Sophos《2022 年主動攻擊者劇本》揭露攻擊者停留時間增加了 36%

原因是其利用了 ProxyLogon 和 ProxyShell 漏洞，以及初始存取代理 (IAB)，儘管使用遠端桌面通訊協定進行外部存取的情形有所下降，但攻擊者使用這項工具進行內部橫向移動的情形增加了

Sophos 今天發布《2022 年主動攻擊者劇本》(Active Adversary Playbook 2022) 報告，詳細介紹 Sophos Rapid Response 團隊在 2021 年看到的攻擊者行為。調查結果顯示攻擊者停留的時間增加了 36%。2021 年入侵者停留時間中位數為 15 天，而 2020 年只有 11 天。該報告還揭露 Microsoft Exchange 中 ProxyShell 漏洞造成的影響。Sophos 認為某些初始訪問代理 (IAB) 先入侵了這些網路，然後將存取權限出售給其他攻擊者。

Sophos 資深安全顧問 John Shier 表示：「網路犯罪的世界已經變得非常多樣化和專業化。IAB 會入侵目標、進行探索性偵察或安裝後門程式，然後將存取權限出售給想要發動攻擊的勒索軟體團體，而這種作法形成了一個分工的犯罪行業。

「在這個日益變動、非常專業的網路威脅環境中，企業很難跟上攻擊者不斷變化的工具和手法。重要的是，防禦人員必須了解在攻擊鏈的每個階段應該觀察的內容，如此一來才能盡快偵測和消除攻擊。」

Sophos 的研究還表明，入侵者在較小型組織環境中停留時間更久。攻擊者在員工人數 250 人的組織中停留約 51 天，而在員工人數 3,000 到 5,000 人的組織中通常只停留約 20 天。

Shier 繼續表示：「攻擊者認為更大型組織更有價值，因此他們更有動力入侵，取得想要的東西後就離開。較小型組織能獵取的價值較少，因此攻擊者會潛伏在網路花更多時間。也有可能是這些攻擊者經驗不足，需要更多時間來安排入侵進入網路後的下一步。最後，較小型組織通常沒有能力看出攻擊鏈，無法偵測和驅逐這些攻擊者，使得他們得以延長停留的時間。

「隨著尚未修補的 ProxyLogon 和 ProxyShell 漏洞被發現以及 IAB 興起，我們看到更多證據表明在單一目標中同時有多個攻擊者。如果這麼多攻擊者都鎖定同一個網路，那麼他們會想要盡快行動以搶得先機。」

劇本中的其他主要發現包括：

• 尚未發展成如勒索軟體等重大攻擊的「隱形」​​入侵，以及 IT 安全資源較少的小型組織和行業領域，攻擊者在被偵測出來前停留時間的中位數更長。受勒索軟體攻擊的組織，攻擊者的平均停留時間為 11 天。遭到入侵但尚未發生如勒索軟體等重大攻擊 (佔所有事件的 23%) 影響的組織，中位停留時間則為 34 天。教育領域或員工少於 500 人的組織，停留時間則更長
• 停留時間越長，進入點越多，組織越容易受到多個攻擊者的攻擊。鑑識證據發現了多個攻擊者的實際案例，包括 IAB、勒索軟體團體、加密挖礦程式，有時甚至是多個勒索軟體操作者同時鎖定同一個組織
• 儘管使用遠端桌面通訊協定 (RDP) 進行存取的情形有所下降，但攻擊者使用這項工具進行內部橫向移動的情形增加了。2020 年，攻擊者使用 RDP 進行外部活動佔所有分析案例的 32%，但到 2021 年這一比例下降到 13%。雖然這種轉變是好的，表明組織已經改進了對外部受攻擊面的管理，但攻擊者仍繼續濫用 RDP 進行內部橫向移動。Sophos 發現，2021 年攻擊者在 82% 的案例中使用 RDP 進行內部橫向移動，高於 2020 年的 69%
• 在攻擊中結合常用的工具，是顯示入侵者活動的強烈警訊。例如，事件調查發現，2021 年 64% 的案例中同時出現了 PowerShell 和惡意的非 PowerShell 腳本；同時出現 PowerShell 和 Cobalt Strike 的情況佔 56%；同時發現 PowerShell 和 PsExec 的情況佔 51%。偵測到這些關聯性時，可以作為即將發生的攻擊的預警，或確認網路上是否存在主動攻擊
• 50% 的勒索軟體事件都與資料外流有關——根據可獲得的資料顯示，資料外流到部署勒索軟體之間的平均間隔為 4.28 天。Sophos 在 2021 年回應的事件中有 73% 和勒索軟體有關。在這些勒索軟體事件中，50% 外流過資料。資料外流通常是勒索軟體發布攻擊前的最後階段，事件調查顯示，它們之間的平均間隔為 4.28 天，中位數為 1.84 天
• Conti 是 2021 年最多產的勒索軟體，佔總體事件的 18%。REvil 勒索軟體佔 10%，而其他主流的勒索軟體，包括攻擊美國油管公司 Coloial Pipeline 的惡名昭彰的勒索軟體即服務 DarkSide，以及 2021 年 3 月的 Black KingDom，這是 ProxyLogon 漏洞之後於 2021 年 3 月出現的新勒索軟體面孔。在本次分析的 144 起事件中，發現了 41 個 不同的勒索軟體攻擊團體。其中，大約 28 個是 2021 年首次被發現的新團體。2020 年事件中出現的 18 個勒索軟體團體已從 2021 年的名單中消失

Shier 進一步補充：「防禦人員應注意的危險訊號包括偵測到合法工具、結合使用工具，或在意外地點或不常見時間進行的活動。

「值得注意的是，活動很少或沒有活動並不意味著組織沒有遭到入侵。例如，可能還有更多目前未知的 ProxyLogon 或 ProxyShell 漏洞，而攻擊者已經將 Web Shell 和後門程式植入目標中以進行持續存取。這些目標將一直處於安靜狀態，直到存取權限被使用或出售。防禦人員必須對任何可疑訊號保持警惕並立即進行調查。他們需要修補嚴重錯誤，尤其是廣泛使用軟體中的錯誤，並且優先強化遠距存取服務的安全性。直到公開的入口點被關閉，而且攻擊者為建立和保留存取權限所做的一切都被徹底清除之前，幾乎任何有心人士都可以循此途徑進入，而且很可能會發生。」

《2022 年 Sophos 主動攻擊者劇本》研究了 2021 年的 144 起事件，涵蓋美國、加拿大、英國、德國、義大利、西班牙、法國、瑞士、比利時、荷蘭、奧地利、阿拉伯聯合大公國、沙烏地阿拉伯、菲律賓、巴哈馬、安哥拉和日本等地各種規模和產業的組織。最具代表性的行業是製造業 (17%)，其次是零售業 (14%)、醫療保健 (13%)、資訊科技 (9%)、建築業 (8%) 和教育 (6%)。

這份 Sophos 報告的目的是幫助安全團隊了解攻擊者在攻擊期間做了什麼，以及如何發現和防禦網路上的惡意活動。若要了解攻擊者行為、工具和技術的更多資訊，請閱讀 Sophos News 上的《2022 年 Sophos 主動攻擊者劇本》。