根據4月23日發(fā)布的Mandiant 2024年M-Trends威脅報告，由于檢測工具的改進和勒索軟件活動的增加，受感染系統(tǒng)的發(fā)現(xiàn)速度持續(xù)加快。該分析是Google Cloud旗下Mandiant發(fā)布的第15份年度M-Trends報告。該報告基 Mandiant 2023年調查得出的數(shù)據。Mandiant Consulting副總裁Jurgen Kutscher表示，勒索軟件“往往比其他威脅載體傳播得更快”。然而，檢測速度的提高“仍然是一個積極的[發(fā)展]示。結合報告中一個令人鼓舞的發(fā)現(xiàn)，例如內部攻擊檢測的改進，確實清楚地看到防御者正在變得更好，他們的響應速度和檢測此類攻擊的速度越來越快。另外一點，組織正在進行的投資——培訓以及技術、流程和威脅情報方面的持續(xù)改進——正在產生積極的影響。

以下是Mandiant 2024年M-Trends威脅報告的五個要點。

攻擊者的駐留時間進一步縮短

Mandiant報告稱，“駐留時間”(即檢測到系統(tǒng)受到損害之前的時間)再次大幅下降，這對網絡防御來說是一個積極的信號。該公司在報告中表示，到2023年，全球平均駐留時間將降至10天，而之前的M-Trends報告中為16天，是“十多年來的最低點”。值得注意的是，這比2017年101天的中位駐留時間大幅下降。

據Mandiant報道，減少駐留時間的推動因素之一是內部檢測到的威脅比例有所提高，從前一年的37%上升到了46%。

勒索軟件攻擊明顯增加

Mandiant表示，駐留時間減少的第二個主要驅動因素并不那么令人鼓舞，勒索軟件攻擊比例的增加也是檢測加速的部分原因。Mandiant發(fā)現(xiàn)2023年，23%的事件涉及勒索軟件，而2022年這一比例為18%，這一數(shù)字又回到了2021年的水平。

Kutsche承認，Mandiant的勒索軟件統(tǒng)計還包括數(shù)據勒索攻擊，例如去年廣為人知的MOVEit攻擊活動，這可能是勒索軟件數(shù)量增加的一個因素。他還指出，俄羅斯2022年入侵烏克蘭可能是抑制當年勒索軟件攻擊比例的一個因素，相比之下，2023年勒索軟件攻擊對網絡犯罪分子造成的破壞較小。

漏洞利用呈上升趨勢

2023年，利用漏洞仍然是最常見的初始入侵方法，占入侵的38%。這一比例比前一年的32%有所上升。仍位居第二的是網絡釣魚，其占初始感染的比例從2022年的22%下降至去年的17%。

2023年最常被利用的漏洞是MOVEit Transfer(CVE-2023-34362)中的缺陷，該漏洞引發(fā)了廣泛的數(shù)據盜竊和勒索事件。位居第二的是Oracle電子商務套件中的漏洞(CVE-2022-21587)，第三個最常被利用的是Barracuda電子郵件安全網關中的關鍵漏洞(CVE-2023-2868)。值得注意的是，第一和第三最有針對性的漏洞與邊緣設備有關。

“大多數(shù)受害者組織沒有一個簡單的機制來檢測這些類型的邊緣設備的危害，”庫徹說?！耙虼耍鼈?yōu)楣粽咛峁┝吮３珠L期堅持的強大地位?！?/span>

定向攻擊企業(yè)產品

根據Mandiant的調查結果，正如2023年最常被利用的漏洞(涉及托管文件傳輸、商業(yè)軟件和電子郵件網關)所強調的那樣，攻擊者越來越多地針對以企業(yè)為中心的技術。特別是，攻擊者更加關注發(fā)現(xiàn)和利用企業(yè)產品中的零日漏洞，例如MOVEit和Barracuda ESG中的缺陷。Mandiant研究人員觀察到2023年有36個針對企業(yè)特定技術的零日漏洞。雖然沒有前一年的確切比較數(shù)字，但Mandiant透露，2022年有22項企業(yè)技術被發(fā)現(xiàn)成為零日利用的目標。

與此同時，消費技術產品制造商“在構建更好的流程和控制方面確實取得了巨大進步，這使得找到零日漏洞變得更加困難，”庫徹說。他說，企業(yè)系統(tǒng)零日漏洞利用的增加“也表明了許多威脅行為者正在做出的承諾和投資”。

Mandiant報告稱，它總共跟蹤了2023年被利用的97個不同的零日漏洞，比一年前增加了約56%。

網絡邊緣設備成為攻擊者的新領域

Mandiant警告說，國家資助的黑客已將注意力轉移到邊緣設備上，以應對改進的網絡掃描，這些設備的端點檢測不完整，而且專有軟件阻礙了取證分析。報告稱他們觀察到與國家關系密切的攻擊者在針對邊緣設備時表現(xiàn)出了高水平的深入知識。這些知識不僅涵蓋了攻擊期間使用的惡意軟件，還涵蓋了用于訪問這些設備的零日漏洞。

俄羅斯情報黑客和俄語網絡犯罪分子的目標設備包括防火墻、虛擬專用網絡和電子郵件過濾器。該公司在一份列出2023年活動趨勢的年度報告中表示，國家支持下的中國黑客尤其表現(xiàn)出了對邊緣設備的深入了解。許多設備(例如VPN)通常會運行數(shù)月而不重新啟動，從而使黑客能夠獲得持久性并長時間保留在目標網絡中而不被發(fā)現(xiàn)。

報告稱：攻擊者更加注重逃避。他們的目標是避免端點檢測和響應等檢測技術，并通過瞄準邊緣設備、利用‘靠地生存和其他技術，或通過使用零日漏洞，盡可能長時間地維持網絡持久性。關注邊緣設備的一個副作用是：根據Mandiant的數(shù)據，網絡釣魚雖然仍然非常常見，但在2023年有所下降。Mandiant歐洲、亞洲和非洲咨詢管理總監(jiān)斯圖爾特·麥肯齊(Stuart McKenzie)表示：“對于民族國家攻擊者來說，重點已轉向針對常用的低可見性工具，以進行旨在竊取數(shù)據的秘密活動?！?/span>

當然，肆意攻擊、指責C國，是Mandiant報告的一貫風格。2024年M-Trends報告認為零日漏洞利用增加的一個主要推動力是與C國有關的攻擊者活動的擴大。邊緣設備一直是人們特別關注的焦點，報告認為這也與與C國關系密切。攻擊者通過利用漏洞(特別是零日漏洞)來訪問邊緣設備，并隨后部署自定義惡意軟件。

參考資源

1、https://www.crn.com/news/security/2024/5-big-takeaways-from-mandiant-s-2024-threat-report

2、https://www.securityweek.com/the-battle-continues-mandiant-report-shows-improved-detection-but-persistent-adversarial-success/

3、https://www.govinfosecurity.com/state-hackers-new-frontier-network-edge-devices-a-24920

4、https://services.google.com/fh/files/misc/m-trends-2024.pdf

文章來源：網空閑話plus