Cybereason 2025年第三季度TTP简报：LOLBIN与CVE漏洞利用占据主导地位

本TTP简报基于Cybereason全球事件响应调查的前线威胁情报，并结合SOC的显著检测结果，旨在探讨我们的事件响应专家当前正积极应对的最新趋势、技术和程序。

TTP简报根植于Cybereason事件响应和SOC团队跨行业、跨地域的真实世界调查。本期简报审视了我们第三季度的数据，并将某些趋势与2025年上半年的发现进行了比较。

第三季度的发现凸显，组织的网络安全与威胁行为者所用技术之间的差距并未缩小。我们观察到成功的多因素认证绕过和漏洞利用率甚至更高，内部威胁案例数量增加，以及曾经仅由高级威胁行为者使用的检测规避战术正成为常态。持续完善您的网络安全态势是保持抵御此类威胁韧性的关键，我们的11项基本网络安全控制措施可帮助组织将精力集中在最重要的事项上。

让我们探讨几个关键发现：

最常见的威胁类型

• 商业电子邮件入侵仍是首要威胁事件类型，占事件的46%，高于上半年的37%。
• 勒索软件再次成为第二常见的事件类型，占39%。
• 内部威胁从上半年的2%跃升至第三季度的7%。这部分归因于围绕朝鲜远程工作计划的活动增加，以及心怀不满的员工盗取专有数据。

初始入侵途径

网络钓鱼在第三季度仍是主要的初始入侵途径，占50%，与上半年保持一致。令人惊讶的是，被利用的漏洞跃升至第二位，占31%，较上半年的15%增长了一倍多。这主要是由于CVSS评分大于9.5的CVE数量增加，突显了组织加强漏洞修补和管理计划的重要性。

第三季度最常观察到的CVE

深入分析CVE-2024-40766：SonicWall SonicOS漏洞

在第三季度，观察到Akira通过利用CVE-2024-40766获取的先前窃取的用户凭证，未经授权访问SonicWall设备。许多受影响的SonicWall设备在打补丁之前就已经被入侵。即使在已打补丁的设备上，如果管理员未同时重置所有SSL VPN凭证，威胁行为者仍能利用先前窃取的信息获取访问权限。评估发现，部分攻击涉及的凭证是从旧的SonicWall设备迁移而来且从未重置。

MFA实施持续增加，但绕过技术亦然

从上半年到第三季度，我们看到定期实施MFA的组织有所增加，从53%上升至75%。尽管MFA实施越来越广泛，但我们发现其被绕过的比例也增加了。这表明网络钓鱼工具包、中间人攻击和会话令牌拦截仍然是普遍存在的威胁。实施抗网络钓鱼的MFA形式可以更好地防范此类攻击。

最常受攻击的行业与公司规模

与上半年类似，金融服务仍是常受攻击的行业。但本季度，我们看到攻击在各行业的分布更为平均，金融服务、制造业以及零售/电子商务与酒店业均以11%的占比并列首位。

营收在100万至1000万美元之间的组织最常受到影响，这表明即使是小企业也需要专注于完善其网络防御。

入侵路径各阶段的战术

TTP简报提供了入侵路径五个阶段的数据，从初始入侵到持久化与权限提升技术，再到数据窃取和变现战术。值得注意的发现包括：

• 威胁行为者持续利用多种工具获取持久化访问，包括Anydesk和Netscan，同时也越来越多地利用impacket和pinggy等较新工具。
• 凭据窃取工具仍然是提升权限的常见方法，利用Mimikatz和DCSync等工具。
• 威胁行为者继续专注于数据窃取，使用WinRar和WinSCP等工具。

威胁行为者日益"就地取材"，阻碍检测

我们在第三季度17%的调查中观察到了"就地取材"二进制文件的滥用，高于2025年上半年的13%。这些受信任的内置系统工具让攻击者更容易与合法活动融为一体，规避检测，并在不部署恶意软件的情况下实施攻击。这提高了防御者的门槛，他们现在必须加强行为监控和上下文分析以狩猎和检测攻击，并利用现代EDR和SIEM平台。

关于驻留时间

在TTP简报中，我们排除了任何MDR客户，并将驻留时间衡量为从初始入侵日期到我们的IR团队介入之间的时间。38%的案例驻留时间超过31天，低于上半年的45%。虽然这仍不理想，但我们看到响应时间略有改善。

导致较长驻留时间表现的一个因素与初始访问经纪人有关，他们获取未经授权的访问权限，然后将其出售给另一个威胁行为者组织。因此，我们经常观察到初始利用与新的威胁行为者利用该未授权访问之间存在延迟期。在这个延迟期内，网络内通常没有活跃的恶意活动，但组织已遭到入侵。

减少驻留时间可以通过适当的事件响应计划来解决，缩短检测与DFIR供应商介入之间的时间。此外，您可以实施多项网络安全控制措施，以降低事件发生的可能性、驻留时间及影响。

如果您希望获得有关本报告的更多信息，我们的团队全天候提供服务。