执行摘要
我们看到五大新兴趋势正在重塑威胁格局。
-
首先,威胁行为者正在通过旨在故意破坏运营的攻击来增强传统的勒索软件和敲诈勒索。2024 年,Unit 42 应对的事故中有 86% 涉及业务中断——包括运营停机、声誉受损或两者兼而有之。
-
其次,软件供应链和云攻击的频率和复杂程度都在增长。在云中,威胁行为者经常嵌入配置不当的环境中,扫描庞大的网络以获取有价值的数据。在一次行动中,攻击者扫描了超过 2.3 亿个独特的目标,以获取敏感信息。
-
第三,入侵的速度越来越快——由于自动化和精简的黑客工具包而加剧——使防御者几乎没有时间检测和响应。在近五分之一的案例中,数据泄露发生在入侵后的第一个小时内。
-
第四,企业面临的内部威胁风险升级,因为像朝鲜这样的民族国家会瞄准企业,窃取信息并资助国家行动。2024 年与朝鲜有关的内部威胁案例增加了两倍。
-
第五,对 AI 辅助攻击的早期观察表明,AI 可以助长入侵的规模和速度。
在这些趋势之中,我们还看到攻击采取了多管齐下的战术,因为威胁行为者瞄准了攻击面的多个区域。事实上,Unit 42 响应的事故中有 70% 发生在三条或更多条战线上,这突出表明需要同时保护端点、网络、云环境和人为因素。而在人为因素方面——我们调查的安全事故中,近一半 (44%) 涉及 Web 端浏览器,包括网络钓鱼攻击、恶意重定向和恶意软件下载。
根据多年来对几千起事故的响应经验,我们确定了三个让攻击者得逞的核心因素:复杂性、可视性缺口和过度信任。分散的安全架构、不受管理的资产和过于宽松的账户都为攻击者留下了可乘之机。
为了应对这些挑战,安全领导者必须加快零信任进程,减少整个生态系统的隐含信任。同样重要的是从开发到运行时保护应用程序和云环境安全,确保迅速解决错误配置和漏洞。最后,务必使安全运营能够看到更多,响应更快——通过跨本地、云和端点日志的整合可视性,以及自动化驱动的威胁检测和补救。
1.简介
在我担任事故响应人员的二十年职业生涯里,我目睹了威胁形势和攻击者战术的无数次变化。
勒索软件首次出现时,文件加密成为了网络犯罪分子的首选战术。锁死文件,索要赎金换取加密密钥,然后继续。备份变得越来越完善,双重勒索变得越来越流行。网络犯罪分子利用骚扰(现在仍然如此)来告诉公司:“付钱!否则我们就要泄露敏感数据”。但即便如此,这种光环也在逐渐褪去。
几乎每个月,我都会收到有关数据泄露的通知。偶尔,我会打开阅读这些信件;不可否认的是,其他时候,这些信件会被直接扔进垃圾桶。像许多人一样,我投资了身份盗窃防护软件,遵守网络卫生的最佳实践。面对这些铺天盖地的通知,很难不去想象普通人会怎么想:我的数据又被泄露了,那又怎么样?这种麻木不仁的心态令人不安。然而,尽管公众对此漠不关心,数据泄露仍然可能对公司造成重大损害。
过去的一年标志着攻击者的注意力再次转向故意破坏运营。这种出于经济动机的勒索新阶段优先考虑的是破坏,即攻击者故意毁坏系统、将客户锁定在环境之外并迫使系统长时间停机,这样威胁行为者就能保持自己的能力,使攻击产生最大影响,向企业索要赎金。
2024 年,Unit 42 应对了 500 多起重大网络攻击。这些事故涉及的大型企业苦苦挣扎于勒索、网络入侵、数据盗窃、高级持续性威胁等。这些攻击的目标涵盖了所有主要行业垂直领域和 38 个国家/地区。
我们应对了以前所未有的速度发生的入侵,这些入侵造成了严重的运营中断和连带影响 — 从停机和服务中断到高达几十亿美元的代价。在每个案例中,情况都升级到了呼叫安全运营中心 (SOC) 支援的地步。
当呼叫 Unit 42 时,我们的事故响应团队迅速采取行动来遏制威胁、调查事故并恢复运营。危机过后,我们会与客户合作加强其安全态势,防范未来的攻击。
Unit 42 的使命相当明确:保护数字世界免受网络威胁。我们的团队在全球范围内全天候运营,我们的目标是团结一致,阻止威胁行为者,猎杀不断演变的威胁,同时帮助企业做好准备,从最复杂的攻击中恢复过来。
本报告旨在引导您了解我们的主要发现和可行见解:
-
新兴威胁与趋势:展望未来,包括破坏性勒索、AI 辅助攻击、基于云和软件供应链的攻击、民族国家内部威胁和速度的兴起。
-
威胁行为者如何得逞:分析最常见的有效战术、技法和程序,从最初的访问到影响。
-
给防御者的建议:给高管、首席信息安全官和安全团队的实用指导,旨在加强防御,建立韧性,比威胁先行一步。
在阅读时,不仅要考虑正在发生什么,还要考虑接下来会发生什么,以及企业如何准备好应对日益复杂的威胁环境带来的挑战。
SAM RUBIN
Unit 42 咨询和威胁情报高级副总裁
2.新兴威胁与趋势
2025 年,企业面临着来自经济驱动的网络犯罪分子、资源充足的民族国家、内部阴谋和意识形态动机的黑客活动家等一系列复杂的威胁。虽然勒索攻击在犯罪集团中仍然占主导地位,但经验丰富的民族国家对手将目标对准了关键基础设施、供应链和重点行业。由于拥有特权的承包商和员工可以绕过外部防御,而黑客活动家利用社交媒体网络协调大规模的破坏活动,因此内部风险加剧。
