行业新闻与博客

根据思科 Talos 2024 年第四季度事件响应趋势报告，威胁行为者越来越关注利用面向公众的应用程序来获取初始访问权限。

利用面向公众的应用程序是 2024 年第四季度获取初始访问权限的最常见方法，占事件的 40%。

研究人员表示，这标志着初始访问技术的“显著转变”。在本季度之前，账户入侵是一年多来他们观察到的最常见的初始访问方法。

Web shell 的使用日益增多是这一趋势的主要推动因素。在 Cisco Talos 于第四季度分析的事件中，有 35% 的事件针对易受攻击或未打补丁的 Web 应用程序部署了 Web shell。与上一季度相比，这一数字大幅增加，当时部署 Web shell 的案例不到 10%。

威胁行为者利用了一系列开源和公开可用的 Web Shell。Web Shell 和目标 Web 应用程序的功能在不同的事件中有所不同，这为攻击者提供了多种方式来利用易受攻击的 Web 服务器作为进入受害者环境的门户。

勒索软件事件减少

勒索软件和数据盗窃勒索占思科 Talos 在第四季度处理的事件的 30%。这一比例较 2024 年第三季度的 40% 有所下降。

本季度攻击者的驻留时间差异很大，从 17 天到 44 天不等。驻留时间越长，表明攻击者正在寻求横向移动、逃避防御和 / 或识别感兴趣的数据以进行泄露。

在一次观察到的 RansomHub 事件中，操作员在执行勒索软件之前已经访问了受感染的网络一个多月，并执行了内部网络扫描、访问备份密码和凭证收集等操作。

在 75% 的勒索软件事件中，攻击者会入侵有效账户以获取初始访问权和 / 或在目标系统上执行勒索软件。

例如，RansomHub 附属机构被发现利用受损的管理员帐户来执行勒索软件、转储凭据并使用商业网络扫描工具运行扫描。

思科 Talos 发现，第四季度 100% 的勒索软件攻击都使用了远程访问工具。这一比例较上一季度有所上升，上一季度仅有 13% 的攻击事件使用了远程访问工具。

Splashtop 是最常用的远程访问工具，涉及 75% 的勒索软件案件。

需要正确实施 MFA

思科 Talos 表示，其调查结果强调了在所有关键服务（包括所有远程访问和身份和访问管理 (IAM) 服务）上实施多因素身份验证 (MFA) 的重要性。

尽管面向公众的应用程序的利用率激增，但账户泄露仍然是初始访问和泄露后活动的重要手段。

研究人员发现，第四季度所有入侵事件中有 40% 涉及 MFA 配置错误、薄弱或缺失。此外，所有受勒索软件影响的组织都没有正确实施 MFA，或者通过社会工程学绕过了 MFA。