根据思科 Talos 的研究,基于身份的攻击导致了去年超过一半的安全漏洞,为攻击者提供了初始访问权限和有效的横向移动手段。
合法特权访问的滥用现象日益增多,占去年安全漏洞的绝大部分,恶意行为者利用被盗的用户身份发起攻击,涉及攻击链的各个部分。
思科 Talos 最新发布的2024 年回顾报告,包括勒索软件勒索在内的违规行为更有效且更难检测,是通过窃取各种类型的标识符(包括传统登录凭据、会话令牌、API 密钥和数字证书)实现的。
思科 Talos 事件响应团队发现,去年他们调查的案件中超过 60% 存在身份泄露问题;对于勒索软件事件,这一比例甚至更高,达到 70%。这是受感染设备凭证转储和旨在破坏多因素身份验证 (MFA) 实施的技术的结果。
报告中写道:“基于身份的攻击难以预防,甚至更难被发现,但在 2024 年,这种攻击被证明是非常有效的,攻击者可以使用被入侵的有效账户在更长的时间内不被发现,放弃使用可检测的恶意软件,有时甚至可以不受限制地访问整个网络。”
使用有效账户获取初始访问权限
勒索软件团伙以广泛使用窃取的凭证作为初始访问公司网络的手段而引人注目。这些团伙通常从网络犯罪生态系统中被称为初始访问代理 (IAB)的威胁行为者那里购买这种访问权限。
批量凭证列表在暗网上的售价通常为 10 至 15 美元,但经验丰富的攻击者可以收取 1,000 至 3,000 美元的费用来访问知名公司,从而可能勒索大量金钱。
许多此类凭证都是使用所谓的信息窃取恶意软件从计算机中提取的,这些恶意程序会彻底搜索操作系统和已安装的应用程序以获取已保存的用户名和密码、浏览器会话令牌、SSH 和 VPN 证书、API 密钥等。
使用被盗凭证进行初始访问的优势在于,与利用面向公众的应用程序中漏洞或诱骗用户通过电子邮件链接或附件安装恶意软件相比,它们所需的技能较少 - 尽管这些初始访问方法仍然很受欢迎。
根据报告,20% 的勒索软件攻击涉及利用已知漏洞,12% 的勒索软件攻击依赖于驱动入侵。网络钓鱼在初始访问方法列表中也名列前茅,在去年 Talos 事件响应团队调查的所有事件中,几乎有四分之一都发现了网络钓鱼。
攻击者继续在网络钓鱼邮件中冒充知名品牌,其中最常被滥用的品牌包括 Microsoft Outlook、Apple、LinkedIn、Amazon、PayPal、Shein、Prime 和 Netflix。
但更多企业专用服务和术语也被频繁使用,包括 DHL Express、Confluence、SharePoint Online、WordPress、HR Department、Docusign、Accounts Payable、Support 和 Admin。
恶意链接是迄今为止最流行的网络钓鱼方法,58%的恶意电子邮件使用恶意链接,其次是恶意附件(25%)和语音网络钓鱼(17%)。
横向移动:利用特权访问在众目睽睽之下采取行动
一旦进入公司网络,泄露的凭证还能让攻击者扩大对其他内部系统的访问权限,同时降低被发现或触发恶意软件检测的可能性。
近一半被调查的身份攻击针对的是 Active Directory,另外 20% 针对的是云应用程序。转储存储在操作系统凭据存储中的凭据是一种非常流行的技术,开源凭据转储工具 Mimikatz 是 Talos IR 在调查期间观察到的顶级 LOLBin(living-off-the-land 二进制文件)就证明了这一点。
PsExec 是第二受欢迎的 LoLBin,它可用于使用有效凭据(例如 Mimikatz 提取的凭据)远程执行进程并打开其他 Windows 系统上的命令 shell。在攻击中被滥用的流行免费工具还包括远程桌面客户端,例如 RDPclip、AnyDesk、Splashtop 和 RDP。这些都非常适合横向移动,因为它们本质上不是恶意软件,而是系统管理员使用的常用工具。
虽然大多数攻击者都将目标锁定在 LSASS 内存和 Active Directory 中的凭证上,但我们还发现此威胁类别中还存在多种其他技术,包括尝试从安全帐户管理器 (SAM) 数据库中提取凭证、尝试访问缓存的域凭证、使用名为 DCSync 的技术滥用 Windows 域控制器的 API,以及尝试访问本地安全机构 (LSA) 机密(其中可能包含各种不同的凭证材料),攻击者可以通过系统访问主机来获取这些凭证。
去年,教育、公共管理、制造业和医疗保健机构遭受的勒索软件攻击数量最多。这些行业的组织往往网络隔离较弱,设备和服务器数量较多,攻击面较大,一旦攻击者获得有效身份,他们就有更多机会进行横向移动。
2024 年 8 月,思科制造业的一位客户报告称,多个端点检测和响应 (EDR) 解决方案意外从该组织托管数据中心的服务器(包括两个域控制器)中卸载,这可能表明威胁行为者拥有完整的 Active Directory 域访问权限。
在这次调查中,Talos IR 观察到证据表明,行为者已经破坏了 Active Directory,准备部署勒索软件。攻击者利用 ADExplorer(Sysinternals 管理工具套件的一部分)浏览环境中的不同域并转储 Active Directory 数据库。”
作为企业 IT 中最广泛使用的身份验证和授权解决方案,Active Directory (AD) 是攻击者的金矿。在配置和设计 Active Directory 的安全策略时,组织遵循行业最佳实践至关重要。
在混合环境中访问云资产
大多数组织的基础设施都扩展到云端,服务将 Azure Active Directory 与本地 AD 安装相链接。正因为如此,攻击者已经变得善于从云环境跳转到本地网络或反之,通过添加 API 密钥和会话令牌来扩展系统管理员需要保护的凭据类型。
技术娴熟的攻击者已经创建了可在开放网络上免费使用、易于部署且专门针对云环境的工具。一些示例包括 ROADtools 和 AAAInternals,它们是用于枚举 Microsoft Entra ID 环境的公开可用框架。这些工具可以收集有关用户、组、应用程序、服务主体和设备的数据,并执行命令。
这些攻击通常与旨在利用 MFA 缺失或 MFA 配置不正确的技术相结合。例如,推送喷射攻击(也称为 MFA 轰炸或 MFA 疲劳)依靠在用户手机上向他们发送 MFA 推送通知进行轰炸,直到他们感到厌烦并批准登录,认为这可能是系统出现故障。
其他技术包括诱骗受害者在其帐户下注册新的 MFA 批准设备,或使用网络钓鱼工具包将请求实时代理到合法网站并要求受害者自己提供 MFA 代码。
在 Talos IR 调查的一个案例中,攻击者通过诱骗系统管理员点击身份验证链接,将攻击者的设备添加到大学 MFA 批准列表中,从而入侵了一所拥有超过 100,000 名用户的大学。攻击者已经获得了管理员的用户名和密码,可能是通过另一次入侵或 IAB 获得的。
攻击者获得管理员账户后,向整个组织的其他用户发送了高度可信的网络钓鱼电子邮件。本案最大的隐患之一是,该大学拥有 50 多个具有管理员权限的账户,这些账户都是外部承包商的,这大大增加了账户被入侵的可能性。
近年来,随着新一代人工智能聊天机器人的兴起和日益复杂的大型语言模型,网络钓鱼攻击变得越来越多样化、复杂化和难以发现,这意味着基于身份的攻击更有可能发生。据 Talos 称,去年,无论是网络犯罪分子还是国家支持的网络间谍组织,社会工程学都是人工智能最常用的手段。
缓解措施
我们经常观察到权限过高或不正确的帐户(即用户、管理员和服务)、密码弱或默认的帐户、扁平的网络架构以及缺失或配置错误的 MFA。
我们针对缓解 Active Directory 入侵的建议与CISA 的策略一致,即缓解攻击者和恶意行为者用来入侵 Active Directory 的 17 种最常见技术。
由于越来越多针对组织的攻击依赖于基于身份的技术,Talos 团队强烈建议为未配置 MFA 的帐户和服务启用 MFA。例如,根据 Talos 的观察,企业 VPN 帐户通常缺乏这种额外的保护。但如果 MFA 配置不正确且未监控帐户活动是否存在可疑行为,那么仅仅添加 MFA 是不够的。
我们还建议对用户进行 MFA 耗尽攻击教育,并针对每个 IP 或设备实施更严格的 MFA 提示阈值,以及启用更高的安全因素,例如质询-响应身份验证,其中还会向用户提供他们必须回答的安全问题。组织还应持续监控新的 MFA 设备注册,并在可能的情况下对此类注册实施更严格的政策。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