在此背景下,Unit 42 确定了五个重要趋势,我们认为这些趋势对企业的影响最为显著而且直接:故意破坏性的勒索攻击、软件供应链和云利用、攻击速度加快、朝鲜内部威胁和 AI 辅助威胁。
趋势 1.破坏业务运营:第三波勒索攻击
随着防御能力的提高,网络卫生也日趋成熟,备份变得越来越常见,也越来越成功。攻击者被迫创新自己的方法,确保能够获得稳定高额的报酬。
勒索攻击在过去十年中不断发展:从加密到数据泄露和多重勒索技法,再到故意破坏。虽然勒索软件仍然是头号威胁,但攻击者已经从单纯加密数据转向更有破坏性的战术,比如骚扰利益相关者和威胁关键运营,导致长时间停机。
2024 年,Unit 42 响应的事故中有 86% 都造成了某种与影响相关的损失。其中包括:
- 业务彻底中断
- 资产和欺诈相关的损失
- 因公开攻击而导致的品牌和市场损失
- 运营成本、法律和监管成本增加等等
我们可以用三波来定义勒索攻击的演变。
第 1 波:一开始是加密
加密货币的兴起使犯罪规模更大,而犯罪分子面临的风险更小。威胁行为者迅速采用勒索软件作为一种有利可图的攻击方法,锁死关键文件,扣留起来要挟赎金,要求支付加密货币才能解锁。自此,加密货币就成为了勒索软件攻击的关键推动因素:
- 降低攻击者被识别的风险
- 降低网络犯罪分子的进入门槛
- 帮助攻击者逃脱执法和国际制裁
在早期的勒索软件案例中,剧本很简单。进入,加密文件,然后离开。Unit 42 在此期间的调查很少发现数据泄露的迹象。
攻击者现在则愈发老练,经常将加密与数据盗窃和双重勒索威胁结合起来,但加密本身仍然是一种常用战术。事实上,Unit 42 的最新事故响应数据显示,加密仍然是勒索案例中最常用的战术,在过去 4 年中保持相对稳定。
随着时间的推移,企业改进了其数据备份实践,而加密作为唯一的勒索战术就显得不那么有效了。备份帮助更多企业更快恢复——2024 年,近一半 (49.5%) 的受影响受害者能够从备份中恢复。如图 1 所示,这一数字大约是 2022 年的五倍,当时只有 11% 的受害者能够从备份中恢复。
图 1:2022 年至 2024 年间,成功从备份中恢复加密文件的受害者比例上升了 360%。
然而,这些防御措施对于防范攻击者发布或出售被盗数据的风险作用不大。
第 2 波:加大数据外泄的筹码
由于单纯关注加密的效果变差,攻击者转向了一种新的勒索手段:数据泄露和随后的骚扰。除了使用泄露的数据通过勒索和骚扰向受害者施压外,出于经济动机的攻击者还获得了额外的收入来源,比如在暗网市场上拍卖数据。
攻击者威胁要公开泄露敏感信息,经常开设泄密网站,吹捧所谓的受害者。有些则是用恶意消息轰炸员工和客户。
然而,虽然数据盗窃仍然是一种流行的手段,但出于多种原因,其有效性已开始下降。数据泄露疲劳使暗网泄密在迫使受害者付钱方面的影响有所减弱。
根据身份盗窃资源中心的 2023 年数据泄露报告,仅仅在 2023 年就有 3.53 亿受害者的数据被泄露。此外,虽然攻击者确实经常信守承诺,但企业越来越担心攻击者不能信守承诺。
事实上,在 2024 年的数据盗窃案例中,只有不到三分之二的攻击者提供了删除数据的证据(只有 58%)。在一些案例中,Unit 42 意识到,尽管提供了所谓的“证据”,但威胁行为者至少保留了部分数据。虽然三分之二仍然是大多数,但这与大多数人在支付(通常是高昂的)费用时所期望的确定性水平相去甚远。
公共泄密网站的数据支持了这一趋势。在 2022-2023 年泄密网站的受害者增加了 50% 之后,这一数字在 2024 年仅增加了 2%。这可能表明威胁行为者发现泄密网站勒索在强迫付钱方面效果比较差。
勒索战术依赖于灌输恐惧以及吸引受害者的全部注意力。为了达到这个目的,威胁行为者将继续改进其方法,始终屹立在破坏的前沿。
这并不意味着攻击者放弃了数据泄露。如表 1 所示,威胁行为者在超过一半的时间里仍在窃取数据,对骚扰的使用正在稳步增加。然而,威胁行为者正在采用更多手段来确保自己获得回报。
| 勒索战术 | 2021 | 2022 | 2023 | 2024 |
|---|---|---|---|---|
| 加密 | 96% | 90% | 89% | 92% |
| 数据偷窃 | 53% | 59% | 53% | 60% |
| 骚扰 | 5% | 9% | 8% | 13% |
表 1:敲诈勒索相关案例中敲诈勒索手段的普遍性。
蓄意破坏是出于经济动机的攻击演变的下一个阶段,威胁行为者继续加大力度吸引受害者的注意力。
第 3 波:故意破坏运营
攻击者通过专注于第三种战术来增加压力:故意破坏。2024 年,Unit 42 响应的事故中有 86% 涉及某种损失,这些损失在运营、声誉或其他方面对业务造成了破坏。
