根據(jù)4月23日發(fā)布的Mandiant 2024年M-Trends威脅報(bào)告，由于檢測工具的改進(jìn)和勒索軟件活動(dòng)的增加，受感染系統(tǒng)的發(fā)現(xiàn)速度持續(xù)加快。該分析是Google Cloud旗下Mandiant發(fā)布的第15份年度M-Trends報(bào)告。該報(bào)告基 Mandiant 2023年調(diào)查得出的數(shù)據(jù)。Mandiant Consulting副總裁Jurgen Kutscher表示，勒索軟件“往往比其他威脅載體傳播得更快”。然而，檢測速度的提高“仍然是一個(gè)積極的[發(fā)展]示。結(jié)合報(bào)告中一個(gè)令人鼓舞的發(fā)現(xiàn)，例如內(nèi)部攻擊檢測的改進(jìn)，確實(shí)清楚地看到防御者正在變得更好，他們的響應(yīng)速度和檢測此類攻擊的速度越來越快。另外一點(diǎn)，組織正在進(jìn)行的投資——培訓(xùn)以及技術(shù)、流程和威脅情報(bào)方面的持續(xù)改進(jìn)——正在產(chǎn)生積極的影響。

以下是Mandiant 2024年M-Trends威脅報(bào)告的五個(gè)要點(diǎn)。

攻擊者的駐留時(shí)間進(jìn)一步縮短

Mandiant報(bào)告稱，“駐留時(shí)間”(即檢測到系統(tǒng)受到損害之前的時(shí)間)再次大幅下降，這對(duì)網(wǎng)絡(luò)防御來說是一個(gè)積極的信號(hào)。該公司在報(bào)告中表示，到2023年，全球平均駐留時(shí)間將降至10天，而之前的M-Trends報(bào)告中為16天，是“十多年來的最低點(diǎn)”。值得注意的是，這比2017年101天的中位駐留時(shí)間大幅下降。

據(jù)Mandiant報(bào)道，減少駐留時(shí)間的推動(dòng)因素之一是內(nèi)部檢測到的威脅比例有所提高，從前一年的37%上升到了46%。

勒索軟件攻擊明顯增加

Mandiant表示，駐留時(shí)間減少的第二個(gè)主要驅(qū)動(dòng)因素并不那么令人鼓舞，勒索軟件攻擊比例的增加也是檢測加速的部分原因。Mandiant發(fā)現(xiàn)2023年，23%的事件涉及勒索軟件，而2022年這一比例為18%，這一數(shù)字又回到了2021年的水平。

Kutsche承認(rèn)，Mandiant的勒索軟件統(tǒng)計(jì)還包括數(shù)據(jù)勒索攻擊，例如去年廣為人知的MOVEit攻擊活動(dòng)，這可能是勒索軟件數(shù)量增加的一個(gè)因素。他還指出，俄羅斯2022年入侵烏克蘭可能是抑制當(dāng)年勒索軟件攻擊比例的一個(gè)因素，相比之下，2023年勒索軟件攻擊對(duì)網(wǎng)絡(luò)犯罪分子造成的破壞較小。

漏洞利用呈上升趨勢

2023年，利用漏洞仍然是最常見的初始入侵方法，占入侵的38%。這一比例比前一年的32%有所上升。仍位居第二的是網(wǎng)絡(luò)釣魚，其占初始感染的比例從2022年的22%下降至去年的17%。

2023年最常被利用的漏洞是MOVEit Transfer(CVE-2023-34362)中的缺陷，該漏洞引發(fā)了廣泛的數(shù)據(jù)盜竊和勒索事件。位居第二的是Oracle電子商務(wù)套件中的漏洞(CVE-2022-21587)，第三個(gè)最常被利用的是Barracuda電子郵件安全網(wǎng)關(guān)中的關(guān)鍵漏洞(CVE-2023-2868)。值得注意的是，第一和第三最有針對(duì)性的漏洞與邊緣設(shè)備有關(guān)。

“大多數(shù)受害者組織沒有一個(gè)簡單的機(jī)制來檢測這些類型的邊緣設(shè)備的危害，”庫徹說?！耙虼耍鼈?yōu)楣粽咛峁┝吮３珠L期堅(jiān)持的強(qiáng)大地位?！?/span>

