当我们思考2023年的网络威胁格局时,“隐蔽”这一主题占据了主导地位。由于威胁防御技术和威胁意识的进步,攻击者越来越多地采用和依赖能让他们更快移动和躲避检测的技术来应对,这些技术在电子犯罪中的使用很明显。对许多犯罪分子来说,电子犯罪是一种极具吸引力且利润丰厚的行为。在2023年的威胁格局中,电子犯罪仍然是最普遍的威胁,因为攻击者利用各种技术最大限度地提高隐蔽性、速度和影响。

一、引言‍‍‍‍‍‍‍‍‍‍‍‍‍‍

虽然勒索软件仍然是许多大型狩猎(BGH)攻击者的首选工具,但数据盗窃勒索仍然是一个有吸引力的且更容易的盈利途径。2022年至2023年间,在BGH专用泄露网站(DLSs)上被点名的受害者数量增加了76%就证明了这一点。在2023年中,访问代理通过向各种电子犯罪攻击者提供初始访问权限而获利,广告访问次数比2022年增加了近20%

在整个2023年,民族国家攻击者也十分活跃。与中国有关系的攻击者在全球各地继续高速开展行动,利用隐蔽性和规模收集有针对性的群体监控数据、战略情报和知识产权。在世界其他地区,冲突继续推动民族国家和黑客活动。

  • 2023年,随着俄乌战争进入第二年,俄罗斯和其他活动集群保持了较高的、持续的活动水平,以支持俄罗斯情报局的情报收集、破坏活动和针对乌克兰和北约国家的信息行动(IO)。

  • 伊朗的攻击者和中东的黑客主义攻击者也在下半年转向了网络行动,与2023年以色列-哈马斯冲突引发的动态行动保持一致。

  • 朝鲜的攻击者在2023年也保持着持续的快节奏。他们的活动继续集中于通过加密货币盗窃和从韩国和西方组织收集情报而获得的经济利益,特别是在学术、航空航天、国防、政府、制造业、媒体和技术领域。

二、威胁格局概述

当今的网络威胁尤为令人担忧,这是因为人工操作或“交互式入侵”技术被广泛使用,其中涉及攻击者在主机上积极执行操作以实现其目标。与依赖部署恶意工具和脚本的恶意软件攻击不同,交互式入侵利用的是人类攻击者的创造力和解决问题的技能。这些攻击者可以模仿预期的用户和管理员的行为,使防御者难以区分合法用户活动和网络攻击。

2023年,CrowdStrike观察到交互式入侵活动的数量同比增长了60%;与2022年相比,下半年增长了73%。在CrowdStrike CAO 2023年观察到的交互式入侵活动中,技术行业是最常受到攻击的行业,这一趋势与2022年相比仍在继续。下图反映了十大垂直行业和地理区域的相对入侵频率。

图1 十大垂直行业和地理区域的相对入侵频率

在获得对网络的初始访问权限后,攻击者会设法寻求“突围”,从被入侵的主机横向移动到环境中的其他主机。他们这样做所需的“突围时间”是至关重要的,因为最初被入侵的机器很少是攻击者实现其目标所需的机器。他们必须横向进入网络,然后进行侦查,建立持久性并定位目标。在突围时间窗口内采取应对措施,可使防御者降低成本并减少与入侵相关的其他损失。2023年,交互式电子犯罪入侵活动的平均突围时间从2022年的84分钟减少到2023年的62分钟,观察到的最快突围时间仅为2分7秒

为了更好地理解交互式入侵,下图的时间线说明了现实世界中人工攻击的速度。

图2 现实世界中动手攻击的速度

在这种情况下,安全团队禁用了“写时隔离”策略设置,从而允许将这四个文件写入磁盘。攻击者执行了一个合法的工具来获取系统信息进行侦察,然后在系统上投放了三个文件,包括勒索软件。他们试图执行一个网络发现和侦察工具来绘制出横向移动方案,但该方案立即被Falcon传感器拦截和隔离。这导致攻击者打开控制面板以了解正在使用的安全工具。当他们发现Falcon平台时,就再也没有尝试执行第二个发现工具或勒索软件(这本来会被阻止和隔离),而是转移到了另一个受害者身上。几分钟内,CrowdStrike CAO就会通知客户,将机器下线并重置用户密码。

一旦发生了最初的妥协,在交互式入侵期间,攻击者只需要几秒钟就可以使用工具和/或恶意软件。然而,“时间就是金钱”这句话也适用于攻击者。超过88%的攻击时间被用于入侵和获得初始访问权限。通过减少或消除这段时间,攻击者可以释放出资源来进行更多的攻击。