Unit 42 观察到攻击者将加密技法与数据盗窃相结合,然后进一步使用其他战术来明显破坏企业。攻击者损害了受害者的品牌声誉或骚扰了其客户和合作伙伴。攻击者还删除了虚拟机并销毁了数据(第 5.1 节全面分解了攻击者用于这类影响的 MITRE ATT&CK 技法)。
我们看到,攻击者扰乱了拥有深厚合作伙伴网络的受害者,而这些网络正是开展业务所依赖的。当企业必须封锁部分网络才能遏制威胁行为者并在恢复运营之前补救攻击时,其合作伙伴就会被迫断开连接。一旦恢复在线,重新认证过程就会在合作伙伴重新连接到网络时造成进一步的破坏。
老练的攻击者利用这些战术瞄准了包括医疗、酒店、制造业和关键基础设施在内的企业,目的是不仅要对业务造成广泛破坏,而且对其合作伙伴和客户也造成广泛破坏。
随着企业深陷于长时间停机、合作伙伴和客户关系紧张以及底线影响,威胁行为者正在利用这一点要求增加赎金。一些企业希望恢复系统运行,尽量减少经济影响(可能高达几百万甚至几十亿),但却被索要更高额的赎金。初始勒索赎金的中位数从 2023 年的 69.5 万美元增至 2024 年的 125 万美元,增幅近 80%。
我们还研究了威胁行为者认为企业可以支付多少赎金。(我们的依据是威胁行为者通过搜索有关企业的公开信息来源所能找到的信息。)2024 年的初始赎金中位数是受害企业预期年收入的 2%。一半的初始赎金介于受害者预期年收入的半个百分点 (0.5%) 到 5% 之间。在极端情况下,我们看到攻击者试图勒索的金额超过了受害企业的预期年收入。
然而,尽管索要的赎金有所增加,但 Unit 42 在交涉最终支付(对于付了钱的客户)时仍然取得了成功。结果就是,支付赎金的中位数仅上升了 3 万美元,2024 年达到 26.75 万美元。当企业支付赎金时,赎金中位数不到其预期收入的 1% (0.6%)。因此,Unit 42 谈判达成的减少百分比中位数比最初索要的赎金下降了 50% 以上。
对策:面对日益严峻的破坏保持韧性
面对破坏性的威胁者时,要考虑的一个重要因素就是运营韧性:如果关键系统出现故障或敏感数据无法访问,还能继续运转吗?哪些业务运营是必须维护的?灾难恢复和备份策略是什么?关键合作伙伴是否准备好在受到攻击时转向新系统?
找出答案的最佳方法就是通过定期测试和事故模拟来验证您的技术控制、培训响应团队并评估维持基本服务的能力。关注韧性,不仅可以减轻攻击的直接经济影响,还可以保护长期的声誉和利益相关者的信任——这是日益动荡的网络环境中的关键资产。
勒索攻击及其伴随的一切——加密、数据盗窃、骚扰和故意破坏——并不是昙花一现。网络安全战略必须不断发展,应对攻击者不断变化的技术手段——同时也要认识到威胁行为者将不断适应从而克服更强大的防御。
趋势 3.速度:攻击速度越来越快,防御者的反应时间越来越短
Unit 42 发现,随着威胁行为者越来越多地采用自动化、勒索软件即服务 (RaaS) 模型和生成式人工智能 (GenAI) 来精简攻击行动,网络攻击的速度显著加快了。这些工具使攻击者能够快速识别漏洞、制作逼真的社会工程诱饵,最终以更快的速度大规模实施攻击。
攻击的速度迫使全球企业重新评估自身的响应能力,优先考虑早期检测。在许多案例中,仅仅几个小时就可以确定攻击者是否成功达成其使命,包括数据盗窃、加密或运营中断。随着攻击者不断优化方法并加快时间安排,对主动安全措施和快速事故响应的需求已经迫在眉睫。
Unit 42 衡量攻击速度的方法之一是测量外泄时间——攻击者在最初入侵后多快可以泄露被盗的数据。
2024 年,Unit 42 应对的攻击中,数据外泄的中位时间大约是两天。这个时间范围值得注意,因为企业通常需要几天才能检测和补救入侵。
对发生外泄最快的一部分案例进行研究,发现外泄的速度之快更令人担忧。
- 在四分之一的案例中,从入侵到泄露的时间不到五个小时。
这比 2021 年快了三倍,当时对于前四分之一的案例,数据泄露发生在不到 15 小时内。
对于很大一部分事故,攻击者的速度甚至更快。
- 在五分之一的案例中 (19%),从入侵到泄露的时间不到一小时。
在 Unit 42 应对的最近三起案例中,我们亲眼观察到了攻击者的速度:
RansomHub(Unit 42 追踪到的 Spoiled Scorpius)通过缺乏多因素身份验证的 VPN 访问了市政府的网络。在站稳脚跟后的七个小时内,威胁行为者从网络中外泄了 500 GB 的数据。
威胁行为者暴力破解了 VPN 账户,获取了大学的访问权限。在识别出没有 XDR 保护的系统后,攻击者部署了勒索软件并在 18 小时内外泄了数据。
Muddled Libra(也称为 Scattered Spider)成功地对服务提供商的帮助台进行了社交工程,获取了特权访问管理器 (PAM) 账户的访问权限。使用此访问权限,攻击者检索了存储的凭据并入侵了域特权账户 — 所有这些都在短短 40 分钟内完成。在确保域访问安全的情况下,威胁行为者攻破了密码管理库并将受感染的账户添加到了客户的云环境中,从而提升了权限,实现数据泄露。
