[调研] 大多数勒索软件都是这三种攻击途径

大多数勒索软件攻击者通过三个主要攻击途径之一入侵网络和染指企业的关键系统及数据。

近期，老牌网络安全供应商卡巴斯基发布了其2022年事件响应报告。报告题为《网络事件的本质》，其中数据揭示，2022年成功勒索软件攻击中用到的主要攻击途径包括利用公开应用中的漏洞（占所有事件的43%）、运用被盗账户（24%）和通过恶意电子邮件（12%）。

相比上一年，应用漏洞利用和恶意电子邮件在所有攻击中的占比有所下降；而被盗账户运用则从2021年的18%增加到了24%。

一句话总结就是：重点对付最常见的攻击途径可以在很大程度上防止勒索软件攻击。卡巴斯基全球应急响应小组负责人Konstantin Sapronov表示：“很多公司都不是攻击者最初的目标，但因为IT安全薄弱，很容易被黑，于是网络犯罪分子没浪费这机会。如果我们仔细审视最主要的三个初始攻击途径，也就是加起来占了所有事件80%的那三个，我们就可以采取一些防御措施加以缓解，很大程度上降低沦为受害者的概率。”

卡巴斯基提到的几个主要初始攻击途径与事件响应公司Google Mandiant此前报告的基本一致：Google Mandiant的报告中，三大攻击技术同样由这几种常见途径构成——漏洞利用（32%）、网络钓鱼（22%）和被盗凭证（14%），但勒索软件攻击者倾向于聚焦漏洞利用和被盗凭证，这两者加起来占了所有勒索软件案例的近乎一半（48%）。

勒索软件在2020和2021年飞速增长，但去年开始趋于平稳，甚至略有下降。到了今年，勒索软件及其相关攻击——出于收取赎金目的的数据泄露，似乎又开始抬头了：2023年上半年，被挂到数据泄露网站上的企业有所增多，Mandiant金融犯罪分析首席分析师Jeremy Kennelly如此说道。

“这可能是个预警，表明我们在2022年看到的喘息之机不会太长。攻击者有能力继续使用同样的初始访问途径辅助攻击。”他说道。

Kennelly表示：“最近几年，勒索软件攻击者无需大力发展自己的战术、技术与程序（TTP），因为众所周知的策略仍然行之有效。”

毫不令人意外的三件套：漏洞利用、被盗凭证、网络钓鱼

2022年12月，美国网络安全与基础设施安全局 （CISA）警告称，攻击者常采用五种初始攻击途径，包括卡巴斯基和Mandiant指出的那三种，以及外部远程服务（比如VPN和远程管理软件），还有第三方供应链攻击（也称为可信关系）。

卡巴斯基在报告中称，大多数攻击非快即慢：快速攻击会在数天之内就破坏系统并加密数据，而慢速攻击指的是攻击者往往在几个月里逐渐深入网络，或许进行网络间谍活动，然后部署勒索软件或发出勒索信。

作为卡巴斯基全球应急响应小组的负责人，Sapronov表示：“如果缺乏某种形式的应用或行为监控，就更难以检测对公开应用的漏洞利用和对合法凭证的利用，导致攻击者能在系统内驻留更长时间。”

“应用监控没有得到足够的重视。”Sapronov称，“此外，攻击者采用漏洞利用方法时，他们需要通过更多步骤来达成自己的目标。”

漏洞利用是首要初始访问途径，容易带来快速勒索软件攻击或长期间谍活动

建议：跟踪漏洞利用趋势

了解攻击者可能会采用的常见攻击方法有助于让防御人员做到心中有数。例如，公司应当持续重视已经有野生漏洞利用程序的那些漏洞。Mandiant金融犯罪分析首席分析师Kennelly表示，关注威胁生态系统的变化，公司就能确保自己为可能的攻击做好准备。

Kennelly称：“由于攻击者可以迅速武器化漏洞利用代码来支持入侵活动，了解哪些漏洞正遭积极利用，知道漏洞利用代码是否公开，摸清特定补丁或修复策略是否有效，就可以轻松避免企业陷入应对一个或多个活跃入侵的境地。”

但要避免过于重视防范特定的初始访问途径，因为攻击者会不断适应防御，Kennelly补充道。

“特定时间里最常见的特定感染途径不应大幅改变企业的防御态势，因为攻击者会不断调整自己的攻击活动，持续重用任何经验证的有效途径。”Kennelly表示，“任何特定攻击途径的流行程度下降并不意味着其构成的威胁显著降低——例如，靠网络钓鱼获得访问权限的入侵占比缓慢下降，但许多大型威胁团伙仍在使用电子邮件。”

卡巴斯基《2022年网络事件的本质》
https://securelist.com/kaspersky-incident-response-report-2022/109680/

完整报告
https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2023/05/12154213/The_nature_of_cyberincidents_2022.pdf

参考阅读