威脅狩獵（Cyber threat hunting）是一種主動(dòng)的網(wǎng)絡(luò)防御活動(dòng)，通過(guò)主動(dòng)和持續(xù)地搜索網(wǎng)絡(luò)，可以檢測(cè)和發(fā)現(xiàn)現(xiàn)有數(shù)字化環(huán)境中的各種安全威脅。近日，專(zhuān)業(yè)安全廠(chǎng)商CrowdStrike發(fā)布了《2023年威脅狩獵研究報(bào)告》，對(duì)過(guò)去一年中威脅狩獵專(zhuān)家所觀察到的最新攻擊態(tài)勢(shì)和攻擊手法進(jìn)行了分析和總結(jié)。

報(bào)告數(shù)據(jù)顯示：目前攻擊者的平均突破時(shí)間已經(jīng)縮短至79分鐘，創(chuàng)歷史新低，其中所記錄到的最快攻擊突破時(shí)間僅為7分鐘；Kerberoasting身份攻擊同比增長(zhǎng)583%，這反映了基于身份的入侵活動(dòng)正在大規(guī)模升級(jí)；此外，攻擊者越來(lái)越多地利用合法遠(yuǎn)程監(jiān)控管理（RMM）工具，來(lái)規(guī)避檢測(cè)并訪(fǎng)問(wèn)敏感數(shù)據(jù)、部署勒索軟件或采取更具針對(duì)性的后續(xù)策略。

1.網(wǎng)絡(luò)入侵態(tài)勢(shì)分析

在過(guò)去一年中，研究人員觀察到交互式入侵?jǐn)?shù)量持續(xù)攀升，同比增長(zhǎng)40%。其中，針對(duì)金融服務(wù)行業(yè)的交互式入侵活動(dòng)數(shù)量增加了80%以上。金融行業(yè)的安全管理者們應(yīng)該密切關(guān)注這一趨勢(shì)，因?yàn)殡S著活動(dòng)數(shù)量的增加，威脅的多樣性也在增加。今年，研究人員發(fā)現(xiàn)，針對(duì)金融行業(yè)的活動(dòng)涵蓋了所有攻擊動(dòng)機(jī)類(lèi)型（如經(jīng)濟(jì)動(dòng)機(jī)、政治動(dòng)機(jī)、滋擾/破壞、間諜活動(dòng)等），并全面覆蓋了所有主流操作系統(tǒng)和云基礎(chǔ)設(shè)施。

圖片

交互式入侵?jǐn)?shù)量走勢(shì)圖

出于經(jīng)濟(jì)動(dòng)機(jī)的電子犯罪（eCrime）威脅行為者主要以金融部門(mén)為目標(biāo)，其中一些攻擊者專(zhuān)注于竊取加密貨幣或不可替代代幣（NFT），而機(jī)會(huì)主義的“big game hunting”（BGH）勒索軟件和數(shù)據(jù)盜竊活動(dòng)則是金融機(jī)構(gòu)面臨的更嚴(yán)重威脅。由于受害組織自身的敏感性以及需要維持系統(tǒng)正常運(yùn)行，很多金融機(jī)構(gòu)不得不滿(mǎn)足攻擊者支付贖金的要求。

此外，科技行業(yè)也仍然是網(wǎng)絡(luò)攻擊者的高價(jià)值目標(biāo)，勒索軟件攻擊是該行業(yè)面臨的最普遍安全威脅。技術(shù)部門(mén)對(duì)高度敏感數(shù)據(jù)的依賴(lài)和訪(fǎng)問(wèn)使其成為勒索攻擊組織的重點(diǎn)目標(biāo)。科技行業(yè)面臨的其他主要網(wǎng)絡(luò)犯罪威脅包括服務(wù)濫用、訪(fǎng)問(wèn)代理和信息盜竊等。

2.基于身份的威脅快速增長(zhǎng)

