引入Cybereason TTP简报:前线威胁情报洞察
通过全新的TTP简报,深入了解我们事件响应专家正在积极应对的最新攻击趋势、技术和方法。该报告基于我们全球事件响应(IR)调查的前线威胁情报,并辅以我们SOC的重要检测结果进行丰富。
TTP简报基于Cybereason的IR和SOC团队跨行业和跨地域的真实调查。研究结果突显了组织面临的棘手挑战,即使具备EDR和MFA等基础防护措施,攻击者仍在某些方面取得成功 - 防御者需要重点关注这些领域,以强化防护、响应和恢复能力,应对当今最紧迫的威胁。
本第一期TTP简报涵盖了1月至5月收集的情报。让我们探讨一些关键发现:
最常见的威胁类型
- 商业邮件入侵(BEC)是最常见的事件类型,占观察到的威胁的41%
- 勒索软件紧随其后,占28%,其中Qilin、Medusa和Play等变种活动增加
- 云入侵占事件的13%
初始入侵向量(攻击者如何进入?)
不出所料,钓鱼和社会工程仍然是主要的入侵向量(46%),其次是凭据滥用和漏洞利用。
在我们的报告中,我们结合了各种基于电子邮件和短信的钓鱼策略,以及可能涉及被盗凭据和重复帮助台呼叫的社会工程技术,以诱骗代理重置或临时停用MFA。
MFA覆盖仍不足且MFA绕过普遍
在账户被盗时,只有36%的BEC受害者部署了MFA,这本身就是一个重大问题。但在部署了MFA的组织中,攻击者能够在超过一半的情况下绕过MFA保护。
最受攻击的行业和公司规模
在所有行业中,收入在1100万至1亿美元之间的组织最常受到影响,这凸显了中型公司在没有企业级资源的情况下完善防御的压力。
入侵路径中的策略
TTP简报提供了入侵路径五个阶段的数据,从初始入侵到持久化和升级技术,再到数据窃取和货币化策略。值得注意的发现包括:
- 像AnyDesk、MeshAgent和ScreenConnect这样的远程访问工具在建立持久性方面很常见
- 升级通常利用Mimikatz和LSASS转储技术
- 数据窃取主要通过RClone和WinSCP等实用程序实现
- 在近五分之一(18%)的案例中,攻击者利用"就地取材"二进制文件(LOLBins)来避免检测、横向移动和部署软件,包括远程访问工具和恶意软件
驻留时间分析
在TTP简报中,我们排除了所有MDR客户,并将驻留时间测量为从初始入侵日期到我们的IR团队介入的时间。我们在45%的案例中看到驻留时间超过31天,这远非理想情况。
通常,延迟不仅仅是由于检测差距,还因为缺乏适当的事件响应计划,以及需要寻找和引入供应商来运行调查。我们强烈鼓励安全和风险领导者建立符合其需求的弹性保留协议,并能在新事件发生前提供提高准备度和有效响应的途径。
如果您想了解有关此报告的更多信息,我们的团队24x7可通过response@cybereason.com联系。