威脅狩獵（Cyber threat hunting）是一種主動的網(wǎng)絡防御活動，通過主動和持續(xù)地搜索網(wǎng)絡，可以檢測和發(fā)現(xiàn)現(xiàn)有數(shù)字化環(huán)境中的各種安全威脅。近日，專業(yè)安全廠商CrowdStrike發(fā)布了《2023年威脅狩獵研究報告》，對過去一年中威脅狩獵專家所觀察到的最新攻擊態(tài)勢和攻擊手法進行了分析和總結(jié)。

報告數(shù)據(jù)顯示：目前攻擊者的平均突破時間已經(jīng)縮短至79分鐘，創(chuàng)歷史新低，其中所記錄到的最快攻擊突破時間僅為7分鐘；Kerberoasting身份攻擊同比增長583%，這反映了基于身份的入侵活動正在大規(guī)模升級；此外，攻擊者越來越多地利用合法遠程監(jiān)控管理（RMM）工具，來規(guī)避檢測并訪問敏感數(shù)據(jù)、部署勒索軟件或采取更具針對性的后續(xù)策略。

1.網(wǎng)絡入侵態(tài)勢分析

在過去一年中，研究人員觀察到交互式入侵數(shù)量持續(xù)攀升，同比增長40%。其中，針對金融服務行業(yè)的交互式入侵活動數(shù)量增加了80%以上。金融行業(yè)的安全管理者們應該密切關注這一趨勢，因為隨著活動數(shù)量的增加，威脅的多樣性也在增加。今年，研究人員發(fā)現(xiàn)，針對金融行業(yè)的活動涵蓋了所有攻擊動機類型（如經(jīng)濟動機、政治動機、滋擾/破壞、間諜活動等），并全面覆蓋了所有主流操作系統(tǒng)和云基礎設施。

圖片

交互式入侵數(shù)量走勢圖

出于經(jīng)濟動機的電子犯罪（eCrime）威脅行為者主要以金融部門為目標，其中一些攻擊者專注于竊取加密貨幣或不可替代代幣（NFT），而機會主義的“big game hunting”（BGH）勒索軟件和數(shù)據(jù)盜竊活動則是金融機構(gòu)面臨的更嚴重威脅。由于受害組織自身的敏感性以及需要維持系統(tǒng)正常運行，很多金融機構(gòu)不得不滿足攻擊者支付贖金的要求。

此外，科技行業(yè)也仍然是網(wǎng)絡攻擊者的高價值目標，勒索軟件攻擊是該行業(yè)面臨的最普遍安全威脅。技術部門對高度敏感數(shù)據(jù)的依賴和訪問使其成為勒索攻擊組織的重點目標?？萍夹袠I(yè)面臨的其他主要網(wǎng)絡犯罪威脅包括服務濫用、訪問代理和信息盜竊等。

2.基于身份的威脅快速增長

掌握過去攻擊者的行為趨勢是形成有效和主動防御的關鍵。報告研究發(fā)現(xiàn)，在過去一年中，80%的網(wǎng)絡攻擊活動使用了被泄露的身份。身份的濫用，特別是與新一代檢測逃避方法相結(jié)合時，將為攻擊者的違法活動提供更大便利。盡管身份被廣泛認為是日益增長的安全威脅，但很多企業(yè)組織并沒有很好理解身份安全防護的重要價值。

在過去一年中，研究人員觀察到Kerberoasting攻擊（竊取或偽造kerberos票據(jù)的一種攻擊技術）難以置信的增加了583%，這些攻擊的目的是提升特權(quán)，并在受害企業(yè)的環(huán)境中進行橫向移動。Kerberoasting攻擊尤其針對與SPN相關的票據(jù)盜竊，因為這些票據(jù)中包含了加密的憑據(jù)，可以使用暴力破解方法脫機破解以發(fā)現(xiàn)明文憑據(jù)。

圖片

Kerberoasting攻擊飆升583%

對于攻擊者來說，Kerberoasting是一項非常有效的技術，因為它針對的是與Active Directory賬戶相關聯(lián)的SPN，而且由于這些SPN通常與服務賬戶相關聯(lián)。此外，這些攻擊很難檢測，因為Kerberos活動在日常監(jiān)控中非常普遍，這使得攻擊者能夠成功混淆視聽。