防御者比以往任何时候都更难识别、响应和遏制攻击。在某些案例中,只有不到一个小时的时间来做出响应。
然而,我们在减少驻留时间方面取得了进展,驻留时间指的是攻击者在企业发现或检测到攻击者之前在受害者环境中存在的天数。2024 年的驻留时间从 2023 年的 13 天下降了 46%,减少到 7 天。这延续了我们自 2021 年以来观察到的驻留时间减少的趋势,而当时的驻留时间有 26.5 天。
对策:防御更快的攻击
为了提高防御能力,抵御更快的攻击,请考虑以下手段:
- 测量检测和响应时间:跟踪并推动平均检测时间 (MTTD) 和平均响应时间 (MTTR) 的持续改进意味着 SOC 正在变得更快。
- 利用 AI 驱动的分析:集中数据源并实时识别异常,比手动方法更快揭示关键警报。
- 使用自动化剧本:预先定义遏制操作,隔离受感染的端点,或在几分钟内锁定用户账户。
- 持续测试:定期进行沙盘推演和红队演习,确保 SecOps 团队能够从检测无缝切换到响应。
- 优先考虑高风险资产:将快速响应能力集中在最关键的系统上,因为停机或数据丢失会造成最严重的破坏。
通过整合实时可视性、AI 洞察和自动化工作流程,您甚至可以超越行动最快的对手。
趋势 4.内部威胁的崛起:
朝鲜的内部威胁肆虐
内部威胁对任何企业来说都是最难以捉摸的风险之一,因为利用了企业运营所依赖的特权访问和信任关系。能够避开许多外部防御使得这些威胁极难被发现。
朝鲜的民族国家威胁团伙最近通过将特工安插在国际组织的技术职位上,发动了更有破坏性的内部威胁攻击。我们跟踪的 Wagemole(也称为“IT 工作者”)行动将工程角色本身转变成了另一个攻击面。在此过程中,朝鲜政权获得了几亿美元和其他硬通货。
朝鲜的威胁行为者利用了传统的招聘流程,使用被盗或合成的身份,以详细的技术档案为后盾。这些档案可以包括通过身份操纵获得的合法推荐信以及通过了基本验证的以往真实工作经历。
2024 年,我们约有 5% 的事故响应案例与内部威胁有关,与朝鲜有关的案例数量是上一年的三倍。虽然对威胁的进一步认识可能会导致更多客户寻找这种威胁,但重要的是,这些威胁行为者仍在继续运作。
没有哪个行业能幸免于这种威胁。2024 年,这些攻击者的触角扩展到了金融服务、媒体、零售、物流、娱乐、电信、IT 服务和政府国防承包商。大型科技公司仍然是主要目标。
这些行动通常瞄准使用合同制技术职位的企业。人才派遣公司无意中成为朝鲜 IT 工作者阴谋的推动力量,原因在于:
- 简化了核查程序,满足快速人员配备需求
- 有限的身份验证机制
- 对分包劳动力提供者的了解不深
- 在竞争激烈的市场中迅速填补职位的压力
虽然朝鲜特工已经成功获得全职职位,但合同工仍然是其最常用的渗透媒介。
这些特工的技术水平已经发生了演变,曾经严重依赖商业远程管理工具,但最近转向了更微妙的方法。
最令人担忧的则是越来越多地使用基于硬件的 KVM-over-IP 解决方案 — 小型设备直接连接到目标系统的视频和 USB 端口,提供了可以绕过大多数端点监控工具的远程控制功能。这些设备连接到目标企业自己提供的计算机上,从而进一步实现威胁行为者的目标。
Visual Studio Code 隧道功能最初设计用于合法的远程开发,但现在却用作维护访问权限的隐蔽通道。
这些行动的性质带来了检测挑战,因为许多特工拥有真正的技术技能。其访问看起来是合法的,因为就是合法的。特工在执行分配的工作的同时实现自己的真实目标。
一旦潜入公司内部,这些内部人员除了非法收取工资来支持政权外,还会从事一系列恶意活动:
-
数据泄露:系统性泄露敏感的业务数据和内部文档——利用安全政策、漏洞报告和面试指南来更好地逃避检测,同时瞄准客户数据、源代码和知识产权。
-
未经授权的工具部署:引入远程管理和其他未经授权的工具来维持访问权限或为进一步利用做准备。
-
修改源代码:通过访问源代码存储库,威胁行为者可能会插入后门代码,从而有可能在更广泛的企业中实现未经授权的系统访问或篡改金融交易。
-
勒索:在某些案例中,特工利用窃取的数据索要赎金,威胁要泄露专有信息。在某些情况下,确实会将这些威胁付诸实践。
-
虚假推荐:威胁行为者可能会将其同伙推荐给企业,导致企业雇用更多虚假的 IT 工作者。在某些案例中,被推荐的雇员只是原始推荐人的克隆,使用不同的虚假身份冒充成多个人。
朝鲜 IT 工作者的阴谋已经从单纯的收钱转变成更有规避性的内部威胁战略,瞄准了全球范围内的众多企业。其政权对这些行动的战略投入才是对这种方法的长期承诺。
要防范这种威胁,企业就必须转变对劳动力管理和安全的态度。
应对内部威胁需要的不仅仅是技术控制,更需要一种安全意识文化和对用户活动的主动监控,尤其是对拥有特权的人。