掌握過(guò)去攻擊者的行為趨勢(shì)是形成有效和主動(dòng)防御的關(guān)鍵。報(bào)告研究發(fā)現(xiàn)，在過(guò)去一年中，80%的網(wǎng)絡(luò)攻擊活動(dòng)使用了被泄露的身份。身份的濫用，特別是與新一代檢測(cè)逃避方法相結(jié)合時(shí)，將為攻擊者的違法活動(dòng)提供更大便利。盡管身份被廣泛認(rèn)為是日益增長(zhǎng)的安全威脅，但很多企業(yè)組織并沒(méi)有很好理解身份安全防護(hù)的重要價(jià)值。

在過(guò)去一年中，研究人員觀察到Kerberoasting攻擊（竊取或偽造kerberos票據(jù)的一種攻擊技術(shù)）難以置信的增加了583%，這些攻擊的目的是提升特權(quán)，并在受害企業(yè)的環(huán)境中進(jìn)行橫向移動(dòng)。Kerberoasting攻擊尤其針對(duì)與SPN相關(guān)的票據(jù)盜竊，因?yàn)檫@些票據(jù)中包含了加密的憑據(jù)，可以使用暴力破解方法脫機(jī)破解以發(fā)現(xiàn)明文憑據(jù)。

圖片

Kerberoasting攻擊飆升583%

對(duì)于攻擊者來(lái)說(shuō)，Kerberoasting是一項(xiàng)非常有效的技術(shù)，因?yàn)樗槍?duì)的是與Active Directory賬戶(hù)相關(guān)聯(lián)的SPN，而且由于這些SPN通常與服務(wù)賬戶(hù)相關(guān)聯(lián)。此外，這些攻擊很難檢測(cè)，因?yàn)镵erberos活動(dòng)在日常監(jiān)控中非常普遍，這使得攻擊者能夠成功混淆視聽(tīng)。

由于越來(lái)越多的攻擊者使用Kerberoasting，防御者應(yīng)該及時(shí)關(guān)注這一跡象，并幫助識(shí)別協(xié)議弱點(diǎn)和薄弱或受損的賬戶(hù)，找到改進(jìn)檢測(cè)的機(jī)會(huì)。報(bào)告也給出了以下建議：

查詢(xún)Windows事件日志。安全事件ID 4769（Kerberos服務(wù)票證請(qǐng)求）和事件ID 4771（Kerberos預(yù)身份驗(yàn)證失敗）都可以表示正在發(fā)生Kerberoasting。應(yīng)該過(guò)濾安全事件ID 4769以查找票據(jù)加密類(lèi)型。 

針對(duì)可能成為Kerberoasting攻擊目標(biāo)的賬戶(hù)進(jìn)行安全性審計(jì)。這可以通過(guò)檢查Active Directory設(shè)置來(lái)完成，以查看哪些服務(wù)賬戶(hù)注冊(cè)了SPN。

確保服務(wù)賬戶(hù)使用了安全的密碼。這將使它們對(duì)密碼破解更具防護(hù)力，要確保每個(gè)服務(wù)賬戶(hù)使用唯一的密碼，以防止一個(gè)漏洞影響多個(gè)賬戶(hù)。

采取進(jìn)攻性行動(dòng)?？紤]通過(guò)蜜標(biāo)（honey token）方法來(lái)檢測(cè)使用了弱密碼的SPN服務(wù)賬戶(hù)。

3.攻擊方式“左移”

今年，研究人員觀察到在眾多入侵活動(dòng)中，攻擊者似乎在多個(gè)地區(qū)和垂直行業(yè)撒下了一張大網(wǎng)，以獲取初始訪(fǎng)問(wèn)權(quán)限，然后在命中某個(gè)高價(jià)值目標(biāo)后，他們又會(huì)調(diào)整自己的后續(xù)戰(zhàn)術(shù)、技術(shù)和程序（TTPs）。以INDRIK SPIDER攻擊團(tuán)伙為例，他們會(huì)根據(jù)受感染主機(jī)和受害組織的特征來(lái)調(diào)整自己的行動(dòng)，并采取了多階段的攻擊方法。

