ProxyLogon、ProxyShell可能导致了停留时间的增加

DebugUsery
215 阅读5分钟

Artur Marciniec - Fotolia

新闻

ProxyLogon、ProxyShell可能推动了停留时间的增加

根据Sophos的新数据,去年网络入侵者停留时间的中位数增加了36%,达到15天,这要归功于IABs对ProxyLogon和ProxyShell漏洞的大规模利用。

  • 与您的网络分享此项目。

Alex Scroxton

作者

发布时间:2022年6月8日 10:40

根据Sophos最新版本的*Active Adversary Playbook*,所谓的初始访问代理(IABs)对微软Exchange Server中的ProxyLogonProxyShell漏洞的大规模利用似乎推动了中位停留时间的大幅增加,2021年的中位停留时间从11天增加到15天,增加了36%。

该报告详细介绍了Sophos快速反应团队观察到的攻击者行为,探讨了IAB(专门对受害者的网络环境进行初步破坏,然后将其访问权出售给其他网络罪犯,包括勒索软件运营商)如何正在形成地下犯罪经济的一个 "重要 "部分。

"网络犯罪的世界已经变得令人难以置信的多样化和专业化。IABs通过入侵目标,进行探索性侦察或安装后门,然后向勒索软件团伙出售统包权限,用于他们自己的攻击,从而发展了一个山寨网络犯罪产业,"Sophos公司高级安全顾问John Shier说。

"在这个日益动态的、基于专业的网络威胁环境中,组织可能很难跟上攻击者使用的不断变化的工具和方法。至关重要的是,防御者要了解在攻击链的每个阶段应该注意什么,这样他们就能尽快发现和化解攻击。"

Shier解释说,对于IAB来说,成功的关键在于首先进入犯罪现场,这意味着这类行为者往往对新报告或披露的漏洞趋之若鹜,因此他们可以在受害者有机会修补之前闯入。

然后他们开始工作,确保一个立足点,并可能进行一些探索性的行动,以了解更多关于他们的受害者,然后再向其他人出售--通常是赎金软件运营商。

"网络犯罪的世界已经变得令人难以置信的多样化和专业化。至关重要的是,防御者要了解在攻击链的每个阶段应该注意什么,这样他们就能尽快发现和消除攻击"

John Shier, Sophos

这个过程显然需要一点时间--可能是几个月甚至更长--所以较高的停留时间可能反映了IABs的参与。

Shier说,在ProxyLogon和ProxyShell的案例中,极有可能存在大量目前不为人知的漏洞,其中网络外壳和后门已经被悄悄植入,现在正处于惰性状态,等待被 "出售"。

"防御者应该注意的红旗包括检测到一个合法的工具、工具的组合,或在一个意想不到的地方或在一个不寻常的时间的活动。值得注意的是,也可能有一些时候很少或没有活动,但这并不意味着一个组织没有被攻破,"Shier说。

"防御者需要对任何可疑的信号保持警惕并立即进行调查。他们需要修补关键的漏洞,特别是那些广泛使用的软件中的漏洞,并且作为优先事项,加强远程访问服务的安全性。他说:"在暴露的进入点被关闭,攻击者为建立和保留访问权所做的一切被彻底根除之前,几乎任何人都可以在他们之后走进去,而且很可能会这样。

该报告还强调了现在似乎正在出现的一个相关趋势,即多个行为者,包括IABs、加密者和勒索软件团伙--甚至多个勒索软件团伙--同时获得对同一组织的访问权。Shier预测,这是一种趋势,将在2022年塑造威胁景观。

"随着未打补丁的ProxyLogon和ProxyShell漏洞带来的机会以及IAB的兴起,我们看到更多的证据表明,一个目标中有多个攻击者。如果在一个网络中很拥挤,攻击者将希望快速行动以击败他们的竞争对手,"Shier说。

本报讯 主动攻击者游戏手册本刊基于Sophos团队从全球多个行业近150起针对各种规模组织的事件中整理出来的数据。

然而,其他数据来源确实不同。Mandiant在2022年早些时候发布的一项类似的事件研究表明,情况恰恰相反--停留时间减少。与以往一样,一个模糊的情况的真相可能在这两者之间。

Read more on 黑客和网络犯罪预防

最新新闻

下载《计算机周刊

  • 在当前的问题上。

    • 利用技术重塑购物方式
    • 算法自动化如何在道德上管理工人
    • 医学的重新想象

    下载本期杂志

最新博客文章

相关内容

avatar
文章
阅读
粉丝