实施最低权限政策以及根据彻底的背景调查结果采取行动等措施有助于最大限度减少滥用的可能性。此外,企业应该密切关注行为指标,例如异常的数据传输或临近离职日期的员工在最后一刻访问系统。在此过程中,能够汇总来自各种数据源的指标非常重要。一种行为本身可能看似无害,但与其他信号结合起来,就可能表明需要进行调查。
归根结底,必须在信任与核实之间取得平衡。一次内部事故就可能会破坏企业多年来的进步,威胁到知识产权并造成声誉损害。通过加强内部流程、监控特权访问和强调各个层面的安全性,企业可以显著降低发生破坏性内部事件的可能性。
趋势 5.AI 辅助攻击的出现
尽管仍处于早期阶段,但恶意使用生成式 AI 已经重塑了网络威胁格局。攻击者使用 AI 驱动的方法,使网络钓鱼活动更逼真,自动开发恶意软件,加速攻击链的进展,使网络攻击更难被发现,执行速度更快。虽然对抗性生成式 AI 的使用目前更多是演进性而不是革命性的,但毫无疑问:生成式 AI 已经在重塑攻击能力。
生成式 AI 工具(尤其是 LLM)正在被民族国家的 APT 和受经济利益驱动的网络犯罪分子用来精简和扩大攻击。这些技术可以自动执行以前需要大量人工操作的复杂任务,从而加速了整个攻击生命周期。
例如,LLM 可以制作相当逼真的网络钓鱼电子邮件,以前所未有的准确度模仿合法的公司通信,从而提高了网络钓鱼行动的成功率,使其更难通过传统基于特征的防御检测出来。恶意团体已经在销售可以制作逼真深度伪造的工具(这些工具有免费的,也有提供深度伪造的“企业套餐”,价格低至 249 美元/月)。
在恶意软件开发中,LLM 有助于生成和混淆恶意代码,使攻击者能够创建可以逃避标准检测机制的多态恶意软件。通过自动创建漏洞利用脚本和优化恶意软件的有效负载,对抗性 AI 降低了技术水平较低的威胁行为者的准入门槛,扩大了潜在攻击者的范围。此外,AI 驱动的工具还增强了识别和利用漏洞的能力。
AI 辅助攻击最深远的影响之一就是网络攻击的速度和效率都有所提高。传统上需要几天或几周才能完成的任务现在可以在几分钟内完成。
为了测试这一点,Unit 42 的研究人员模拟了一次勒索软件攻击,在攻击的每个阶段都集成了生成式 AI。下图 3 展示了使用生成式 AI 之前的攻击速度(以我们的 IR 调查中实际观察到的中位时间为基准)与使用生成式 AI 时的速度相对比。
有 AI
没有 AI
图 3:使用 AI 辅助技法之前和之后,模拟攻击的速度差异。
我们的测试将渗透中位时间从两天缩短到 25 分钟——大约快了 100 倍。虽然这些是基于实验室的结果,但很容易看出从侦察到利用的快速进展如何显著缩短了“影响时间”,这使得企业难以及时做出反应来减轻损害。
这些手段可以帮助您防御 AI 辅助的攻击:
-
部署 AI 驱动的检测,以机器速度发现恶意模式,关联来自多个来源的数据。
-
培训员工识别 AI 生成的网络钓鱼、深度伪造和有针对性的社会工程企图。
-
在沙盘推演中加入使用基于 AI 的战术的对抗性模拟,为快速、大规模的攻击做好准备。
-
开发自动化工作流程,使 SOC 能够在威胁转移或泄露数据之前遏制住威胁。
3.威胁行为者如何得逞:常见的有效战术、技法和程序
威胁行为者不断进化攻击的速度、规模和复杂程度。这使其能够在短时间内造成大范围破坏,让企业难以发现其活动并有效缓解。
在我们的案例数据中,我们注意到两个主要趋势:
威胁行为者经常从多条战线攻击企业。
当我们研究威胁行为者如何追求其目标时,发现威胁行为者从社会工程转向了攻击端点、云资源等等,如表 2 所示。
| 攻击战线 | 案例百分比 |
|---|---|
| 端点 | 72% |
| 人 | 65% |
| 身份 | 63% |
| 网络 | 58% |
| 电子邮件 | 28% |
| 云 | 27% |
| 应用 | 21% |
| SecOps | 14% |
| 数据库 | 1% |
表 2:我们看到威胁行为者行动的攻击战线。
在 84% 的事故中,威胁行为者通过多条战线攻击其目标受害者(70% 的时间跨越三条或更多)。在我们响应的一些事故中,威胁行为者从多达八条战线发起攻击。
攻击的复杂性日益增加,要求对所有数据源进行统一查看。在 85% 的案例中,Unit 42 事故响应人员必须访问多种类型的数据源才能完成调查。防御者应该准备好访问并有效处理来自整个企业中各种这些来源的信息。
浏览器是威胁的主要渠道。
我们调查的安全事故中,近一半 (44%) 涉及通过员工浏览器发起或促成的恶意活动。其中包括网络钓鱼、滥用 URL 重定向和恶意软件下载,每种攻击都利用浏览器会话,而没有进行充分的检测或拦截。
用户与恶意链接、域或文件的交互,再加上安全控制不足,导致了入侵。企业必须提高可视性并在浏览器级别实施强大的控制,以便在这些威胁传播之前检测、拦截并响应。
以下部分涵盖了我们对入侵的观察,以及我们从 Unit 42 案例数据中收集到的有关常见攻击技法的洞察。
