这不是如果，而是你何时以及多久受到攻击

Sophos 对其 Active Adversary Playbook 2022 的研究表明，受害者经常受到多个对手的攻击——通常是快速连续的，但有时是同时的。现在进一步的分析表明，格言“不是如果，而是当你受到攻击时”应该用扩展名“以及多久一次”来扩展。

多次攻击并不新鲜，但从历史上看，它们往往相隔数月或数年。“现在，”Sophos 的高级安全顾问 John Shier 告诉SecurityWeek，“我们谈论的是几天、几周或几个月——在一种情况下只是几个小时。” Sophos 的一项新分析着眼于攻击频率演变的可能原因。

报告《多个攻击者：明显而现实的危险》 ( 文末提供下载地址 ) 提供了几个特定的多重攻击案例研究。

案例1：威胁参与者于 2022 年 4 月 8 日通过不安全的 RDP 获得了访问权限。它于 4 月 19 日丢弃了与键盘记录和远程命令执行相关的恶意软件。它于 4 月 20 日被驱逐，但受害者未能进行域范围的凭据重置。

2022 年 5 月 13 日，第二个参与者通过 RDP 进行了身份验证。5 月 29 日，攻击者转向另一台主机，并观察到对 anonfiles.com 和 fex.net（受威胁者欢迎的文件共享服务）的 DNS 请求。在同一天停止攻击之前上传了一些数据。

案例2：2022 年 3 月，Sophos 响应了勒索软件攻击，威胁参与者滥用 MSBuild.exe 执行 Cobalt Strike，向 edgecloud.ink 发送信标。几天之内，Sophos 不得不应对另一次涉及 Hive 勒索软件的攻击。它还滥用 MSBuild.exe 来执行 Cobalt Strike 并指向同一个域。具有重叠基础架构的类似实例表明这是 Conti 和 Hive 的单一附属机构。

案例3：攻击者于 2022 年 1 月 6 日试图利用ProxyShell。1月 19 日，攻击者建立了 RDP 连接。在 1 月和 2 月期间，进一步建立了 RDP 连接，攻击者下载了 RealVNC。2 月 23 日，两台设备通过 DNS 与 C&C 通信，下载并安装了包括 AnyDesk 在内的多个合法工具。

3 月 12 日，下载了更多工具。一个 PowerShell 脚本用于下载和安装合法的渗透测试工具 BloodHound，用于识别 Active Directory 中的潜在攻击路径。Lockbit于 3 月 17 日被删除并执行。3 月 25 日，受害者的数据被发布在 Lockbit 泄露网站上。

2022 年 4 月 28 日，第二名演员通过公开的 RDWeb 门户进入。该演员试图下载 BloodHound，但该活动被阻止。

2022 年 6 月 2 日，第三名攻击者通过第一个攻击者安装的 AnyDesk 应用程序进入。受害者数据被上传到文件共享服务 dropmefiles.com。从进入到渗出不到 15 分钟。6 月 8 日，Karakurt团队（一些研究人员与 Conti 有联系）联系了受害者，要求赎金。Karakurt 通常不加密，而只是泄露数据并勒索数据。

加密矿工

虽然不能否认重复攻击频率的这种增长，但了解其背后的原因很重要。Sophos 指出，第一次攻击通常来自加密矿工。“我们经常看到，”Shier 说，“只要有一个易于利用的新漏洞，可能是概念验证代码，加密矿工就会迅速将其全部覆盖。”

加密矿工获得访问权，交付他们的代码并离开。这通常以编程方式并在可能的情况下完成；它可能包括代码来取消可能也常驻的竞争矿工。但是由于它们通常是一系列攻击中的第一个，因此不应将加密矿工视为无威胁的烦恼。

“加密矿工，”Shier 建议，“应该被视为煤矿中的金丝雀——这是几乎不可避免的进一步攻击的初步指标。” 在同一路径被更具破坏性的攻击滥用之前，应立即寻找并修复允许访问的漏洞——通常是交付 RAT，然后安装勒索软件。