定向攻擊企業(yè)產(chǎn)品

根據(jù)Mandiant的調(diào)查結(jié)果，正如2023年最常被利用的漏洞(涉及托管文件傳輸、商業(yè)軟件和電子郵件網(wǎng)關(guān))所強(qiáng)調(diào)的那樣，攻擊者越來越多地針對(duì)以企業(yè)為中心的技術(shù)。特別是，攻擊者更加關(guān)注發(fā)現(xiàn)和利用企業(yè)產(chǎn)品中的零日漏洞，例如MOVEit和Barracuda ESG中的缺陷。Mandiant研究人員觀察到2023年有36個(gè)針對(duì)企業(yè)特定技術(shù)的零日漏洞。雖然沒有前一年的確切比較數(shù)字，但Mandiant透露，2022年有22項(xiàng)企業(yè)技術(shù)被發(fā)現(xiàn)成為零日利用的目標(biāo)。

與此同時(shí)，消費(fèi)技術(shù)產(chǎn)品制造商“在構(gòu)建更好的流程和控制方面確實(shí)取得了巨大進(jìn)步，這使得找到零日漏洞變得更加困難，”庫徹說。他說，企業(yè)系統(tǒng)零日漏洞利用的增加“也表明了許多威脅行為者正在做出的承諾和投資”。

Mandiant報(bào)告稱，它總共跟蹤了2023年被利用的97個(gè)不同的零日漏洞，比一年前增加了約56%。

網(wǎng)絡(luò)邊緣設(shè)備成為攻擊者的新領(lǐng)域

Mandiant警告說，國家資助的黑客已將注意力轉(zhuǎn)移到邊緣設(shè)備上，以應(yīng)對(duì)改進(jìn)的網(wǎng)絡(luò)掃描，這些設(shè)備的端點(diǎn)檢測不完整，而且專有軟件阻礙了取證分析。報(bào)告稱他們觀察到與國家關(guān)系密切的攻擊者在針對(duì)邊緣設(shè)備時(shí)表現(xiàn)出了高水平的深入知識(shí)。這些知識(shí)不僅涵蓋了攻擊期間使用的惡意軟件，還涵蓋了用于訪問這些設(shè)備的零日漏洞。

俄羅斯情報(bào)黑客和俄語網(wǎng)絡(luò)犯罪分子的目標(biāo)設(shè)備包括防火墻、虛擬專用網(wǎng)絡(luò)和電子郵件過濾器。該公司在一份列出2023年活動(dòng)趨勢的年度報(bào)告中表示，國家支持下的中國黑客尤其表現(xiàn)出了對(duì)邊緣設(shè)備的深入了解。許多設(shè)備(例如VPN)通常會(huì)運(yùn)行數(shù)月而不重新啟動(dòng)，從而使黑客能夠獲得持久性并長時(shí)間保留在目標(biāo)網(wǎng)絡(luò)中而不被發(fā)現(xiàn)。

報(bào)告稱：攻擊者更加注重逃避。他們的目標(biāo)是避免端點(diǎn)檢測和響應(yīng)等檢測技術(shù)，并通過瞄準(zhǔn)邊緣設(shè)備、利用‘靠地生存和其他技術(shù)，或通過使用零日漏洞，盡可能長時(shí)間地維持網(wǎng)絡(luò)持久性。關(guān)注邊緣設(shè)備的一個(gè)副作用是：根據(jù)Mandiant的數(shù)據(jù)，網(wǎng)絡(luò)釣魚雖然仍然非常常見，但在2023年有所下降。Mandiant歐洲、亞洲和非洲咨詢管理總監(jiān)斯圖爾特·麥肯齊(Stuart McKenzie)表示：“對(duì)于民族國家攻擊者來說，重點(diǎn)已轉(zhuǎn)向針對(duì)常用的低可見性工具，以進(jìn)行旨在竊取數(shù)據(jù)的秘密活動(dòng)?！?/span>

當(dāng)然，肆意攻擊、指責(zé)C國，是Mandiant報(bào)告的一貫風(fēng)格。2024年M-Trends報(bào)告認(rèn)為零日漏洞利用增加的一個(gè)主要推動(dòng)力是與C國有關(guān)的攻擊者活動(dòng)的擴(kuò)大。邊緣設(shè)備一直是人們特別關(guān)注的焦點(diǎn)，報(bào)告認(rèn)為這也與與C國關(guān)系密切。攻擊者通過利用漏洞(特別是零日漏洞)來訪問邊緣設(shè)備，并隨后部署自定義惡意軟件。

參考資源

1、https://www.crn.com/news/security/2024/5-big-takeaways-from-mandiant-s-2024-threat-report

2、https://www.securityweek.com/the-battle-continues-mandiant-report-shows-improved-detection-but-persistent-adversarial-success/

3、https://www.govinfosecurity.com/state-hackers-new-frontier-network-edge-devices-a-24920

4、https://services.google.com/fh/files/misc/m-trends-2024.pdf

文章來源：網(wǎng)空閑話plus