根據(jù)思科安全報(bào)告對(duì)遙測(cè)數(shù)據(jù)的最新分析，2020年上半年，最嚴(yán)重也最常見的端點(diǎn)威脅是無(wú)文件惡意軟件。

所謂無(wú)文件威脅是指感染后在內(nèi)存中運(yùn)行的惡意代碼，但并不存儲(chǔ)在硬盤驅(qū)動(dòng)器上。報(bào)告顯示：Kovter、Poweliks、Divegent和LemonDuck是四個(gè)最常見的無(wú)文件惡意軟件。

威脅等級(jí)排在無(wú)文件威脅之后的是流行安全工具，對(duì)端點(diǎn)安全來(lái)說(shuō)，一個(gè)普遍的嚴(yán)重威脅是那些在漏洞利用前和利用后都能發(fā)揮作用的雙重用途安全工具。報(bào)告顯示，此類流行工具包括PowerShell Empire、Cobalt Strike、Powersploit和Metasploit。

思科研究員本·納霍尼在博客中寫道：“雖然這些工具非常適合用于非惡意活動(dòng)，例如滲透測(cè)試，但不良行為者也經(jīng)常使用它們。”

憑證轉(zhuǎn)儲(chǔ)工具是第三嚴(yán)重的威脅類別。報(bào)告發(fā)現(xiàn)，在2020年上半年，攻擊者從受感染計(jì)算機(jī)中竊取登錄憑據(jù)最常用的工具是Mimikatz。

IoC威脅嚴(yán)重性劃分 數(shù)據(jù)來(lái)源：思科

上述三大威脅活動(dòng)預(yù)計(jì)將持續(xù)到今年下半年。美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)上周表示，已經(jīng)發(fā)現(xiàn)攻擊者在使用Cobalt Strike商業(yè)滲透測(cè)試工具攻擊商業(yè)和聯(lián)邦政府網(wǎng)絡(luò)。CISA還觀測(cè)到國(guó)家黑客組織成功部署了開源工具M(jìn)imikatz來(lái)竊取憑據(jù)。

關(guān)鍵IoC類別占比

前三個(gè)威脅類別占分析期間發(fā)現(xiàn)的關(guān)鍵嚴(yán)重性指標(biāo)(IoC)的75%;其余25%由多種不同的惡意軟件組成，包括：

• 勒索軟件(Ryuk、Maze、BitPaymer等);
• 蠕蟲(Ramnit和Qakbot);
• 遠(yuǎn)程訪問(wèn)木馬(Corebot和Glupteba);
• 銀行木馬(Dridex、Dyre、Astaroth和Azorult);
• 各種下載器、wipers和Rootkit。

在MITER ATT&CK策略框架中分析威脅

分析IoC數(shù)據(jù)的另一種方法是使用MITER ATT&CK框架中列出的戰(zhàn)術(shù)類別。在Endpoint Security解決方案中，每個(gè)IoC都包含有關(guān)采用的MITER ATT&CK策略的信息。這些策略可以為攻擊的不同部分的目標(biāo)提供上下文，例如通過(guò)網(wǎng)絡(luò)橫向移動(dòng)或泄露機(jī)密信息。

研究人員解釋說(shuō)：“多種策略可以應(yīng)用于單個(gè)IoC。”例如，一個(gè)涵蓋雙重用途工具(如PowerShell Empire)的IoC涵蓋了三種策略：

• 防御逃避(可以隱藏其活動(dòng)以免被發(fā)現(xiàn));
• 執(zhí)行(它可以運(yùn)行其他模塊來(lái)執(zhí)行惡意任務(wù));
• 憑據(jù)訪問(wèn)(它可以加載竊取憑據(jù)的模塊)。

下表是每種攻擊策略在IoC中的占比：

迄今為止，最常見的戰(zhàn)術(shù)是防御性規(guī)避，占IoC警報(bào)的57%。由于攻擊者經(jīng)常在多階段攻擊中啟動(dòng)更多惡意代碼，因此執(zhí)行頻率也很高，占41%。

“例如，使用雙重用途工具建立持久性的攻擊者可以通過(guò)在受感染計(jì)算機(jī)上下載并執(zhí)行憑據(jù)轉(zhuǎn)儲(chǔ)工具或勒索軟件來(lái)跟進(jìn)。”研究者指出，在嚴(yán)重性較高的IoC中，執(zhí)行比防御逃避更為常見。

