根据思科安全报告对遥测数据的最新分析,2020年上半年最严重和最常见的端点威胁是无文件恶意软件。所谓的无文件威胁是感染后在内存中运行但不存储在硬盘上的恶意代码。根据报告:Kovter、Poweliks、Divegent和LemonDuck是四种最常见的无文件恶意软件。在威胁规模上仅次于无文件威胁的是流行的安全工具,而对端点安全的常见严重威胁是那些既可用于预开发又可用于后开发的双重用途安全工具。据报道,这些流行的工具包括PowerShellEmpire、CobaltStrike、Powersploit和Metasploit。“虽然这些工具非常适合非恶意活动,例如渗透测试,但它们也经常被不良行为者使用,”思科研究员BenNahony在一篇博客文章中写道。凭据转储工具是第三大最严重的威胁类别。报告发现,在2020年上半年,攻击者用来从受感染计算机窃取登录凭据的最常用工具是Mimikatz。IoC威胁严重程度分级数据来源:思科以上三种威胁活动预计将持续到今年下半年。美国网络安全和基础设施安全局(CISA)上周表示,它已经看到攻击者使用CobaltStrike商业渗透测试工具攻击商业和联邦政府网络。CISA还观察到国家黑客组织成功部署了开源工具Mimikatz以窃取凭证。关键IoC类别占比前三大威胁类别占分析期间发现的关键严重性指标(IoC)的75%;其余25%由各种不同的恶意软件组成,包括:勒索软件(Ryuk、Maze、BitPaymer等);蠕虫(Ramnit和Qakbot);远程访问木马(Corebot和Glupteba);银行木马(Dridex、Dyre、Astaroth和Azorult);各种下载器、擦除器和rootkit。在MITREATT&CKTacticsFramework中分析威胁分析IoC数据的另一种方法是使用MITREATT&CKFramework中列出的战术类别。在EndpointSecurity解决方案中,每个IoC都包含有关采用的MITREATT&CK策略的信息。这些策略可以为攻击的不同部分提供目标上下文,例如通过网络横向移动或泄露机密信息。“可以将多种策略应用于单个IoC,”研究人员解释说。例如,涵盖PowerShellEmpire等双重用途工具的IoC涵盖三种策略:防御规避(可以隐藏其活动以防检测);执行(它可以运行其他模块来执行恶意任务);凭据访问(它可以加载凭据窃取模块)。下表显示了IoC中每种攻击策略的份额:到目前为止,最常见的策略是防御性规避,占IoC警报的57%。执行频率也很高,为41%,因为攻击者通常会在多阶段攻击中启动更多恶意代码。“例如,使用双重用途工具建立持久性的攻击者可以通过在受感染的计算机上下载和执行凭证转储工具或勒索软件来跟进。”防御闪避更为常见。排在第三和第四位的是两种常用于建立立足点的攻击策略,即初始进入和驻留,分别占11%和12%的时间。只有12%的IoC会出现驻留问题。最后,排在第五位的是命令和控制通信,占所见IoC的10%。MITREATT&CK策略在IoC中的比例描绘了整体威胁情况,但是当将MITREATT&CK策略与严重性IoC结合时,事情变得更加有趣:按严重性MITREATT&CK策略分组的严重IoC首先,在高严重性IoC中,其中两个策略(初始访问和提取)根本没有看到,而另外两个策略(发现和提权)占不到1%,相当于淘汰了三分之一的高比例策略。有趣的是排名会发生什么。前三名保持不变,但执行(Execution)在临界严重性IoC中比防御规避更常见。按严重性过滤时,其他重要操作包括:持久性发生在38%的关键IoC中,但高达38%的关键IoC;横向移动从IoC的4%跃升至22%;凭据访问上升到第三位,从4%上升到21%;“影响力”和“收集”策略均出现小幅增长;特权升级从8%下降到0.3%;InitialAccess完全从榜单中消失,之前出现在第4位。如何防御关键端点威胁以上是对IoC数据的简单分析。有了这些常见威胁类别和策略的信息,我们如何保护端点?以下是一些建议:1.限制未知文件的执行如果恶意文件无法执行,恶意活动就无从谈起。使用允许在您环境中的端点上运行的应用程序的组策略和/或“白名单”。这并不是说端点应该被每个可用控件完全锁定——过度严格地限制最终用户权限会产生可用性问题。如果您的企业使用双用途安全工具进行远程管理等活动,请严格限制允许运行该工具的帐户数量,并仅在需要该工具时授予临时访问权限。2.监控进程和注册表注册表修改和进程注入是无文件恶意软件用来隐藏其活动的两种主要技术。监视注册表中的异常更改并寻找奇怪的进程注入尝试将大大有助于防止此类威胁站稳脚跟。3.监控端点之间的连接密切关注不同端点之间的连接以及与环境中服务器的连接。调查是否有两台不应连接的计算机,或者端点是否以异常方式与服务器通信。这可能表明不良行为者正试图在网络中横向移动。“虽然上述(关键问题)只占整体IoC警报的一小部分,但它们无疑是最具破坏性的。一旦被发现,就需要立即引起注意。另外,绝大部分告警都是中低级的,分类也比较多。”【本文为专栏作者“安安牛”原创文章,转载请通过安安牛获得授权(微信公众号id:gooann-sectv)转载】点此查看该作者更多好文
