Elastic 表示,现成的攻击性安全工具和配置不当的云环境会在攻击面上创造漏洞。
对手正在利用现成的工具
攻击性安全工具 (OST),包括 Cobalt Strike 和 Metasploit,占观察到的恶意软件警报的约 54%。今年观察到的最流行的恶意软件家族是 Cobalt Strike,占感染的 27.02%。
Cobalt Strike 是一款非常成熟的商业后漏洞利用框架,拥有经验丰富的研发团队。
它非常有效,威胁行为者经常窃取并利用该产品来达到他们的恶意目的,而不是实现其原本的良性目的。
Gafgyt(3.12%)、Mirai(2.09%)和 Bedevil(1.84%)等恶意软件家族出现的频率比前几年有所下降,这可能反映了人们试图阻止僵尸网络传播。
这些恶意软件家族通常使用硬编码凭证或未修补的漏洞分发到物联网 (IoT) 设备(如家用宽带路由器),并用于发起分布式 DDoS 攻击以及劫持广告或 DNS 网络。
企业错误配置云环境
47% 的 Microsoft Azure 故障与存储帐户配置错误有关,而 44% 的 Google Cloud 用户未通过与 BigQuery 相关的检查,具体原因是缺乏客户管理的加密。
S3 检查占 Amazon Web Services (AWS) 故障的 30% — 具体原因是安全团队未实施MFA 。
凭证访问占所有云行为的约 23%,主要发生在 Microsoft Azure 环境中。
暴力破解技术增加了 12%,占 Microsoft Azure 所有技术的近 35%。
虽然终端行为占 Linux 总行为的约 3%,但其中 89% 涉及暴力攻击。过去一年,防御规避行为减少了 6%。
2024 年 Elastic 全球威胁报告中的发现强化了我们不断见证的行为:防御者技术正在发挥作用。
我们的研究表明,防御规避率比去年下降了 6%。
对手更专注于滥用安全工具并投资合法凭证收集来实现他们的目标,这强化了组织拥有完善的安全能力和政策的必要性。
恶意软件即服务模式将变得更加流行
尤其是,网络犯罪生态系统的变化促使威胁团体将自己与入侵及其产生的政府利益区分开来。
结果,大量没有或经验不足的威胁使用工具和剧本作为代理运行。
这在一定程度上降低了进入门槛,但企业应该考虑到,没有成熟威胁的技能和适应能力的代理可能比他们所代表的代理更容易受到影响。
然而,还应该注意的是,这极大地干扰了归因——以及当权者将注意力集中在打击犯罪联盟上。
从鉴定艺术复制品到分析 ZIP 档案的恶意属性,GenAI技术很可能会对企业的运营方式产生持久影响。
然而,这些模型的实施方式存在漏洞,可能会导致数据泄露、系统被利用或中毒 — 尤其是以难以发现的方式。
对手可能会发现一种从医疗保健提示中提取特权医疗信息的新方法,或指示托管模型采取破坏性行动,并且可能会研究这样做的方法。
尽管我们并不总是感觉如此,但安全工作确实发挥了作用。对威胁的极大关注足以证明对手面临的挑战越来越大,而这并非巧合。
然而,成熟的威胁行为者正在学习如何克服障碍——例如利用 Windows 特权设备驱动程序中固有的漏洞来禁用 EDR 传感器、注入特权进程来删除关键安全日志,或卸载安全组件以防止发生安全提取。
企业需要更加努力地约束面向公众的系统,执行 MFA,尽量减少其攻击面,并保护检测威胁所需的数据。