在現實世界中,作為一家機構最常面對的是哪些MITRE ATT&CK網絡攻擊技術?以及如何化險為夷?以下將會列出10種最常被利用的攻擊技術,如果想避免成為受害者,就要留意我們的建議了。
利用面向公眾應用程式的安全漏洞
利用機構可透過互聯網存取的應用程式中的安全漏洞,例如web server、Exchange server、database server和VPN接入點等等都是最熱門目標,攻擊者也會主動尋和利用可公開存取的IT基礎架構控制面板(由SSH伺服器到SNMP)。自保的方法是優先更新相關軟件,並使用額外的保安考慮,關閉外來存取的控制埠,定基掃瞄外部周邊的安全漏洞,以外不慎授予外來存取的應用程式,都要立即撤銷。
網絡釣魚
大規模或針對性經由電郵、SMS或通訊應用程式發存訊息,詐騙僱員透露他們的登入憑證或經由連結下載惡意內容。防範措施需要讓全公司員工提高警剔,配合適當的培訓,為mail server準備最新的保安方案,流動裝置(包括私人裝置)部署EMM/UEM方案。
入侵有效帳號
最有效的攻擊技術之一,在初期網絡滲透階段,攻擊者使用購買外洩或網絡釣魚獲得的員工憑證,然後在被感染電腦上找到網域和本機帳號來發動攻擊。應對可通過多重認證(MFA)的方法,尤其特權帳號,同時也要把特權帳號減至最少,停用預設帳號,本機管理員帳號需要每台電腦設定唯一的密碼,再使用SIEM和XDR偵測異常用戶活動。
暴力破解
攻擊者對有興趣的帳號通過暴力破解或猜密碼的方式找出密碼,另一個變種是密碼噴射(password spraying),對多個帳號使用相同的流行密碼,希望找出使用弱密碼組合的用戶。通過部署密碼原則以防範暴力破解,如果無法啟用MFA的話條件應該更加嚴格,所有系統限制嘗試登入的次數,越過限額便進行封鎖,設定SIEM以偵測整體嘗試認證失敗的情況。
受信任關係
通過公司的合作伙伴和承包商去進行入侵,一旦合作伙伴遭入侵,攻擊者便可以利用發現到的存取點和工具去滲透目標公司,實際攻擊者很多黑客瞄準擁有管理權限的IT分包商(MSP、驗證供應商和技術支援)去進入目標公司的系統。所以應該定期審核外來存取,取消過期權限並採取最少特權的原則,對有關帳號設立嚴格的密碼規範和MFA,再利用網絡分割限制外來承包商只可接觸他們需要的資源。
指令和腳本解釋器
在絕大多數攻擊中,攻擊者需要執行他們自己的編碼去入侵電腦,為避免引起注意和使用專門惡意程式,他們經常會使用已經安裝在大部份企業系統的合法的腳本工具,最常見之一就是Microsoft PowerShell,但也有攻擊使用Visual Basic、Python和AutoIT,甚至是基本的Windows和Unix shell。在特定電腦使用白名單限制可執行的應用程式,追蹤腳本解釋器能有助及早發現可疑活動。
操縱帳號
攻擊者入侵後進行大幅度帳號更改,當中包括把帳號加入特權組別,啟動已關閉的帳號、更改密碼和修改帳號和組別的權限等等。定期整理帳號庫存和採取最少特權的方針,移除過期權限,封鎖或刪除不必要帳號可減低被利用的風險。
利用遙距服務
在入侵網絡內一台電腦後,攻擊者掃瞄存在安全漏洞的應用程式,藉此進一入感染更多電腦和取得違規的權限升級,在2023年,SMB v1和Exchange Server內的舊安全漏洞十分普遍,IT服務通常忽略他們的修復。所以盡快更新客端和侵服器應用程式,在所有電腦關閉不必要服務,使用網絡分割和最少特權方針,可限制攻擊者的活動,再利用保安方案偵測和封鎖利用安全漏洞的行為。
啟動系統服務
為更進一步使用command shell,攻擊者經常使用啟動系統服務去執行惡意工具,在系統建立特久的存在,其中以PsExec為首要項目,它可用於在遙距電腦執行需要的任務。通過XDR或EDR方案可追蹤系統服務的可疑行為,限制低權限用戶啟動特權服務和安裝系統軟件。
LOLBins
在大部份攻擊中,攻擊者都會嘗試使用合法IT管理工具,去融入普通網絡活動以逃避偵測,除了上文提過的PowerShell和PsExec,有明顯數量的攻擊者會使用AnyDesk去管理和控制、Advanced IP Scanner和SoftPerfect Network Scanner進行網絡掃瞄,保安測試工具Mimikatz去特權升級,以及Cobalt Strike及Metasploit在網絡內橫向移動。
資料來源:Kaspersky Blog