由于越來越多的攻擊者使用Kerberoasting，防御者應該及時關注這一跡象，并幫助識別協(xié)議弱點和薄弱或受損的賬戶，找到改進檢測的機會。報告也給出了以下建議：

查詢Windows事件日志。安全事件ID 4769（Kerberos服務票證請求）和事件ID 4771（Kerberos預身份驗證失?。┒伎梢员硎菊诎l(fā)生Kerberoasting。應該過濾安全事件ID 4769以查找票據(jù)加密類型。 

針對可能成為Kerberoasting攻擊目標的賬戶進行安全性審計。這可以通過檢查Active Directory設置來完成，以查看哪些服務賬戶注冊了SPN。

確保服務賬戶使用了安全的密碼。這將使它們對密碼破解更具防護力，要確保每個服務賬戶使用唯一的密碼，以防止一個漏洞影響多個賬戶。

采取進攻性行動。考慮通過蜜標（honey token）方法來檢測使用了弱密碼的SPN服務賬戶。

3.攻擊方式“左移”

今年，研究人員觀察到在眾多入侵活動中，攻擊者似乎在多個地區(qū)和垂直行業(yè)撒下了一張大網(wǎng)，以獲取初始訪問權(quán)限，然后在命中某個高價值目標后，他們又會調(diào)整自己的后續(xù)戰(zhàn)術、技術和程序（TTPs）。以INDRIK SPIDER攻擊團伙為例，他們會根據(jù)受感染主機和受害組織的特征來調(diào)整自己的行動，并采取了多階段的攻擊方法。

利用面向公眾的合法應用程序也是今年網(wǎng)絡犯罪和入侵活動的另一個常見主題，在所有交互式入侵中，有20%+涉及利用面向公眾的應用程序，而各種生產(chǎn)型應用程序中的漏洞正是此類活動關注的重點。

在過去一年，犯罪或地下社區(qū)中的訪問代理廣告增加了147%。受感染憑據(jù)供應的急劇增加可能表明，希望購買這些憑據(jù)用于后續(xù)活動的攻擊者也在不斷增長。

RMM工具允許企業(yè)的IT管理員遠程支持工作站和服務器端點。然而，這些工具也可能會被攻擊者濫用，以試圖獲得并維持進入受害者環(huán)境的快捷通道。在過去一年里，研究人員觀察到大約14%的入侵使用了一個或者多個RMM工具，威脅行為者利用RMM工具的入侵數(shù)量同比增長了312%。其中最受歡迎的工具是Anydesk，此外，ScreenConnect和AteraAgent等工具也經(jīng)常被犯罪分子濫用。

圖片

威脅參與者最常利用的RMM工具

4.云安全威脅形勢嚴峻

在過去的幾年中，基于云的技術采用經(jīng)歷了迅速增長，云計算提供的好處使其成為企業(yè)現(xiàn)代IT基礎設施不可或缺的一部分。然而，對云服務需求的快速增長，以及云管理和控制的復雜性，導致了企業(yè)的威脅攻擊面已經(jīng)發(fā)生了變化，并為使用云計算的組織帶來了重大的安全挑戰(zhàn)。

研究人員發(fā)現(xiàn)，過去一年中攻擊者對云上安全漏洞的利用率增加了95%，和云計算應用相關的安全事件更是增長了3倍。很顯然，攻擊者已經(jīng)意識到了云的重要性，并且堅持不懈地嘗試訪問云上業(yè)務和數(shù)據(jù)資產(chǎn)。

為了更好保障云計算應用安全，研究人員給出了以下防御建議：

• 將本地安全的最佳實踐適用到云中。云工作負載服務器應該至少遵守與其他本地服務器相同的安全策略；
• 提升云計算應用的可見性。對云資產(chǎn)的可見性可以幫助安全從業(yè)者了解和改進其環(huán)境的整體基線安全狀態(tài)和合規(guī)性；
• 了解云計算平臺的背景和核心功能。攻擊者通常會利用主流云平臺的一些合法特性來支持他們的惡意攻擊活動，因此，云安全防御者也必須了解云平臺的關鍵技術和主要功能，這樣才能充分理解他們所負責的云環(huán)境安全。

參考鏈接：https://go.crowdstrike.com/rs/281-OBQ-266/images/report-crowdstrike-2023-threat-hunting-report.pdf