威脅狩獵（Cyber threat hunting）是一種主動的網絡防御活動，通過主動和持續地搜索網絡，可以檢測和發現現有數字化環境中的各種安全威脅。近日，專業安全廠商CrowdStrike發布了《2023年威脅狩獵研究報告》，對過去一年中威脅狩獵專家所觀察到的最新攻擊態勢和攻擊手法進行了分析和總結。

報告數據顯示：目前攻擊者的平均突破時間已經縮短至79分鐘，創歷史新低，其中所記錄到的最快攻擊突破時間僅為7分鐘；Kerberoasting身份攻擊同比增長583%，這反映了基于身份的入侵活動正在大規模升級；此外，攻擊者越來越多地利用合法遠程監控管理（RMM）工具，來規避檢測并訪問敏感數據、部署勒索軟件或采取更具針對性的后續策略。

1.網絡入侵態勢分析

在過去一年中，研究人員觀察到交互式入侵數量持續攀升，同比增長40%。其中，針對金融服務行業的交互式入侵活動數量增加了80%以上。金融行業的安全管理者們應該密切關注這一趨勢，因為隨著活動數量的增加，威脅的多樣性也在增加。今年，研究人員發現，針對金融行業的活動涵蓋了所有攻擊動機類型（如經濟動機、政治動機、滋擾/破壞、間諜活動等），并全面覆蓋了所有主流操作系統和云基礎設施。

圖片

交互式入侵數量走勢圖

出于經濟動機的電子犯罪（eCrime）威脅行為者主要以金融部門為目標，其中一些攻擊者專注于竊取加密貨幣或不可替代代幣（NFT），而機會主義的“big game hunting”（BGH）勒索軟件和數據盜竊活動則是金融機構面臨的更嚴重威脅。由于受害組織自身的敏感性以及需要維持系統正常運行，很多金融機構不得不滿足攻擊者支付贖金的要求。

此外，科技行業也仍然是網絡攻擊者的高價值目標，勒索軟件攻擊是該行業面臨的最普遍安全威脅。技術部門對高度敏感數據的依賴和訪問使其成為勒索攻擊組織的重點目標。科技行業面臨的其他主要網絡犯罪威脅包括服務濫用、訪問代理和信息盜竊等。

2.基于身份的威脅快速增長

掌握過去攻擊者的行為趨勢是形成有效和主動防御的關鍵。報告研究發現，在過去一年中，80%的網絡攻擊活動使用了被泄露的身份。身份的濫用，特別是與新一代檢測逃避方法相結合時，將為攻擊者的違法活動提供更大便利。盡管身份被廣泛認為是日益增長的安全威脅，但很多企業組織并沒有很好理解身份安全防護的重要價值。

在過去一年中，研究人員觀察到Kerberoasting攻擊（竊取或偽造kerberos票據的一種攻擊技術）難以置信的增加了583%，這些攻擊的目的是提升特權，并在受害企業的環境中進行橫向移動。Kerberoasting攻擊尤其針對與SPN相關的票據盜竊，因為這些票據中包含了加密的憑據，可以使用暴力破解方法脫機破解以發現明文憑據。

圖片

Kerberoasting攻擊飆升583%

對于攻擊者來說，Kerberoasting是一項非常有效的技術，因為它針對的是與Active Directory賬戶相關聯的SPN，而且由于這些SPN通常與服務賬戶相關聯。此外，這些攻擊很難檢測，因為Kerberos活動在日常監控中非常普遍，這使得攻擊者能夠成功混淆視聽。

由于越來越多的攻擊者使用Kerberoasting，防御者應該及時關注這一跡象，并幫助識別協議弱點和薄弱或受損的賬戶，找到改進檢測的機會。報告也給出了以下建議：

查詢Windows事件日志。安全事件ID 4769（Kerberos服務票證請求）和事件ID 4771（Kerberos預身份驗證失敗）都可以表示正在發生Kerberoasting。應該過濾安全事件ID 4769以查找票據加密類型。 

針對可能成為Kerberoasting攻擊目標的賬戶進行安全性審計。這可以通過檢查Active Directory設置來完成，以查看哪些服務賬戶注冊了SPN。

確保服務賬戶使用了安全的密碼。這將使它們對密碼破解更具防護力，要確保每個服務賬戶使用唯一的密碼，以防止一個漏洞影響多個賬戶。

采取進攻性行動。考慮通過蜜標（honey token）方法來檢測使用了弱密碼的SPN服務賬戶。

3.攻擊方式“左移”

今年，研究人員觀察到在眾多入侵活動中，攻擊者似乎在多個地區和垂直行業撒下了一張大網，以獲取初始訪問權限，然后在命中某個高價值目標后，他們又會調整自己的后續戰術、技術和程序（TTPs）。以INDRIK SPIDER攻擊團伙為例，他們會根據受感染主機和受害組織的特征來調整自己的行動，并采取了多階段的攻擊方法。

利用面向公眾的合法應用程序也是今年網絡犯罪和入侵活動的另一個常見主題，在所有交互式入侵中，有20%+涉及利用面向公眾的應用程序，而各種生產型應用程序中的漏洞正是此類活動關注的重點。

在過去一年，犯罪或地下社區中的訪問代理廣告增加了147%。受感染憑據供應的急劇增加可能表明，希望購買這些憑據用于后續活動的攻擊者也在不斷增長。

RMM工具允許企業的IT管理員遠程支持工作站和服務器端點。然而，這些工具也可能會被攻擊者濫用，以試圖獲得并維持進入受害者環境的快捷通道。在過去一年里，研究人員觀察到大約14%的入侵使用了一個或者多個RMM工具，威脅行為者利用RMM工具的入侵數量同比增長了312%。其中最受歡迎的工具是Anydesk，此外，ScreenConnect和AteraAgent等工具也經常被犯罪分子濫用。

圖片

威脅參與者最常利用的RMM工具

4.云安全威脅形勢嚴峻

在過去的幾年中，基于云的技術采用經歷了迅速增長，云計算提供的好處使其成為企業現代IT基礎設施不可或缺的一部分。然而，對云服務需求的快速增長，以及云管理和控制的復雜性，導致了企業的威脅攻擊面已經發生了變化，并為使用云計算的組織帶來了重大的安全挑戰。

研究人員發現，過去一年中攻擊者對云上安全漏洞的利用率增加了95%，和云計算應用相關的安全事件更是增長了3倍。很顯然，攻擊者已經意識到了云的重要性，并且堅持不懈地嘗試訪問云上業務和數據資產。

為了更好保障云計算應用安全，研究人員給出了以下防御建議：

• 將本地安全的最佳實踐適用到云中。云工作負載服務器應該至少遵守與其他本地服務器相同的安全策略；
• 提升云計算應用的可見性。對云資產的可見性可以幫助安全從業者了解和改進其環境的整體基線安全狀態和合規性；
• 了解云計算平臺的背景和核心功能。攻擊者通常會利用主流云平臺的一些合法特性來支持他們的惡意攻擊活動，因此，云安全防御者也必須了解云平臺的關鍵技術和主要功能，這樣才能充分理解他們所負責的云環境安全。

參考鏈接：https://go.crowdstrike.com/rs/281-OBQ-266/images/report-crowdstrike-2023-threat-hunting-report.pdf