可用以及特定的補(bǔ)丁或補(bǔ)救策略是否有效，這很可能讓組織無(wú)須處理一起或多起主動(dòng)入侵事件。

不過(guò)由于攻擊者不斷適應(yīng)防御機(jī)制，應(yīng)避免過(guò)分強(qiáng)調(diào)防范特定的初始訪問(wèn)途徑。

在某個(gè)時(shí)間最常見(jiàn)的特定感染途徑應(yīng)該不會(huì)廣泛地改變組織的防御態(tài)勢(shì)，因?yàn)橥{分子不斷改變其活動(dòng)，將重點(diǎn)放在最成功的攻擊途徑上。任何某條途徑的流行程度下降并不意味著它構(gòu)成的威脅明顯降低——比如說(shuō)，通過(guò)網(wǎng)絡(luò)釣魚(yú)獲得訪問(wèn)權(quán)限的入侵比例在緩慢下降，但電子郵件仍然被許多頗具影響力的威脅組織所使用。

本文翻譯自：https://www.darkreading.com/threat-intelligence/three-common-initial-attack-vectors-account-for-most-ransomware-campaigns