入侵者的技战术和行为分析(2021)

  • A+
所属分类:安全闲碎

入侵者的技战术和行为分析(2021)


    保护组织免受网络威胁的挑战是巨大的,对手不断调整和发展其工具集和行为,以抓住新的机会,逃避检测并保持领先于安全团队的地位。对于组织而言,很难跟上对手使用的最新方法,尤其是,由APT组织发起的定向攻击行动,对于一般组织而言,无法捕获具体的攻击细节,而专业的安全厂商在这方面则具有天然的优势。

 《2021年活跃入侵者的剧本》详细介绍了攻击者的行为和影响,以及Sophos的一线Threat Hunters和应急响应工程师在野外观察到的战术、技术和过程(TTPs)。

    我们的目标是帮助安全团队了解对手在攻击过程中的行为,以及如何在其网络中发现和防御此类活动。

    这些发现基于Sophos遥测(telemetry)数据以及Sophos管理的威胁响应(MTR)和Sophos应急响应团队在2020年和2021年初的事件报告和观察结果。数据根据MITER ATT&CK框架进行了分类。

备注:注意红色部分为威胁情报数据来源。


1.入侵者的战术和技术


战术(Tactics)

    攻击链中的早期战术对防御者来说是最具有价值的的检测手段,因为如果它们被阻止了,防御者可以在攻击有机会完全展开并造成损害或破坏之前将其化解和遏制。因此,最有可能引发调查的攻击者战术都将重心放在攻击链中较早发生的活动上。例如,在Sophos MTR提出的所有调查战术中,有31%是可疑的“执行”检测,17%是“持久”检测,16%是“初始访问”检测。

入侵者的技战术和行为分析(2021)

这些战术一般通过用于实现这些战术的技术来识别。下表列出了2020/2021年期间与每种攻击战术相关的顶级对抗技术。

入侵者的技战术和行为分析(2021)
其中,边界突破(Initial access)的Top 5技术分别是:
- 外部远程服务
- 利用公开的应用
- 网络钓鱼
- 有效帐号
- 供应链攻击


技术(Techniques)


下表列出了最有可能触发更深入的调查并指示活动威胁的TOP20个技术。其中signed binary proxy detection技术占18%、WMI技术占10%

入侵者的技战术和行为分析(2021)

2.入侵者的行为和影响

    

    本节中的数据和观察(observations)是基于81起针对各种规模组织的事件(涉及的最大组织有13,500名员工),涉及的行业范围很广,远至美国、加拿大、英国、澳大利亚、瑞士、德国、比利时、香港和奥地利。

    受攻击最多的行业是制造业(16%的攻击目标),其次是医疗保健、零售业和IT业(各占9%的事件目标),然后是金融服务和商业服务(各占5%),非营利组织是4%的攻击目标。


攻击剖析


    攻击者在被发现前能够留在目标网络中的时间(停留时间)的中位数是11天。应急响应人员观察到的最长的入侵者停留时间是439天(超过15个月)。

    为了说明这一点,11天可能为攻击者提供了约264小时的恶意活动时间,如横向移动、侦察、凭证转储、数据渗出等。考虑到其中一些活动可能只需要几分钟或几个小时就能实施,11天为攻击者提供了足够的时间来进行破坏。

    69%的攻击使用RDP进行内网横向移动。


入侵者的技战术和行为分析(2021)

最早观察到的攻击向量


    远程访问服务,如远程桌面协议(RDP),在几乎三分之一(30%)的攻击中开始涉及。网络钓鱼是约八分之一(12%)攻击的入口,其次是大约十分之一的漏洞利用系统。

    Cobalt Strike是大约5%的案例中最早发现的攻击部分,但是在主动攻击的许多不同阶段中,Cobalt Strike的流行率表明,Cobalt Strike的存在是活跃恶意活动的最有价值的指标之一。

入侵者的技战术和行为分析(2021)


攻击中使用的工具


    饼形图显示了最有可能在攻击者的工具箱中发现的工具。在攻击中看到的全部工具清单共有405个。其中大多数是独特的、可识别的工具,许多也可由IT专业人士用于良性目的。它们之所以吸引攻击者,是因为它们允许他们实施诸如凭证窃取、发现、横向移动和恶意软件执行等活动,同时与正常的日常IT活动融为一体。

    所看到的工具的数量和性质突显了防御者在区分网络上的恶意活动和合法活动方面面临的挑战。


入侵者的技战术和行为分析(2021)


例如,Process Hacker、PCHunter和GMER都是包含内核驱动的合法工具。他们往往可以禁用安全产品。

最佳的安全做法是确保除了特定情况外,这些工具的使用被阻止,如果在其他任何时候发现它们被使用,要调查是怎么回事。


工具组合的危险信号

在受害网络中发现的前五种工具之间出现了一些有趣的相关性。

例如,当在攻击中使用PowerShell时,在58%的案例中发现了Cobalt Strike,在49%的案例中发现了PsExec,在33%的案例中发现了Mimikatz,在19%的案例中发现了GMER。在27%的攻击中同时使用了Cobalt Strike和PsExec,而在31%的攻击中同时使用了Mimikatz和PsExec。最后,Cobalt Strike,PowerShell和PsExec的组合占所有攻击的12%。

这样的相关性很重要,因为它们的检测可以作为即将发生的攻击的预警或确认主动攻击的存在。


观察到的主要攻击组织


    观察到的攻击组织名单以勒索软件家族为主,但也包括挖矿团伙和疑似国家资助的攻击者等。在某些情况下,所涉及的攻击组织是未知的,因为在最终有效载荷发布之前,攻击已被发现和控制。总共确定了37个不同的攻击组。


入侵者的技战术和行为分析(2021)

3.总结

    每个组织都可能成为攻击目标,它可能是商业电子邮件泄露、挖矿、数据泄漏、企业间谍活动或头条新闻的大规模勒索软件攻击。网络犯罪是一项有利可图的业务。

    企业安全团队可以通过监控和调查可疑的活动来保卫他们的组织。合法和恶意之间的区别并不总是容易发现。在任何环境中,无论是网络环境还是物理环境,都可以做很多事情,但仅靠技术本身还不够。人的经验和响应能力是任何安全解决方案的重要组成部分。


往期精选


围观

威胁猎杀实战(六):横向移动攻击检测


热文

全球“三大”入侵分析模型


热文

实战化ATT&CK:威胁情报


入侵者的技战术和行为分析(2021)

本文始发于微信公众号(天御攻防实验室):入侵者的技战术和行为分析(2021)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: