Cognyte对全球活跃的攻击者进行了大规模的研究,并对地下论坛进行了深入的跟踪分析。通过这样做,我们可以了解攻击者的行为模式和常见漏洞,帮助防御者洞察攻击者。Cognyte对特别活跃的攻击者进行了全面研究,统计分析:490次攻击活动、66个攻击组织、525个攻击工具、173个MITREATT&CK技术项、98个漏洞。TTP、最常用的漏洞、攻击动机和目标等。最大威胁的来源最大的威胁仍然来自国家资助的攻击者,黑客活动分子紧随其后。最易受攻击的产品Windows是最易受攻击的系统,Office是最易受攻击的软件。最常被利用的漏洞攻击者会抓住一些可利用的机会发起攻击,最常见的三个漏洞是CVE-2017-0199、CVE-2017-11882和CVE-2012-0158。受攻击最严重的国家是美国,占所有攻击的13.2%。其次是中国(9.6%)、英国(8.2%)和法国(6.8%)。最受攻击的行业政府、关键基础设施和媒体行业往往受到攻击者的青睐。经常使用的技术项无效账号、定时任务、脚本等要多加注意。地下论坛中的讨论地下论坛中的网络犯罪分子讨论可以计算攻击者感兴趣的已知漏洞,从而为防御者需要优先考虑的内容提供线索。Cognyte随后收集并分析了2020年1月至2021年3月期间地下论坛中的此类讨论,对此类讨论进行了分析,并研究了15个网络犯罪论坛中的讨论。攻击者经常讨论的漏洞信息可能是武器化攻击的重点。但实际上,发现相关帖子数量最多的前5个CVE并不是地下论坛中提到最多的漏洞。研究人员发现,ZeroLogon、SMBGhost和BlueKeep是2020年1月至2021年3月期间最受攻击者关注的漏洞。犯罪分子最喜欢的漏洞CVE-2020-1472(又名ZeroLogon)CVE-2020-0796(又名SMBGhost)CVE-2019-19781CVE-2019-0708(又名BlueKeep)CVE-2017-11882CVE-2017-0199大多数漏洞被利用由国家支持的攻击团体或具有经济利益的网络犯罪分子(如勒索软件)对世界发动攻击。修复速度太慢值得注意的是,攻击者仍然关心这些老漏洞,这意味着只要修补和修复它们就可以抵御攻击。报告称,在2020年大流行期间,攻击者仍然能够成功利用已有9年历史的CVE-2012-0158,这表明组织近十年没有修补他们的系统。暗网上六个最流行的漏洞中有五个与微软有关,但即使是微软也很难让用户修复它们。ZeroLogon就是一个典型的例子。该漏洞允许攻击者访问域控制器并中断所有ActiveDirectory服务。修补ZeroLogon实际上非常缓慢,以至于微软在1月份宣布将开始使用“强制模式”来防止ActiveDirectory域访问未修补的系统。2020年3月,微软修复了漏洞CVE-2020-0796。但截至10月,仍有超过100,000个Windows系统易受攻击。各国爱讨论的漏洞地下论坛讨论的漏洞因语言而异。俄语论坛最受青睐的漏洞是CVE-2019-19781英文论坛最受青睐的漏洞是CVE-2020-0688和CVE-2019-19781土耳其论坛最受青睐的漏洞是CVE-2019-6340被监控的地下论坛有一半是讲俄语的,而讲西班牙语的地下论坛没有明确提及该漏洞。总结攻击者的动机和目标、操作模型和技术能力对于实施防御都是至关重要的。通过跟踪暗网市场、地下论坛等恶意平台,可以深入了解网络攻击的变化趋势,把握防御节奏和方向。参考来源:HelpnetSecurity