为了做到这一点,攻击者不断超越恶意软件,转向更快、更有效的手段,如身份攻击(网络钓鱼、社会工程和访问代理)以及利用漏洞和可信关系。这一趋势在过去五年中很明显,因为2023年无恶意软件活动占检测活动的75%,高于2022年的71%

这一趋势在一定程度上与身份攻击、访问代理的成功以及大量滥用有效凭证以促进访问和在受害者环境中持续存在有关。访问代理是指获取组织访问权并将访问权提供或出售给其他行为者(包括勒索软件操作者)的攻击者。

图3 每月访问广告数量

当今复杂的网络攻击只需几分钟即可成功。攻击者试图使用交互式侵害和合法工具等技术躲避检测。为了进一步加快攻击速度,攻击者可以通过多种方式获取凭证,包括以几百美元的价格从访问代理人那里购买凭证。

三、202

3

年网络安全主题‍‍‍‍‍‍‍‍‍‍

1.基于身份的社会工程攻击

跨越多种动机和地区的攻击者继续使用网络钓鱼技术欺骗合法用户,以有效账户以及其他身份验证和识别数据为目标实施攻击。除了窃取账户凭证外,CrowdStrike CAO还在整个2023年观察到针对API密钥和机密、会话cookie和令牌、一次性口令(OTP)和Kerberos票据的攻击。

(1)账户凭证

攻击者可以使用窃取的凭证对系统和/或用户账户进行身份验证,这些凭据可以由攻击者直接获得(例如,使用信息窃取器或利用非托管的边缘设备),也可以通过购买获得。

(2)API密钥和机密

使用窃取的API密钥和机密访问受保护的资源可能会让攻击者窃取敏感数据。除非更改了API密钥和机密,否则攻击者可以保持无限期访问。

(3)会话cookie和令牌

攻击者可以窃取会话cookie和令牌,以伪装成合法用户,并对应用程序进行身份验证。

(4)一次性口令(OTP)

窃取OTP可让攻击者通过SIM卡交换、SS7攻击、社会工程受害者或电子邮件入侵绕过多因素身份验证(MFA)。

(5)KERBEROS和KERBEROS票据

通过窃取或伪造Kerberos票据,攻击者可以获得加密凭证,然后离线破解。根据CrowdStrikeCAO的记录,2023年Kerberoasting攻击增加了583%

2、攻击者继续发展云意识

正如预测的那样,从2022年到2023年,云环境入侵增加了75%,其中有云意识的案例增加了110%,与云意识无关的案例增加了60%。云意识是一个术语,指的是那些意识到能够入侵云工作负载,并利用这一知识为自己的目的滥用云特有功能的攻击者。

电子犯罪的攻击者在针对云环境方面特别活跃:84%是由可能的电子犯罪行动者实施的,相比之下,由目标入侵行动者实施的为16%。传统的BGH攻击者(如INDRIK SPIDER)在这一年中变得更加关注云计算。

图4 云环境入侵案例

在2023年,SCATTERED SPIDER主要推动了云意识活动的增加,占案件总数的29%。在整个2023年,SCATTERED SPIDER在目标云环境中展示了渐进和复杂的技术,以保持持久性、获取凭证、横向移动和数据渗透。在以云为重点的攻击中,攻击者对基于身份的技术的偏好显而易见。接下来是对以云和身份为重点的活动的一些观察,这些活动按照MITRE ATT&CK®企业战术进行了分类,包括初始访问、持久性、特权升级、凭证访问、横向移动、数据渗透和影响。

(1)初始访问

攻击者依靠有效凭证实现初始访问。他们通过意外的凭证泄漏、暴力攻击、网络钓鱼/社会工程、凭证窃取者、访问代理、不安全的自助密码重置服务和内部威胁来获取这些凭证。

(2)持久性

为了保持对Azure和微软365的访问权限,攻击者通常会在身份级别上实现持久性。

(3)权限升级

攻击者通过从存储的凭证、社会工程活动或不安全的密码重置门户中获得更多身份访问权限。他们还通过改变策略或向特权组或角色添加身份来升级权限。

(4)凭证访问

攻击者从密码存储库和信息存储库中获取凭证。

(5)横向移动

攻击者在本地环境和云环境之间来回移动。

(6)数据渗透

攻击者通过使用工具、从互联网可访问的存储库(SharePoint Online或GitHub)直接下载数据,或者通过将数据上传到互联网可访问的Web服务来获取数据。

(7)影响

一些有云意识的BGH攻击者将云存储作为其操作的一部分。

3、利用第三方关系

在整个2023年,有针对性的入侵行为者一直试图利用可信关系来获得对跨多个垂直领域和地区的组织的初始访问权限。这种类型的攻击利用供应商-客户关系,通过两种关键技术部署恶意工具:

(1)使用可信软件破坏软件供应链,传播恶意工具;

(2)利用对供应商提供IT服务的访问。

针对第三方关系的攻击者是由潜在的投资回报(ROI)驱动的:一个受到损害的组织可能影响数百或上千个后续目标。这些隐形攻击还可以更有效地为攻击者提供机会,以利用加固的终端目标。

在不久的将来,信任关系的妥协将继续吸引有针对性的入侵行为者。这些攻击的高投资回报率,特别是在获取潜在的下游妥协方面,相对于妥协一个目标所需的有限努力,可能会在2024年激发攻击。技术部门的组织特别容易受到第三方关系利用的威胁。在2023年,几乎所有的信任关系妥协都源于对提供商业软件的技术部门组织的入侵。

4、2024年即将面临的威胁

随着各组织计划应对2024年出现的潜在威胁,生成式人工智能和2024年全球政府选举两个潜在的干扰驱动因素来到了最前沿。

(1)在威胁环境中生成的人工智能使用

2022年底,主流可访问生成式人工智能技术爆炸式增长,为高效内容创造开辟了一个新的可能领域,并吸引了寻求利用这种新技术实现自己目的的攻击者的注意。

生成式人工智能已经大规模地民主化了计算,以改善攻击者的操作。它还可能降低低技术含量的威胁行动者进入威胁领域的门槛。威胁格局中的两个主要的生成式人工智能机会领域包括:

  • 开发和/或执行恶意计算机网络操作(CNO),包括工具和资源开发,如脚本或代码。虽然使用是正确的,但可能具有恶意功能。

  • 支持社会工程和信息运营活动的效率和有效性。

①恶意计算机网络操作中的生成式人工智能

很难自信地判断攻击者在其操作中使用生成式人工智能等新技术的可能性,特别是在这些技术将如何支持恶意CNO。只有罕见的具体观察包括在某些操作阶段可能的攻击者使用生成式人工智能。

CrowdStrike对这些工具使用的可见性可能是不完整的。一是因为观察有限,二是因为人工智能生成的材料本质上没有留下其真实性质的重要指标,三是因为对手采取步骤避免暴露正在使用生成式人工智能的证据。在整个2023年,很少观察到生成式人工智能支持恶意CNO开发和/或执行。

②社会工程和信息操作中的生成型人工智能

近年来,某些大语言模型已经能够编写虚构故事,并生成数字艺术作品。至少从2021年中期开始,CrowdStrike就频繁报道俄罗斯、中国和伊朗对高度欺骗性的人工智能图像、音频和视频(又称“深度伪造”)的研究兴趣。研究人员和学者进一步推测,在不久的将来,攻击者几乎肯定会在信息和影响行动中使用生成式人工智能工具。

生成式人工智能有潜力用于许多领域,这些领域不太可能在主流公共话语中得到确认或普及。人工智能的持续发展无疑会增加其潜在滥用的潜力,特别是在信息操作范围内,特别是对于数字素养较低的受众。随着时间的推移,随着企业、工具所有者和政府对新的发展和人们认为的滥用,流行的生成式人工智能工具被恶意使用的程度可能会有所调整。

CrowdStrike CAO估计,随着生成式人工智能技术继续普及,生成式人工智能可能在2024年被用于网络活动。在2024年,该团队将准确追踪攻击者如何使用这项技术,以及这项技术与主流应用程序的不同之处。这类研究包括对以下两者的检查:

  • 攻击者可能会使用公开可用或开源的LLMs,这可能需要攻击者持续绕过防止恶意或非法活动的保护措施。

  • 攻击者试图开发自己的模型或生成式人工智能工具,但培训LLMs的成本可以极大地阻止它们的独立、非法开发。攻击者在2023年制作和使用这种模式的尝试往往会构成骗局,产出相对较低,在许多情况下很快就不复存在。

四、结论

在2023年,CrowdStrike CAO观察到攻击者在有针对性的入侵、电子犯罪和黑客行动领域以前所未有的隐蔽方式开展行动。对于恶意行为者来说,不被察觉的行动能力仍然是至关重要的,而如今的网络犯罪分子不断发现新方法来提高效率、加强行动和实现目标。

  • 电子犯罪仍然是2023年威胁格局的基石,BGH攻击者SCATTERED SPIDER和GRACEFUL SPIDER的活动最多。据CrowdStrike CAO评估,2024年BGH仍将是电子犯罪领域的主要威胁。2024年可能出现的支持BGH行动的趋势包括无勒索软件的数据泄漏行动和云意识行动的增加。