排在第三位和第四位的是通常用來(lái)建立立足點(diǎn)的兩種攻擊策略，即初始訪問(wèn)和駐留，分別占到11%和12%的時(shí)間。駐留只出現(xiàn)在12%的IoC中。

最后，排名第五的是命令與控制通訊，在所看到的IoC中占10%。

MITER ATT&CK策略在IoC中的占比，描繪了整體威脅態(tài)勢(shì)，但將MITER ATT&CK策略與嚴(yán)重程度的IoC相結(jié)合時(shí)，事情變得更加有趣：

按嚴(yán)重程度MITER ATT&CK策略分組的嚴(yán)重IoC

首先，在高嚴(yán)重性IoC中，根本看不到其中兩種策略(初始訪問(wèn)和提取)，而另外兩種策略(發(fā)現(xiàn)和提權(quán))則不足1%，相當(dāng)于消除了三分之一的高占比策略。

有趣的是排名發(fā)生的變化。前三名保持不變，但在關(guān)鍵嚴(yán)重性IoC中執(zhí)行(Execution)比防御規(guī)避更常見。按嚴(yán)重性過(guò)濾時(shí)，其他重要?jiǎng)幼靼ǎ?/p>

• 駐留出現(xiàn)在38%的關(guān)鍵IoC中，但在關(guān)鍵IoC中的出現(xiàn)率高達(dá)38%;
• 橫向運(yùn)動(dòng)從IoC的4%躍升至22%;
• 憑據(jù)訪問(wèn)權(quán)限上升了三名，從4%增加到21%;
• “影響”和“收集”策略都看到了適度的增長(zhǎng);
• 特權(quán)升級(jí)從8%下降到0.3%;
• 初始訪問(wèn)完全從列表中消失，以前出現(xiàn)在第四位。

如何防御關(guān)鍵端點(diǎn)威脅

以上是IoC數(shù)據(jù)的簡(jiǎn)要分析。有了這些常見威脅類別和策略的信息，我們?nèi)绾伪Ｗo(hù)端點(diǎn)?以下是一些建議：

1. 限制執(zhí)行未知文件

如果惡意文件無(wú)法執(zhí)行，將無(wú)法進(jìn)行惡意活動(dòng)。對(duì)允許在您環(huán)境中的端點(diǎn)上運(yùn)行的應(yīng)用程序使用組策略和/或“白名單”。這并不是說(shuō)應(yīng)該利用每個(gè)可用的控件來(lái)完全鎖定端點(diǎn)——過(guò)于嚴(yán)格地限制最終用戶權(quán)限可能會(huì)產(chǎn)生可用性問(wèn)題。

如果您的企業(yè)將雙重用途安全工具用于遠(yuǎn)程管理等活動(dòng)，請(qǐng)嚴(yán)格限制允許運(yùn)行該工具的賬戶數(shù)量，僅在需要該工具時(shí)才授予臨時(shí)訪問(wèn)權(quán)限。

2. 監(jiān)控進(jìn)程和注冊(cè)表

注冊(cè)表修改和進(jìn)程注入是無(wú)文件惡意軟件用來(lái)隱藏其活動(dòng)的兩種主要技術(shù)。監(jiān)視注冊(cè)表中的異常更改并查找奇怪的進(jìn)程注入嘗試將大大有助于防止此類威脅站穩(wěn)腳跟。

3. 監(jiān)視端點(diǎn)之間的連接

密切注意不同端點(diǎn)之間的連接以及與環(huán)境中服務(wù)器的連接。研究是否有兩臺(tái)計(jì)算機(jī)不應(yīng)該連接，或者端點(diǎn)是否以不正常的方式與服務(wù)器通信。這可能表明不良行為者試圖在網(wǎng)絡(luò)上橫向移動(dòng)。

研究者指出：“盡管上述(關(guān)鍵問(wèn)題)在總體IoC警報(bào)中只占很小的一部分，但它們無(wú)疑是最具破壞性的。一旦發(fā)現(xiàn)，需要立即予以關(guān)注。此外，絕大多數(shù)警報(bào)屬于中低類別，且種類繁多。”

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文