3.1. 入侵:社会工程不断发展,既广泛又有针对性
2024 年,在 Unit 42 的案例中,网络钓鱼重新成为最常见的初始访问载体,约占事故总数的四分之一 (23%),如图 4 所示。
图 4:几年来,在 Unit 42 应对的事故中观察到的初始访问载体。其他社会工程包括 SEO 投毒、恶意广告、短信钓鱼、MFA 轰炸和入侵服务台。其他初始访问载体包括滥用信任关系或工具,以及内部威胁。
初始访问载体本身并不能说明一切。不同的初始访问载体通常对应于不同的威胁行为者档案和目标。例如,当威胁行为者通过网络钓鱼获得访问权限时,最常见的相关事故类型是商业电子邮件诈骗(76% 的案例),其次是占比低得多的敲诈勒索,特别是勒索软件攻击(近 9%)。
民族国家的行为者占事故的比例很小但影响很大,因为倾向于使用软件/API 漏洞作为初始访问载体。
防御者应该意识到,威胁行为者使用以前泄露的凭据是多么常见,后者通常从初始访问中介处购买这些凭据。搜索深网和暗网通常可以发现以前被泄露的凭据。
一些不太常见的初始访问载体可能会导致严重的泄露。例如,Unit 42 继续观察到网络犯罪集团 Muddled Libra 通过对帮助台进行社会工程来访问企业。然而,其他威胁行为者也在利用这种技法,比如一个以经济利益为驱动的行为者,位于尼日利亚。
使用这种技法的行为者不使用恶意软件来延续欺诈,而是使用伪造的身份证件或 VoIP 电话号码,这些号码的地理位置位于预期受害者所在的城市。我们的数据中针对性攻击的百分比已经从 2022 年的 6% 上升到 2024 年的 13%。
对策:防御社会工程攻击
防御者应该继续使用纵深防御战略来为常见的初始访问载体做好准备,尽量减少获得系统访问权限的威胁行为者产生的影响。
安全培训是必不可少的,可以帮助员工做好抵御社会工程攻击的准备。培训不应该仅仅局限于网络钓鱼和鱼叉式网络钓鱼。培训还应该包括:
- 改善物理安全的对策(例如防止徽章尾随)
- 防止设备丢失的最佳实践
- 如果设备被盗或无人看管怎么办
- 内部威胁指标
- 在服务台呼叫中要注意的危险信号
- 深度伪造的迹象
3.2. 来自 Unit 42 案例数据的攻击技法洞察
根据我们观察到的 2024 年最老练的攻击者使用的战术和技法,我们的威胁情报分析师为防御者提出了三个关键洞察:
- 任何类型的访问都可能帮助攻击者。即使威胁团伙似乎专注于其他目标,做好准备保护好企业免受攻击仍然很重要。
- 高级威胁行为者并不总是使用复杂的攻击。如果更简单的方法可行,攻击者就会使用。
- 尽管勒索十分盛行,但并不是所有威胁行为者都会宣布自己的存在。例如,民族国家的威胁行为者通常擅长悄悄留在受感染的网络中,尤其是通过“因地制宜”技法。
以下部分更详细地介绍了民族国家的威胁团伙和其他有动机的行为者使用的技法。
企业通常不会优先防御特定行为者的攻击,而是认为这些团体专注于其他目标。然而,许多行为者一再向我们表明,持久的团体往往会在实现其最终目标的过程中影响许多企业。
在整个 2024 年,Unit 42 追踪了许多被民族国家行为者攻破的企业。这些行为者并不总是直接满足间谍目标,有时会征用设备来支持其未来的活动(T1584 - 破坏基础设施)。
例如,众所周知,Insidious Taurus(又名 Volt Typhoon)会滥用这些伺机被攻破的设备(通常是面向互联网的网络路由器和物联网资产)来创建代理命令和控制网络流量的僵尸网络,而这些网络流量来自或去往其他受害者。
还观察到攻击者瞄准并攻破技术供应商,收集到特定的敏感客户信息,甚至利用了对下游受害者的互联访问(T1199 - 信任关系)。
即使您不是直接目标,您的网络仍可能面临被威胁行为者攻破的风险。
“高级持续性威胁”一词造成了一种错觉,即所有这些对手的活动都是新颖而复杂的。实际上,即使是资源丰富的攻击者也经常选择阻力最小的道路。这包括利用已知(甚至是旧的)漏洞(T1190 - 利用面向公众的应用程序)、单纯滥用合法的远程访问功能(T1133 - 外部远程服务),或使用流行的现有在线服务窃取信息(T1567 - 通过 Web 服务渗透)。
我们看到系统性问题和错误在网络中不断重复出现,例如配置错误和暴露面向互联网的设备。这降低了恶意行为者的门槛。
大多数事故涉及受经济利益驱动的威胁行为者,其中许多都行动迅速,宣布自己的存在就是为了勒索。但是,我们也看到在一些事故中,对手避免触发警报并努力逃避防御机制,从而开展间谍活动等目的。
攻击者有时会通过隐藏在预期用户活动的“噪音”之中来进一步利用网络的复杂性。其滥用受感染环境中原本合法的功能,这种方法被称为“因地制宜”。攻击者通过这种方法获得的成功凸显了防御者在区分良性和恶意活动方面通常难以应对的挑战。
一个非常常见的现实世界例子就是,在观察以下操作时,可以立即分辨出管理员或 APT 之间的区别吗?
