网络安全威胁持续增长,威胁形势不断演变,黑客采用越来越复杂和不可预测的方法。随着网络安全技能的持续短缺,对托管服务提供商 (MSP)、统一安全和自动化平台的需求从未如此强烈,以加强网络安全并保护组织免受不断变化的威胁环境的影响。
WatchGuard Technologies每季度都会发布一份互联网安全报告,该报告提供了对过去三个月主要恶意软件趋势和网络安全威胁的见解。Threat Labs 2023 年第三季度互联网安全报告的主要发现显示,远程访问软件滥用事件不断增加,网络对手使用密码窃取程序和信息窃取程序来获取有价值的凭据,威胁行为者从利用脚本转向使用其他离地技术来发起端点攻击。
在主要调查结果中,包含 2023 年第三季度数据的互联网安全报告显示:
- 威胁行为者越来越多地使用远程管理工具和软件来逃避反恶意软件检测。联邦调查局和CISA也注意到了这一趋势。例如,在研究顶级网络钓鱼域时,威胁实验室观察到一个技术支持骗局,该骗局将导致受害者下载预先配置的未经授权的TeamViewer版本,这将允许攻击者完全远程访问他们的计算机。
- 美杜莎勒索软件变种在第三季度激增,推动端点勒索软件攻击增加 89%。 从表面上看,端点勒索软件检测在第三季度出现下降。然而,首次出现在十大恶意软件威胁中的美杜莎勒索软件变种是通过威胁实验室的自动签名引擎检测到的通用签名。考虑到美杜莎检测,勒索软件攻击环比增长了 89%。
- 威胁行为者不再使用基于脚本的攻击,而是越来越多地使用其他离地技术。恶意脚本作为攻击媒介在第二季度下降了 41% 之后,在第三季度下降了 11%。尽管如此,基于脚本的攻击仍然是最大的攻击媒介,占攻击总数的 56%,而 PowerShell 等脚本语言通常用于生存的离地攻击。与此同时,Windows 的陆地二进制文件增加了 32%。这些发现向威胁实验室研究人员表明,威胁行为者继续利用多种离地生存技术,可能是为了响应围绕 PowerShell 和其他脚本的更多保护措施。生存的陆上攻击构成了最多的端点攻击。
- 通过加密连接到达的恶意软件下降到 48%,这意味着检测到的所有恶意软件中只有不到一半来自加密流量。这个数字值得注意,因为它比前几个季度大幅下降。总体而言,恶意软件检测总数增加了 14%。
- 基于电子邮件的 dropper 系列提供恶意负载,在第三季度检测到的前 5 个加密恶意软件中占了四个。 前 5 名中除了一个变体外,其他所有变体都包含名为 Stacked 的滴管系列,该系列在电子邮件鱼叉式网络钓鱼尝试中作为附件出现。威胁行为者将发送带有恶意附件的电子邮件,这些附件似乎来自已知发件人,并声称包含发票或重要文档以供审查,旨在诱骗最终用户下载恶意软件。其中两个 Stacked 变体 – Stacked.1.12 和 Stacked.1.7 – 也出现在前 10 名恶意软件检测中。
- 商品化的恶意软件应运而生。在顶级恶意软件威胁中,一个新的恶意软件系列Lazy.360502进入了前10名。它提供广告软件变体 2345explorer 以及 Vidar 密码窃取程序。这种恶意软件威胁与一个提供凭据窃取程序的中国网站有关,其运行方式似乎类似于“密码窃取程序即服务”,威胁行为者可以为被盗的凭据付费,这说明了商品化恶意软件的使用方式。
- 网络攻击在第三季度增长了 16%。ProxyLogon 是网络攻击的头号漏洞,占所有网络检测总数的 10%。
- 前 50 名网络攻击中出现了三个新签名。其中包括 2012 年的 PHP 通用网关接口 Apache 漏洞,该漏洞会导致缓冲区溢出。另一个是2016年的Microsoft .NET Framework 2.0漏洞,可能导致拒绝服务攻击。从2014年开始,开源CMSDrupal中也存在SQL注入漏洞。此漏洞允许攻击者远程利用 Drupal,而无需任何身份验证。
鉴于威胁行为者试图通过多种方式访问敏感信息,组织需要全面的多层网络安全策略,包括网络、端点、Wi-Fi 和身份保护等不同类型的安全措施,以加快威胁检测和响应流程。同样重要的是要记住,即使是最好的防御措施也可能被社会工程攻击所破坏。用户需要明白,他们通常是防止恶意行为者渗透组织的最后一道防线。