攻擊停留時間平均超過10天！IAB「隱形」入侵讓多個攻擊者可能鎖定同一目標

劇本主要發現

• 尚未發展成如勒索軟體等重大攻擊的「隱形」入侵，以及 IT 安全資源較少的小型組織和行業領域，攻擊者在被偵測出來前停留時間的中位數更長。受勒索軟體攻擊的組織，攻擊者的平均停留時間為 11 天。遭到入侵但尚未發生如勒索軟體等重大攻擊 (佔所有事件的 23%) 影響的組織，中位停留時間則為 34 天。教育領域或員工少於 500 人的組織，停留時間則更長。
   
• 停留時間越長，進入點越多，組織越容易受到多個攻擊者的攻擊。鑑識證據發現了多個攻擊者的實際案例，包括 IAB、勒索軟體團體、加密挖礦程式，有時甚至是多個勒索軟體操作者同時鎖定同一個組織 。
   
• 儘管使用遠端桌面通訊協定 (RDP) 進行存取的情形有所下降，但攻擊者使用這項工具進行內部橫向移動的情形增加了。2020 年，攻擊者使用 RDP 進行外部活動佔所有分析案例的 32%，但到 2021 年這一比例下降到 13%。雖然這種轉變是好的，表明組織已經改進了對外部受攻擊面的管理，但攻擊者仍繼續濫用 RDP 進行內部橫向移動。Sophos 發現，2021 年攻擊者在 82% 的案例中使用 RDP 進行內部橫向移動，高於 2020 年的 69%。
   
• 在攻擊中結合常用的工具，是顯示入侵者活動的強烈警訊。例如，事件調查發現，2021 年 64% 的案例中同時出現了 PowerShell 和惡意的非 PowerShell 腳本；同時出現 PowerShell 和 Cobalt Strike 的情況佔 56%；同時發現 PowerShell 和 PsExec 的情況佔 51%。偵測到這些關聯性時，可以作為即將發生的攻擊的預警，或確認網路上是否存在主動攻擊。
   
• 50% 的勒索軟體事件都與資料外流有關——根據可獲得的資料顯示，資料外流到部署勒索軟體之間的平均間隔為 4.28 天。Sophos 在 2021 年回應的事件中有 73% 和勒索軟體有關。在這些勒索軟體事件中，50% 外流過資料。資料外流通常是勒索軟體發布攻擊前的最後階段，事件調查顯示，它們之間的平均間隔為 4.28 天，中位數為 1.84 天。
   
• Conti 是 2021 年最多產的勒索軟體，佔總體事件的 18%。REvil 勒索軟體佔 10%，而其他主流的勒索軟體，包括攻擊美國油管公司 Coloial Pipeline 的惡名昭彰的勒索軟體即服務 DarkSide，以及 2021 年 3 月的 Black KingDom，這是 ProxyLogon 漏洞之後於 2021 年 3 月出現的新勒索軟體面孔。在本次分析的 144 起事件中，發現了 41 個 不同的勒索軟體攻擊團體。其中，大約 28 個是 2021 年首次被發現的新團體。2020 年事件中出現的 18 個勒索軟體團體已從 2021 年的名單中消失。

「值得注意的是，活動很少或沒有活動並不意味著組織沒有遭到入侵。例如，可能還有更多目前未知的 ProxyLogon 或 ProxyShell 漏洞，而攻擊者已經將 Web Shell 和後門程式植入目標中以進行持續存取。這些目標將一直處於安靜狀態，直到存取權限被使用或出售。防禦人員必須對任何可疑訊號保持警惕並立即進行調查。他們需要修補嚴重錯誤，尤其是廣泛使用軟體中的錯誤，並且優先強化遠距存取服務的安全性。直到公開的入口點被關閉，而且攻擊者為建立和保留存取權限所做的一切都被徹底清除之前，幾乎任何有心人士都可以循此途徑進入，而且很可能會發生。」