行業新聞與部落格

根據 Sophos 最新的活躍對手報告，2024 年上半年威脅行為者對合法 Microsoft 工具的濫用與 2023 年相比增加了 51% 。

研究人員在 2024 年上半年分析的 190 起網路事件中觀察到威脅行為者使用了 187 個獨特的 Microsoft Living Off the Land Binaries (LOLbins)。其中超過三分之一（64 個）在 Sophos 資料集中僅出現過一次。

LOLbin 是被濫用但合法的二進位制檔案，已存在於機器上或通常從與作業系統相關的合法來源下載。它們已簽名，當以看似無害的方式使用時，不太可能引起系統管理員的注意。

2024 年上半年攻擊者使用的最常見的 Microsoft LOLbin 是遠端桌面協議 (RDP)，近 89% 的案例顯示出 RDP 濫用的跡象。

其次是 cmd.exe（76％）、PowerShell（71％）和 net.exe（58％）。

Sophos 現場首席技術官 John Shier 解釋說，使用 Microsoft LOLbins 已被證明是攻擊者在網路上實現隱身的有效方法。

“雖然濫用一些合法工具可能會引起一些防禦者的注意，並希望引起一些警告，但濫用 Microsoft 二進位制檔案往往會產生相反的效果。許多被濫用的 Microsoft 工具是 Windows 不可或缺的一部分，並且有合法用途，但系統管理員必須瞭解它們在其環境中的使用方式以及什麼構成濫用，”Shier 解釋道。

該報告還發現，2024 年上半年目標系統上的工件的使用和種類與 2023 年相比小幅增加了 12%，從 205 個增加到 230 個。

Artifacts 是攻擊者非法帶入系統的第三方軟體包，例如 mimikatz、Cobalt Strike 和 AnyDesk。

LockBit 仍然是主要的勒索軟體運營商

報告發現，LockBit 是 2024 年上半年最主要的勒索軟體，佔所追蹤事件的五分之一（21%）。

儘管執法部門在 2024 年 2 月的“克羅諾斯行動”中高調破壞了勒索軟體即服務 (RaaS)，但這一比例與 2023 年追蹤的 LockBit 事件 (22%) 相似。

研究人員指出：“在歸因方面，高調的勒索軟體刪除事件和排行榜上出現率的下降之間的必然結果並不總是像人們希望的那樣強烈。”

接下來最突出的勒索軟體是 Akira (9%)、Faust (7.5%) 和 Qilin (6%)。

總體而言，Sophos 發現 2024 年上半年勒索軟體感染數量與 2023 年相比有所下降。2023 年，該公司處理的案件中有 70% 涉及勒索軟體，而 2024 年上半年這一比例為 61.5%。

不過，該公司表示，預計在分析 2024 年全年資料時，降幅不會那麼明顯。

攻擊者不再使用受損憑證

2024 年上半年，憑證洩露是最常見的攻擊根源，佔 39%。與 2023 年相比，這是一個巨大的下降，當時 56% 的事件的根本原因是憑證洩露。

漏洞利用是 2024 年上半年第二大常見根源，佔事故總數的 30.5%。這一數字幾乎是 2023 年的兩倍，當時漏洞利用佔事故總數的 16.2%。

第三大常見根本原因是暴力攻擊，佔 18.4%。