行業新聞與博客

根據思科 Talos 2024 年第四季度事件響應趨勢報告，威脅行為者越來越關注利用面向公眾的應用程序來獲取初始訪問權限。

利用面向公眾的應用程序是 2024 年第四季度獲取初始訪問權限的最常見方法，佔事件的 40%。

研究人員表示，這標誌着初始訪問技術的“顯著轉變”。在本季度之前，賬户入侵是一年多來他們觀察到的最常見的初始訪問方法。

Web shell 的使用日益增多是這一趨勢的主要推動因素。在 Cisco Talos 於第四季度分析的事件中，有 35% 的事件針對易受攻擊或未打補丁的 Web 應用程序部署了 Web shell。與上一季度相比，這一數字大幅增加，當時部署 Web shell 的案例不到 10%。

威脅行為者利用了一系列開源和公開可用的 Web Shell。Web Shell 和目標 Web 應用程序的功能在不同的事件中有所不同，這為攻擊者提供了多種方式來利用易受攻擊的 Web 服務器作為進入受害者環境的門户。

勒索軟件事件減少

勒索軟件和數據盜竊勒索佔思科 Talos 在第四季度處理的事件的 30%。這一比例較 2024 年第三季度的 40% 有所下降。

本季度攻擊者的駐留時間差異很大，從 17 天到 44 天不等。駐留時間越長，表明攻擊者正在尋求橫向移動、逃避防禦和 / 或識別感興趣的數據以進行泄露。

在一次觀察到的 RansomHub 事件中，操作員在執行勒索軟件之前已經訪問了受感染的網絡一個多月，並執行了內部網絡掃描、訪問備份密碼和憑證收集等操作。

在 75% 的勒索軟件事件中，攻擊者會入侵有效賬户以獲取初始訪問權和 / 或在目標系統上執行勒索軟件。

例如，RansomHub 附屬機構被發現利用受損的管理員帳户來執行勒索軟件、轉儲憑據並使用商業網絡掃描工具運行掃描。

思科 Talos 發現，第四季度 100% 的勒索軟件攻擊都使用了遠程訪問工具。這一比例較上一季度有所上升，上一季度僅有 13% 的攻擊事件使用了遠程訪問工具。

Splashtop 是最常用的遠程訪問工具，涉及 75% 的勒索軟件案件。

需要正確實施 MFA

思科 Talos 表示，其調查結果強調了在所有關鍵服務（包括所有遠程訪問和身份和訪問管理 (IAM) 服務）上實施多因素身份驗證 (MFA) 的重要性。

儘管面向公眾的應用程序的利用率激增，但賬户泄露仍然是初始訪問和泄露後活動的重要手段。

研究人員發現，第四季度所有入侵事件中有 40% 涉及 MFA 配置錯誤、薄弱或缺失。此外，所有受勒索軟件影響的組織都沒有正確實施 MFA，或者通過社會工程學繞過了 MFA。