- 执行命令
- 系统配置更改
- 登录
- 网络流量
| 技法 | 2024 年的趋势 |
|---|---|
| T1078 - 有效账户 |
这是观察到的作为初始访问载体的主要技法之一,在与此战术相关的分组技法种类中占到 40% 以上。这可能是由于身份和访问管理以及攻击面管理 (ASM) 中的弱点所致,例如:
|
| T1059 - 命令和脚本解释器 |
这是最常见的执行技法(例如,超过 61% 与执行战术相关的案例以这种方式滥用了 PowerShell)。其他常常被滥用的系统实用程序包括其他本机 Windows、Unix、网络设备和用于执行各种任务的应用程序特定 shell。 |
| T1021 - 远程服务 |
滥用这些服务是横向移动最常被观察到的技法(在与此战术相关的各种分组技法中,超过 86% 涉及远程服务)。这进一步加剧了重复使用合法凭据的趋势。在这里,我们看到的不是这些凭据的传统用途,而是通过内部网络协议进行身份验证,比如 RDP(超过 48% 的案例)、SMB(超过 27% 的案例)和 SSH(超过 9% 的案例)。 |
表 3:Unit 42 IR 案例中最突出的“因地制宜”技法。
除了因地制宜之外,我们还观察到许多攻击者(尤其是涉及勒索软件的攻击者)试图使用 EDR 禁用工具,在其行动期间“修改土地”。在观察到的与防御规避相关的分组技法中,近 30% 涉及 T1562 - 削弱防御。其中包括如下子技法:
虽然有很多花招,但我们看到更多的泄露涉及威胁行为者滥用自带脆弱的驱动程序 (BYOVD) 攻击技法。攻击者使用这种技法来获取所需的权限,绕过甚至攻击安装在受感染主机上的 EDR 和其他防御保护措施。相关技法包括:
对策:防御常见的有效 TTP
防御者应该清楚了解企业的内部和外部攻击面。定期评估哪些数据或设备可以在面向公众的互联网上访问或暴露,尽量减少危险的远程访问设置和错误配置。通过定期安全更新删除不再支持的操作系统上正在运行的系统,注意系统的漏洞,包括旧漏洞 — 尤其是已发布 PoC 代码的漏洞。
维护环境的可行基线,包括账户、软件/应用程序和其他获准使用的活动。实施强大的日志记录并利用分析工具,帮助快速建立多个数据源之间的连接,从而检测不寻常的行为模式。
4.给防御者的建议
本节将仔细研究攻击者最常利用的系统性问题以及战胜这些问题的针对性战略。通过主动解决这些因素,企业可以显著降低网络风险,增强韧性,在应对当前和新兴威胁时保持决定性优势。
4.1. 常见的促成因素
常见的促成因素是系统性问题,这些问题使得威胁行为者一次又一次得逞。通过主动解决这些问题,企业可以降低网络攻击的可能性和影响。
从几千起事故中,我们总结了三个主要促成因素:复杂性、可视性缺口和过度信任。这些因素促成了初始访问,使威胁肆无忌惮地升级,助长了整体损害。正面迎战将显著强化防御并提高韧性。
如今的 IT 和安全环境往往是由遗留的应用程序、即插即用的基础设施和不完善的转型计划拼凑而成。这导致许多企业依赖 50 种或更多迥然不同的安全工具。这些工具是为了应对个别威胁而零散购置的,通常缺乏集成性,造成数据孤岛,使团队无法对其环境保持统一的看法。
在我们调查的 75% 的事故中,日志中存在最初入侵的关键性证据。然而,由于系统复杂、脱节,这些信息不易获取,也无法有效操作,从而使攻击者能够利用未被发现的缺口。
与此同时,多个数据源对于有效检测和响应至关重要。大约 85% 的事故需要关联来自多个来源的数据才能充分了解作用范围和影响。近一半 (46%) 的事故需要关联来自四个或更多来源的数据。当这些系统无法通信(或遥测不完整)时,重要线索就会被埋没,直到为时已晚。
举例来说:
在一次勒索软件攻击中,端点检测和响应 (EDR) 系统捕获了横向移动,而最初的入侵则被埋没在不受监控的网络日志之中。这种支离破碎的可视性会长时间延误检测,给攻击者留出了充足的时间来外泄数据以及部署勒索软件有效负载。
企业范围的可视性是有效安全运营的支柱,但缺口仍然普遍存在。尤其是云服务,带来了一个重大挑战。Unit 42 发现,企业每月平均开启 300 项新的云服务。如果没有像样的运行时可视性,SecOps 团队就无法意识到暴露和攻击。不受管理和不受监控的资产(无论是端点、应用程序还是影子 IT)为攻击者提供了进入企业环境的便捷切入点。
事实上,在近 40% 的案例中,安全工具和管理问题成为一个促成因素。这些缺口使攻击者能够站稳脚跟、横向移动并提升权限,同时不被发现。
举例来说:
在一次事故中,Muddled Libra 使用特权用户账户提升了在客户 AWS 环境中的权限,授予其数据泄露的权限。由于云服务没有与企业的 SOC 或 SIEM 集成,可疑活动最初就没有被发现。
过度放任的访问是一种危险的责任。在我们响应的事故中,攻击者不断利用过度放任的账户和不充分的访问控制来升级攻击。
事实上,在 41% 的事故中,至少有一个与身份和访问管理问题相关的促成因素,包括过度授权的账户和角色。这会导致横向移动、访问敏感信息和应用程序,最终使攻击者得逞。