利用面向公眾的合法應(yīng)用程序也是今年網(wǎng)絡(luò)犯罪和入侵活動(dòng)的另一個(gè)常見(jiàn)主題，在所有交互式入侵中，有20%+涉及利用面向公眾的應(yīng)用程序，而各種生產(chǎn)型應(yīng)用程序中的漏洞正是此類(lèi)活動(dòng)關(guān)注的重點(diǎn)。

在過(guò)去一年，犯罪或地下社區(qū)中的訪(fǎng)問(wèn)代理廣告增加了147%。受感染憑據(jù)供應(yīng)的急劇增加可能表明，希望購(gòu)買(mǎi)這些憑據(jù)用于后續(xù)活動(dòng)的攻擊者也在不斷增長(zhǎng)。

RMM工具允許企業(yè)的IT管理員遠(yuǎn)程支持工作站和服務(wù)器端點(diǎn)。然而，這些工具也可能會(huì)被攻擊者濫用，以試圖獲得并維持進(jìn)入受害者環(huán)境的快捷通道。在過(guò)去一年里，研究人員觀察到大約14%的入侵使用了一個(gè)或者多個(gè)RMM工具，威脅行為者利用RMM工具的入侵?jǐn)?shù)量同比增長(zhǎng)了312%。其中最受歡迎的工具是Anydesk，此外，ScreenConnect和AteraAgent等工具也經(jīng)常被犯罪分子濫用。

圖片

威脅參與者最常利用的RMM工具

4.云安全威脅形勢(shì)嚴(yán)峻

在過(guò)去的幾年中，基于云的技術(shù)采用經(jīng)歷了迅速增長(zhǎng)，云計(jì)算提供的好處使其成為企業(yè)現(xiàn)代IT基礎(chǔ)設(shè)施不可或缺的一部分。然而，對(duì)云服務(wù)需求的快速增長(zhǎng)，以及云管理和控制的復(fù)雜性，導(dǎo)致了企業(yè)的威脅攻擊面已經(jīng)發(fā)生了變化，并為使用云計(jì)算的組織帶來(lái)了重大的安全挑戰(zhàn)。

研究人員發(fā)現(xiàn)，過(guò)去一年中攻擊者對(duì)云上安全漏洞的利用率增加了95%，和云計(jì)算應(yīng)用相關(guān)的安全事件更是增長(zhǎng)了3倍。很顯然，攻擊者已經(jīng)意識(shí)到了云的重要性，并且堅(jiān)持不懈地嘗試訪(fǎng)問(wèn)云上業(yè)務(wù)和數(shù)據(jù)資產(chǎn)。

為了更好保障云計(jì)算應(yīng)用安全，研究人員給出了以下防御建議：

• 將本地安全的最佳實(shí)踐適用到云中。云工作負(fù)載服務(wù)器應(yīng)該至少遵守與其他本地服務(wù)器相同的安全策略；
• 提升云計(jì)算應(yīng)用的可見(jiàn)性。對(duì)云資產(chǎn)的可見(jiàn)性可以幫助安全從業(yè)者了解和改進(jìn)其環(huán)境的整體基線(xiàn)安全狀態(tài)和合規(guī)性；
• 了解云計(jì)算平臺(tái)的背景和核心功能。攻擊者通常會(huì)利用主流云平臺(tái)的一些合法特性來(lái)支持他們的惡意攻擊活動(dòng)，因此，云安全防御者也必須了解云平臺(tái)的關(guān)鍵技術(shù)和主要功能，這樣才能充分理解他們所負(fù)責(zé)的云環(huán)境安全。

參考鏈接：https://go.crowdstrike.com/rs/281-OBQ-266/images/report-crowdstrike-2023-threat-hunting-report.pdf