尽管这是多个攻击序列中的常见进程，但 Sophos 没有发现它是协调进程的迹象。加密矿工和勒索软件团伙似乎是独立的参与者，各自独立地做着自己的事情。加密矿工和勒索软件很有可能在一个受害者身上共存，但并非有意为之。

初始访问代理

这里的含义是多个参与者同时发现或获得相同的漏洞。Sophos 的大部分分析都试图理解这种机制——结论的很大一部分是它取决于初始访问代理 (IAB)的工作。

在 2022 年 8 月 4 日发布的另一份报告中，Sophos 调查了 Genesis IAB——更先进的市场之一。“Genesis 收集的攻击者吸引力不在于其数据聚合的规模；这是 Genesis 提供的被盗信息的质量，以及该服务对使被盗信息保持最新的承诺，”Sophos 报道。“Genesis 客户不会一次性购买未知年份的被盗信息；他们支付了事实上订阅受害者信息的费用。”

一些 IAB 竭尽全力维护他们出售的访问权限。“有些会安装 Cobalt Strike 或Brute Ratel以维持销售渠道，”Shier 说。

但是还有许多其他的 IAB，提供对主要组织的批量凭据和个人访问。批量凭证吸引了执行快速加密矿工攻击的不太复杂的攻击者。个人访问可能会被更复杂的勒索软件参与者购买。一些 IAB 提供单一客户服务，但许多不提供。多个不同的参与者可能会在短时间内出于不同的目的购买对单个受害者的访问权。

这解释了通常的攻击顺序，从那些需要相对较少专业知识（加密）的攻击开始，并在短时间内扩展到那些监视、横向移动并最终引爆恶意软件（勒索软件）的攻击者。

然而，重要的是要注意，一些勒索软件参与者不依赖 IAB。虽然加密矿工的存在可能表明进一步复杂攻击的可能性，但矿工的缺席并不表示相反。

孔蒂就是一个例子。“看起来他们好像发生了变化，”Shier 解释说。“一开始，他们看起来像是在使用 IAB 服务，但随着他们的发展，他们似乎决定自己承担这项工作。所以，这有点像一个初创公司。他们通过利用另一组的服务进行初始访问来引导他们的组织；但随着他们变得更有能力并发展了他们的组织，他们能够将这些东西带入内部。”

多个勒索软件攻击者

当前攻击频率和速度增加的一个令人惊讶的因素是，不同的勒索软件攻击者可能同时在同一个受害者中被发现。这些攻击者可能会意识到其他人的存在，但这并不能阻止任何一方继续进行。它是最新的加密器，将更有可能获得支付。Sophos 没有发现不同帮派之间勾结的证据。

Sophos 研究得出的结论既复杂又令人不安。威胁参与者通过快速扫描互联网发现新漏洞的存在。漏洞成为公共知识——即使是概念验证代码——比许多公司修补它们的速度更快。这些被更简单类型的恶意软件（例如加密矿工）使用编程方法迅速利用。购买从 IAB 批量购买的现成访问权限会加剧这种利用。

按照相同的过程，可能会出现更复杂的恶意软件，例如勒索软件。这不是某些主要协调犯罪计划的结果，而是几个因素的综合作用：组织无法足够快地修补新漏洞并保护凭证；提高犯罪分子的复杂性和自动化程度；以及越来越多的攻击者。因此，目前攻击数量的增加可能会继续。

多个攻击者：明显而现实的危险

案例研究：暴露的RDP应用程序在五周内导致两次攻击

一个著名的俄语犯罪论坛上的典型AaaS列表

案例研究：勒索软件附属公司同事使用Hive和Conti

案例研究：一次、两次、三次加密勒索软件攻击

多个攻击者：明显而现实的危险原文版.pdf

https://kaishi.lanzouv.com/ieHnQ09c8fkf

多个攻击者：明显而现实的危险中文版.pdf