经过数月兢兢业业的工作,Elastic Security Labs 很高兴地宣布《2023 年 10 月全球威胁报告》的发布。对于我们第二次发布此类年度报告,我们知道这将需要更大的努力——不仅事件量增加了 1000% 以上,而且自首次报告发布以来,我们还从发布的功能中获得了全新的类型和深度的可见性。
无需赘言(但为了以防万一,我们还是要说一下),如果没有我们的用户每年与我们分享超过 10 亿个安全事件,这一切都不可能实现。当然,如果没有我们 Elastic 的同事们构建的强大且覆盖全球的功能,这一切也无法实现。
一个重要的贡献者是威胁研究和检测工程 (TRaDE) 团队,他们开发了诸如规则和调查指南之类的功能,并指派了传奇人物 Terrance DeJesus。Terrance 在创建首份报告方面发挥了重要作用,他将自己的 云攻击面专业知识和安全运营经验应用于此过程。另一个关键团队是安全数据分析 (SDA) 团队,该团队负责所有使我们能够分析遥测数据的系统。Chris Donaher 白天(严格来说,晚上也是)领导 SDA,并帮助我们梳理了今年数亿个事件。
这些团队和 Elastic Security Labs 的其他团队的工作表明,我们致力于为安全团队提供关于威胁现象的可操作情报,以便他们更好地准备、抵御和清除威胁。通过普及知识和资源(包括《全球威胁报告》等出版物),我们希望展示一种更有效的方法来改善安全结果。我们在一起会更安全,没有彼此,我们就无法成功。
在我们的观察中,我们发现以下因素是对安全创新(使环境对威胁具有敌意)的反应
- 攻击者在防御逃避方面投入巨资,例如使用内置执行代理来运行恶意代码、伪装成合法软件以及软件供应链破坏
- 投入大量研究来绕过、篡改或禁用安全工具
- 越来越依赖凭据盗窃来启用企业电子邮件和云资源破坏,而这些地方通常没有端点可见性
防御逃避
在去年开发首份《全球威胁报告》期间,我们惊讶地发现攻击者使用防御逃避功能的频率有多高,无论他们针对哪个行业或地区。在分析了来自世界各地数千个不同环境的事件后,我们更好地理解了防御逃避是对安全状态的一种反应。这是我们今年再次看到的一种趋势,也是塑造当今威胁态势的几种力量之一。
今年我们观察到的 43% 以上的技术和程序都是防御逃避的形式,其中 系统二进制代理执行 几乎占这些事件的一半。这些实用程序存在于所有操作系统上,并有助于代码执行——一些常见的示例包括解释脚本、启动 DLL 和执行 Web 内容的软件。
BLISTER 是一种与以经济为动机的入侵相关的恶意软件加载程序,它依赖于每个版本的 Microsoft Windows 中内置的 rundll32.exe 代理来启动其后门。BLISTER 加载程序是一个有用的例子,因为它的作者投入了大量精力在良性应用程序内部加密和模糊处理他们的恶意代码。他们对其“弗兰肯有效载荷”进行了欺诈性签名,以确保人为和机器缓解不会干扰。
端点篡改
今年我们还看到了自带易受攻击的驱动程序 (BYOVD) 的普及,Gabe Landau 在最近的一份出版物中对其进行了描述,它提供了一种在 Windows 系统上加载可利用驱动程序的方法。驱动程序以系统级权限运行,但更有趣的是,如何使用易受攻击的驱动程序来禁用或篡改安全工具。不久之后,更多的攻击者就会从使用此功能启动恶意软件转为使用它来卸载安全传感器。
要了解这种情况的实际操作,看看您友好的邻里勒索软件即服务生态系统就知道了。与 BLISTER 相关的 SOCGHOLISH 集团,是众多从初创公司发展而来并成为犯罪企业的集团之一。我们看到的大多数勒索软件都与这些类型的服务有关——即使一个服务被中断,似乎总会有另一个服务出现来取代它的位置。
从字面上看,这是一种人类现象。那些在安全创新和破坏时期幸存下来的威胁似乎是通过学习如何不被抓住来实现的,而成熟威胁的一种策略是向外围移动到面向互联网的系统、网络设备、家电或云平台,在这些平台中,可见性不太成熟。考虑以下选项的成本和相对风险:开发具有特定功能的功能丰富的多平台植入程序,或从代理商处购买帐户凭据。
凭据访问
尽管我们分析的数据中只有大约 7% 涉及一种或另一种形式的凭据盗窃,但其中 80% 利用了内置的操作系统功能。有了正常工作的被盗凭据,许多威胁组织可以直接与企业的关键数据交互,以访问电子邮件、窃取知识产权或部署云资源。
鉴于云在存储、生产力、代码管理和第三方服务身份验证方面的广泛采用,滥用被盗凭据比以往任何时候都更有用。对于那些优先考虑低调而不是其他目标的威胁,凭据盗窃是一种暴露度较低的捷径。
在《2023 年全球威胁报告》中,可以找到像这样的见解以及许多其他见解,以及预测和威胁概况。Elastic Security Labs 分享恶意软件研究、工具、情报分析,以及检测科学和机器学习/人工智能研究。
您可以下载报告或查看我们的其他资源。请在 X 上与我们联系,并通过我们的网络研讨会为明天做好准备:来自 2023 年 Elastic 全球威胁报告的见解深入了解 GTR 的结果。