  • 具有云意识的攻击者的数量与2022年一样持续增长,2024年极有可能继续增长。攻击者非常愿意投资和使用云计算和其他新技术(如生成式人工智能),以提高其行动的效率和成功率。具有云意识的攻击者将寻求检测、枚举和导航云环境,以便从微软365、SharePoint和代码库中获取有价值的专有信息。他们将在持续行动和赎金谈判中使用这些信息,或者只是将其出售给其他电子犯罪攻击者。

  • 具有经济动机的攻击者也越来越意识到专用关系的好处,并很可能因此提高行动成功率。2024年,访问代理人和RaaS参与者可能会继续建立专用关系。未来一年,社会工程有效性、MFA旁路和第三方供应商等方面也可能会得到加强,以努力利用单个更大的接入点。

  • 备受瞩目的地缘政治冲突(即俄罗斯-乌克兰和以色列-哈马斯冲突)在2023年引发了大量有针对性的入侵和黑客网络活动,特别是对伊朗关系和俄罗斯关系的攻击者。2024年,这些冲突和其他备受瞩目的冲突仍将是黑客活动的重要驱动因素。除了与以色列-哈马斯冲突相关的网络活动外,伊朗的攻击者一直在打击电信组织,这一趋势在2024年可能会继续。俄罗斯的攻击者也继续以乌克兰、北约成员国和伙伴国为目标。几乎可以肯定,他们将在2024年继续在这些地区开展情报收集行动和信息运营工作。

CrowdStrike CAO将几个活动集群命名为攻击者,包括第一个与埃及有关的攻击者——WATCHFUL SPHINX。与之前的评估一致,CrowdStrike CAO预计2024年大多数已建立的攻击者和活动集群将继续扩展或更新其能力。全球范围内的攻击者和活动集群会扩大其评估的目标范围可能较少;相反,他们可能会继续关注历史和主要区域的目标集。

五、建议

1、让身份保护成为必备

由于成功率高,基于身份和社会工程的攻击在2023年激增。被盗用的凭证会让攻击者迅速获得访问权和控制权,而这是一个入侵的即时门户。为了应对这些威胁,必须实施抗网络钓鱼的多因素身份验证,并将其扩展到传统系统和协议,对团队进行社会工程方面的教育,并实现能够检测和关联跨身份、终端和云环境的威胁的技术。跨域可视性和强制执行使安全团队能够检测横向移动,获得全面的攻击路径可视性,并发现合法工具的恶意使用。要解决SIM交换、MFA绕过和盗窃API密钥、会话cookie和Kerberos票据等复杂的访问方法,就需要主动、持续地追捕恶意行为。

2、优先考虑云本地应用保护平台(CNAPP)

随着企业意识到云技术在创新和业务敏捷性方面的潜力,云技术的应用正在爆炸式增长。由于这种增长,云计算正迅速成为网络攻击的主战场。企业需要全面的云可视性,包括对应用程序和API的可视性,以消除错误配置、漏洞和其他安全威胁。CNAPP至关重要:云安全工具不应单独存在,CNAPP提供了一个统一的平台,简化了对潜在的云安全威胁和漏洞的监控、检测和行动。选择一个包含运行前保护、运行时保护和无代理技术的CNAPP,以帮助您发现和映射在生产中运行的应用程序和API,向您显示所有攻击面、威胁和关键业务风险。

3、获得企业风险最关键领域的可见性

攻击者通常使用有效凭证访问面向云的受害者环境,然后使用合法工具实施攻击,这使得防御者很难区分正常用户活动和入侵。要识别这种类型的攻击,您需要了解身份、云、端点和数据保护遥测之间的关系,而这些可能是在不同的系统中。事实上,企业平均使用45种以上的安全工具,造成了数据孤岛和可见性缺口。通过整合到一个具有人工智能能力的统一安全平台中,企业可以在一个地方获得完整的可见性,并轻松控制其运营。通过统一的安全平台,企业可以节省时间和金钱,并能快速、自信地发现、识别和阻止漏洞。

4、提高效率

攻击者从最初入侵的主机横向移动到环境中的另一台主机平均需要62分钟最快仅需2分钟。传统的SIEM解决方案速度太慢、太复杂、成本太高,而且它们是为数据量(以及攻击者的速度和复杂程度)远不及今天的时代而设计的。我们需要一种比传统SIEM解决方案更快速、更易于部署、更具成本效益的工具。

5、建立网络安全文化

尽管技术在检测和阻止入侵的斗争中显然至关重要,但最终用户仍然是阻止入侵的关键环节。应启动用户意识计划,以应对网络钓鱼和相关社会工程技术的持续威胁。对于安全团队来说,实践出真知。鼓励定期进行桌面演练和红/蓝团队合作,找出差距,并消除网络安全实践和响应中的弱点。

来源|Crowdstrike

声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。