在这方面,云环境也特别脆弱:Unit 42 的研究人员发现,在近一半与云相关的事故中,至少有一个与身份和访问管理问题相关的促成因素,包括过度授权的账户和角色。
在许多案例中,攻击者获得的访问权限远远超出了其破坏的角色类型应该有的权限。一旦通过网络钓鱼、凭据窃取或利用漏洞获得了初始访问权限,这种过度的信任就会允许攻击者快速提升权限、外泄数据并破坏运营。
举例来说:
在一家 IT 服务公司的案例中,攻击者利用过度授权的管理员账户在未经多因素身份验证的情况下暴力破解 VPN 后横向移动并提升权限。这种过度的信任使攻击者能够在 700 台 ESXI 服务器上部署勒索软件,最终破坏了公司的主要业务运营并影响了超过 9,000 个系统。
4.2. 给防御者的建议
解决了复杂性、可视性缺口和过度信任,企业就可以大幅降低网络攻击的风险和影响。这样不仅可以避免长时间停机和昂贵的违规补救,还可以维持运营连续性和利益相关者的信心。以下建议包括了正面解决这些系统性问题的对策。
5.附录:MITRE ATT&CK® 技法(按战术、调查类型和其他案例数据)
5.1 观察到的 MITRE ATT&CK 技法概览(按战术)
以下一系列图表(图 5-16)显示了我们观察到的与特定战术相关的 MITRE ATT&CK® 技法。请注意,显示的百分比表示与每种战术确定的其他类型的技法相比,每种技法的普遍程度。这些百分比并不代表这些技法在案例中出现的频率。
- 初始访问
- 发现
- 执行
- 持久性
- 权限升级
- 防御规避
- 凭据访问
- 横向移动
- 收集
- 命令和控制
- 渗透
- 影响
图 5:观察到与初始访问战术相关的技法的相对普遍程度
5.2. 按地区和行业划分的数据
我们在 2024 年进行的最常见调查类型是网络入侵(约占 25% 的案例)。看到如此多这类的调查是个好消息,因为当入侵网络是我们观察到的唯一恶意活动时,我们就会使用这种分类。我们认为,这种调查类型的增多意味着,至少在某些案例中,客户在攻击链的早期就打电话给我们,这样就可以在攻击者有机会成功实现其他目标之前阻止这些攻击者。
虽然所有行业和地区的防御者都有许多相同的担忧,但我们看到不同地区和行业存在着一些差异。
在北美,商业电子邮件诈骗紧随网络入侵之后(19% 的案例对比 23%)。在欧洲、中东和非洲,如果考虑所有勒索类型(加密和不加密),勒索在我们的数据中则略高于网络入侵(31% 的案例对比 30%)。
从我们的行业数据来看,对勒索的担忧显而易见。在高科技行业,加密和不加密的勒索也是调查最多的类型 (22%)。制造业也是如此,这个行业最常出现在勒索软件团伙的暗网泄密网站上 (25%)。
商业电子邮件诈骗仍然是一个巨大的威胁,特别是对于金融服务(25% 的案例)、专业和法律服务 (23%) 以及批发和零售 (21%)。
除了涉及或影响企业云服务的大量案例外,我们还看到一个规模虽小但不断增长的趋势,这些案例主要集中在云控制平面或数据平面入侵上。这占到总体案例的 4%,但在高科技、专业和法律服务等行业中占比更高(两者均为 9% 的案例)。这些专门针对云的攻击可能会产生重大影响。在对云控制平面的攻击中,攻击者可以访问企业的整个云基础设施。考虑到通常存储在云中的数据类型和范围,对数据平面的攻击有可能收获大量敏感数据。
各地区调查类型
- 北美
- 欧洲、中东和非洲
图 17:各地区调查类型 - 北美
各行业调查类型
下面的图 19-24 显示了我们事故响应数据中最具代表性的六个行业相关的主要调查类型分解。
- 高科技
- 专业和法律服务
- 制造
- 批发和零售
- 金融服务
- 医疗保健
图 19:各行业调查类型 - 高科技
6.数据与研究方法
我们从 2023 年 10 月至 2024 年 12 月期间 Unit 42 响应的 500 多起案例以及最早可以追溯到 2021 年的其他案例数据中获取了本报告的数据。
我们的客户范围从员工人数少于 50 人的小型企业到财富 500 强和全球 2000 强公司以及拥有超过 100,000 名员工的政府组织。
受影响的企业总部位于 38 个不同的国家/地区。这些案例中约有 80% 的目标企业位于美国。与总部位于欧洲、中东和亚太地区的企业有关的案例占工作的另外 20%。攻击的影响范围往往超出企业总部所在地。
我们将这些案例数据与威胁研究的见解相结合,这些研究基于产品遥测以及对暗网泄密网站和其他开源数据的观察。
事故响应人员还分享了根据与客户直接合作得出的主要趋势观察。
有几个因素可能会影响我们数据的性质,包括与安全态势更加成熟的大型企业合作的趋势。我们还选择了强调我们认为可以揭示新兴趋势的案例,对于某些主题而言,这意味着要关注数据集中较小的部分。
对于某些主题,我们选择过滤数据,消除可能扭曲结果的因素。例如,我们提供事故响应服务来帮助我们的客户调查 CVE-2024-3400 的潜在影响,导致了这个漏洞在我们的数据集中占比过高。在某些地方,我们更正了数据,消除了这种过度代表。
我们的指导原则始终是为读者提供对当前和未来威胁形势的洞察,从而提高防御能力。